Забележка
Първоначална дата на публикуване: 16 март 2026 г.
Последна дата на актуализация: 12 май 2026 г.
ИД на БЗ: 5084567
В тази статия
- Общ преглед
- Ключови характеристики
- Справка за настройките за Актуализации на сертификати
- Архитектура
- Фаза 1: Откриване и наблюдение на състоянието в Enterprise leve
- Фаза 2: Скрипт за оркестрация на актуализация на сертификат за защитено стартиране
- Стъпки за разполагане на E2E (ръководство за бърза справка)
- Отстраняване на неизправности
- Регистър на промените
Общ преглед
Това ръководство описва системата за автоматизирано разполагане за актуализации на сертификати на база данни за защитено стартиране на Windows чрез групови правила и вълни на постепенно внедряване.
Автоматизацията на внедряването на сертификат за защитено стартиране е система, базирана на PowerShell, която разполага актуализации на сертификати на база данни за защитено стартиране на Windows на компютри, присъединени към домейн, по контролиран и градуиран начин.
Ключови характеристики
| Функция | Описание |
|---|---|
| Постепенно внедряване | 1 > 2 > 4 > 8... Устройства на набор |
| Автоматично блокиране | Кофите с недостъпни устройства са изключени |
| Автоматизирано внедряване на GPO | Един скрипт на оркестратор обработва всичко |
| Планирано изпълнение на задача | Не са необходими интерактивни подкани |
| Наблюдение в реално време | Визуализатор на състоянието с лента на напредъка |
Справка за настройките за Актуализации на сертификати
В този раздел
- НаличниАктуализацииПравила за групови правила
- WinCSFlags – флагове на системата за конфигуриране на Windows
НаличниАктуализацииПравила за групови правила
| Местоположение на системния регистър | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Име | НаличниАктуализацииПравила |
| Стойност | 0x5944 (DWORD) |
Това е клавиш, управляван от GPO/ADMX, който:
- Продължава при рестартирания
- се задава от групови правила/MDM
- Не води до цикли за повторен опит (изчистено чрез ClearRolloutFlags)
- Правилният ключ за внедряване, управлявано от правила
Справка: Метод на обектите с групови правила (GPO) за защитено стартиране за устройства с Windows с актуализации, управлявани от информационни технологии
Обратно към "Справка за настройките на Актуализации на сертификати"
WinCSFlags – флагове на системата за конфигуриране на Windows
Домейновите администратори могат алтернативно да използват системата за конфигуриране на Windows (WinCS), издадена с актуализации за операционната система Windows, за да разположат актуализациите на защитеното стартиране в присъединени към домейна клиенти и сървъри на Windows. Тя се състои от помощна програма за интерфейс за командния ред (CLI) за заявки и локално прилагане на конфигурации на защитеното стартиране към компютър.
| Име на функция | WinCS ключ | Описание |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Разрешаването на този ключ позволява инсталирането на следните нови сертификати за защитено стартиране, предоставени от Microsoft, на вашето устройство.
|
Справка: API на системата за конфигуриране на Windows (WinCS) за защитено стартиране
Обратно към "Справка за настройките на Актуализации на сертификати"
Архитектура
Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво
В този раздел
- Скриптове, необходими за фаза 1
- Локално тестване
- Настройка на мрежов дял
- Внедряване на GPO
- Обобщение на настройките на GPO
- Потвърждаване
Скриптове, необходими за фаза 1
Примерни скриптове за събиране на данни за инвентар на защитено стартиране
Забележка
ВАЖНО Следните статии, съдържащи примерните скриптове, са оттеглени. Ако сте инсталирали актуализация на Windows, издадена на или след 12 май 2026 г., примерните скриптове могат да бъдат намерени в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.
| Примерно име на скрипт | Цел | Работи в |
|---|---|---|
| Примерен скрипт на Detect-SecureBootCertUpdateStatus.ps1 | Събира данни за състоянието на устройството | Всяка крайна точка (чрез GPO) |
| Примерен скрипт на Aggregate-SecureBootData.ps1 | Генерира отчети и табла | Администрация работна станция |
| Примерен скрипт на Deploy-GPO-SecureBootCollection.ps1 | Автоматизира създаването на GPO за събиране на данни | Домейнов контролер |
Примерен резултат от горните скриптове на Фаза 1
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Локално тестване
Преди да разположите чрез GPO, тествайте скрипта за събиране на данни на една машина, за да проверите функционалността.
Локално изпълнение на скрипт за колекция
Отворете администраторска подкана на PowerShell и изпълнете:
Забележка
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Проверка на JSON изхода
Забележка
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListКлючови полета за проверка
• SecureBootEnabled – трябва да е вярно или грешно
• OverallