Использование средства просмотра паролей восстановления BitLocker для Пользователи и компьютеры Active Directory для просмотра паролей восстановления для Windows Vista
В этой статье описывается средство, которое можно использовать для поиска и просмотра паролей восстановления BitLocker.
Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 928202
Поддержка Windows Vista без установленных пакетов обновления прекращена 13 апреля 2010 г. Чтобы продолжить получать обновления для системы безопасности для Windows, убедитесь, что вы используете Windows Vista с пакетом обновления 2 (SP2). Дополнительные сведения см. на этой веб-странице Майкрософт: Поддержка некоторых версий Windows заканчивается.
Сводка
В этой статье описывается использование средства просмотра паролей восстановления BitLocker для Пользователи и компьютеры Active Directory. Функция шифрования дисков BitLocker — это функция защиты данных, которая входит в состав следующих версий Windows Vista:
- Windows Vista Ultimate
- Windows Vista Enterprise
Примечание.
В этой статье также содержатся сведения о необязательном использовании средства просмотра паролей восстановления BitLocker для компьютеров под управлением XP.
Если вы хотите получить средство просмотра паролей восстановления BitLocker для Windows XP/Windows Server 2003, обратитесь к специалисту служба поддержки Майкрософт.
С помощью этого средства можно найти пароли восстановления шифрования диска BitLocker для компьютеров под управлением Windows Vista в доменные службы Active Directory (AD DS). Оснастка Пользователи и компьютеры Active Directory консоли управления (MMC) должна быть установлена с помощью средств удаленного администратора сервера (RSAT).
Примечание.
Чтобы использовать это средство для получения паролей шифрования дисков BitLocker, необходимо использовать учетную запись с достаточными правами. Вы должны быть администратором домена или иметь достаточные права от администратора домена.
Обзор
Средство просмотра паролей восстановления BitLocker позволяет находить и просматривать пароли восстановления BitLocker, хранящиеся в AD DS. Это средство можно использовать для восстановления данных, хранящихся на томе, который был зашифрован с помощью BitLocker. Средство просмотра паролей восстановления BitLocker — это расширение для оснастки MMC Пользователи и компьютеры Active Directory. После установки этого средства можно просмотреть диалоговое окно Свойства объекта компьютера, чтобы просмотреть соответствующие пароли восстановления BitLocker. Кроме того, можно щелкнуть правой кнопкой мыши контейнер домена и найти пароль восстановления BitLocker во всех доменах в лесу Active Directory (несколько доменов).
Прежде чем использовать средство просмотра паролей восстановления BitLocker для просмотра паролей восстановления BitLocker, необходимо выполнить следующие условия:
- Домен должен быть настроен для хранения сведений о восстановлении BitLocker.
- Компьютеры под управлением Windows Vista должны быть присоединены к домену.
- Шифрование диска BitLocker должно быть включено на компьютерах под управлением Windows Vista.
Получение средства просмотра паролей восстановления BitLocker для Windows XP
Чтобы получить средство просмотра паролей восстановления BitLocker для Windows XP/Windows Server 2003, обратитесь к специалисту служба поддержки Майкрософт.
Чтобы установить средство просмотра паролей восстановления BitLocker на компьютере под управлением Windows XP, сначала необходимо установить последнюю версию средств администрирования Windows Server 2003.
Права на установку средства просмотра паролей восстановления BitLocker
Чтобы успешно установить средство просмотра паролей восстановления BitLocker, программа установки должна обновить базу данных конфигурации Active Directory. Программа установки добавляет следующие два атрибута в AD DS, если эти два атрибута еще не присутствуют.
| Тип объектов | Значение объекта |
|---|---|
| Объект | CN=computer-Display |
| Container | CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com |
| Имя атрибута | adminPropertyPages |
| Значение атрибута | GUID средства просмотра паролей |
| Тип объектов | Значение объекта |
|---|---|
| Объект | CN=domainDNS-Display |
| Container | CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com |
| Имя атрибута | adminContextMenu |
| Значение атрибута | GUID средства просмотра паролей |
Примечание.
В этих таблицах используются следующие значения:
- Идентификатор GUID средства просмотра паролей — 2FB1B669-59EA-4F64-B728-05309F2C11C8.
- LanguageID для английского языка — 409. Программа установки обновляет все идентификаторы языков, чтобы можно было запустить средство просмотра паролей восстановления BitLocker на всех доступных языках.
Эти изменения в AD DS влияют на каждый домен в лесу. Для изменения базы данных конфигурации Active Directory необходимо иметь права администратора предприятия. Однако после установки средства просмотра паролей восстановления BitLocker в лесу вам потребуется только разрешение на чтение базы данных конфигурации Active Directory для последующих установок средства средства просмотра паролей восстановления BitLocker. По умолчанию все пользователи домена имеют разрешения на чтение для базы данных конфигурации Active Directory.
Подводя итоги, необходимо иметь следующие права на установку средства просмотра паролей восстановления BitLocker:
- При первой установке средства просмотра паролей восстановления BitLocker необходимо иметь права администратора предприятия. Эти права позволяют изменять базу данных конфигурации Active Directory.
- При следующей установке средства просмотра паролей восстановления BitLocker необходимо иметь права пользователя домена вместе с правами локального администратора на компьютере, на котором вы хотите установить средство просмотра паролей восстановления BitLocker.
Сведения о реестре
Перед первым запуском этого средства в домене выполните следующую команду из системной папки Windows от имени администратора предприятия:
regsvr32.exe BdeAducExt.dll
При последующем использовании средства в домене вам не придется запускать Regsvr32.exe.
Сведения об устранении неполадок с установкой
Права на установку одинаковы для Windows XP и Windows Vista. Используйте следующие сведения, чтобы устранить неполадки при установке сообщений об ошибках, которые могут возникать при установке средства средства просмотра паролей восстановления BitLocker:
Сообщение об ошибке 1
Недостаточно места для обработки этой команды.
Это сообщение об ошибке появляется, если вы установили версию Windows XP средства просмотра паролей восстановления BitLocker на компьютере под управлением Windows Vista. Необходимо установить версию средства под управлением Windows Vista на компьютерах под управлением Windows Vista.
Сообщение об ошибке 2
У вас нет разрешения на обновление Windows XP. Обратитесь к системному администратору.
Это сообщение об ошибке появляется, если у вас нет достаточных прав для установки средства просмотра паролей восстановления BitLocker на компьютере под управлением Windows XP. Для установки этого средства необходимо иметь права локального администратора.
Сообщение об ошибке 3
Не удается подключиться к контроллеру домена. Вы должны войти в систему как пользователь домена с подключением к сети.
Это сообщение об ошибке появляется, если выполняется одно из следующих условий:
- Компьютер не подключен к сети или компьютер не может взаимодействовать с доменом.
- Вы не вошли на компьютер в качестве пользователя домена.
Сообщение об ошибке 4
У вас нет разрешений на выполнение этой установки. Требуются права администратора предприятия.
Это сообщение об ошибке может появиться при попытке установить первый экземпляр средства просмотра паролей восстановления BitLocker в лесу. Для первой установки этого средства необходимо иметь разрешения на чтение и запись для объекта computer-Display и объекта domainDNS-Display в AD DS. Кроме того, необходимо иметь разрешения на чтение и запись для родительских контейнеров этих объектов в базе данных конфигурации Active Directory. По умолчанию члены группы администраторов предприятия имеют разрешения на чтение и запись для этих объектов.
Сообщение об ошибке 5
Сбой установки с кодом ошибки: 0x8007200A
Это сообщение об ошибке может появиться при попытке выполнить вторую или более позднюю установку средства средства просмотра паролей восстановления BitLocker в домене. Чтобы выполнить вторую или более позднюю установку этого средства, необходимо иметь по крайней мере разрешения на чтение для объекта computer-Display и объекта domainDNS-Display в AD DS. Кроме того, необходимо иметь по крайней мере разрешения на чтение для родительских контейнеров этих объектов в базе данных конфигурации Active Directory.
Удаление средства просмотра паролей восстановления BitLocker
Чтобы удалить средство восстановления BitLocker, выполните следующие действия.
- Нажмите кнопку Запустить>, введитеappwiz.cplи нажмите кнопку ОК.
- В диалоговом окне Добавление и удаление программ выберите флажок Показать обновления проверка.
- В списке Установленные программы щелкните Средство просмотра паролей восстановления BitLocker (для Пользователи и компьютеры Active Directory)>Удалить.
- Если появится сообщение о том, что другие программы могут работать неправильно при удалении этого обновления, нажмите кнопку Да , чтобы подтвердить удаление этого обновления.
Примечание.
Удаление средства просмотра паролей восстановления BitLocker не препятствует правильной работе других программ.
- Выполните оставшиеся действия мастера, чтобы удалить средство средства просмотра паролей восстановления BitLocker.
Сведения об использовании
Средство просмотра паролей восстановления BitLocker расширяет Пользователи и компьютеры Active Directory оснастки MMC. Чтобы запустить Пользователи и компьютеры Active Directory, нажмите кнопку Запустить>, введите dsa.msc и нажмите кнопку ОК.
В следующих сведениях описывается использование средства просмотра паролей восстановления BitLocker.
Просмотр паролей восстановления для компьютера
В Пользователи и компьютеры Active Directory найдите и щелкните контейнер, в котором находится компьютер. Например, щелкните контейнер Компьютеры .
Дополнительные сведения о создании сохраненного запроса см. на следующем веб-сайте Майкрософт:
Щелкните правой кнопкой мыши объект компьютера и выберите пункт Свойства.
В диалоговом окне Свойства ComputerName откройте вкладку Восстановление BitLocker , чтобы просмотреть пароли восстановления BitLocker, связанные с конкретным компьютером.
Копирование паролей восстановления для компьютера
- Выполните действия, описанные в разделе "Просмотр паролей восстановления для компьютера", чтобы просмотреть пароли восстановления BitLocker.
- На вкладке Восстановление BitLocker диалогового окна Свойства Имя_компьютера щелкните правой кнопкой мыши пароль восстановления BitLocker, который нужно скопировать, и выберите команду Копировать сведения.
- Вставьте скопированный текст в место назначения.
Поиск пароля восстановления
В Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши контейнер домена и выберите пункт Найти пароль восстановления BitLocker.
В диалоговом окне Поиск пароля восстановления BitLocker введите первые восемь символов пароля восстановления в поле Идентификатор пароля (первые 8 символов) и нажмите кнопку Поиск.
Часто задаваемые вопросы о средстве просмотра паролей восстановления BitLocker
Вопрос 1. Как средство просмотра паролей восстановления BitLocker может помочь разблокировать зашифрованный том?
О1. При запуске компьютера на экране восстановления BitLocker Windows Vista предоставляет метку диска и идентификатор пароля. Эти сведения можно использовать вместе со средством просмотра паролей восстановления BitLocker, чтобы найти соответствующий пароль восстановления BitLocker, хранящийся в AD DS.
Вопрос 2. Может ли кто-нибудь использовать средство просмотра паролей восстановления BitLocker для поиска паролей восстановления?
A2: Нет. Для просмотра паролей восстановления необходимо быть администратором домена или иметь делегированные разрешения администратором домена.
Если пользователь, у которого нет достаточных прав, устанавливает средство просмотра паролей восстановления BitLocker, этот пользователь не сможет найти пароли восстановления для любого компьютера. Кроме того, если вы используете средство просмотра паролей восстановления BitLocker для поиска паролей восстановления среди всех доменов в лесу, результаты возвращаются только из доменов, в которых у вас есть достаточные права.
Примечание.
Средство просмотра паролей восстановления BitLocker не может различать ситуацию, в которой пароли восстановления отсутствуют для определенного компьютера, и ситуацию, в которой у вас нет достаточных прав на просмотр пароля восстановления для определенного компьютера.
Вопрос 3. Что делать, если сохраненный пароль восстановления не отображается на вкладке "Восстановление BitLocker" диалогового окна "Свойства имени компьютера"?
A3. Обычно пароли восстановления BitLocker для определенного компьютера отображаются на вкладке Восстановление BitLocker диалогового окна Свойства имени компьютера для этого компьютера. Однако если компьютер переименован, возможно, вам не удастся найти нужный компьютер. Это связано с тем, что сведения о метках диска по-прежнему содержат исходное имя компьютера. В этой ситуации для поиска пароля восстановления необходимо использовать сведения об идентификаторе пароля.
Вопрос 4. Почему только первые восемь символов идентификатора пароля используются для поиска расположения пароля восстановления?
A4. Это решение предназначено для упрощения поиска паролей восстановления без ущерба для точности операции поиска. Тесты, которые случайным образом создали более миллиона идентификаторов паролей, обычно давали только 100 дубликатов для первых восьми символов идентификатора пароля. Таким образом, даже если у вас есть миллион паролей восстановления в домене поиска, маловероятно, что два пароля восстановления будут возвращены одной операцией поиска. Кроме того, еще более маловероятно, что в одном и том же поиске будет возвращено более двух паролей восстановления.
Примечание.
Рекомендуется проверить возвращенный пароль восстановления, чтобы убедиться, что он совпадает со всем идентификатором пароля, который использовался для выполнения поиска. Это необходимо, чтобы убедиться, что вы получили уникальный пароль восстановления.
Вопрос 5. Сколько времени занимает поиск пароля восстановления во всех доменах?
A5. Как правило, поиск идентификатора пароля во всех доменах леса занимает не более нескольких секунд. Однако производительность может снизиться, если выполняются следующие условия:
- Сервер глобального каталога находит пароль восстановления в домене.
- Сервер глобального каталога не может подключиться к конкретному домену.
Вопрос 6. Разделы справки устранить неполадки, которые могут возникнуть при использовании средства просмотра паролей восстановления BitLocker?
A6. Используйте следующие сведения, чтобы устранить проблемы, возникающие при использовании средства просмотра паролей восстановления BitLocker.
- Если вам не удается найти пароль восстановления, когда вы планируете найти его, убедитесь, что у вас есть достаточные права на просмотр паролей восстановления.
- Если при поиске пароля восстановления появляется сообщение об ошибке "Не удается получить сведения о пароле восстановления", убедитесь, что серверы глобального каталога и другие контроллеры домена могут взаимодействовать правильно.
Дополнительные сведения о средстве восстановления BitLocker см. на следующем веб-сайте Майкрософт:
928201 Использование средства восстановления BitLocker для восстановления данных из зашифрованного тома в Windows Vista или Windows Server 2008
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по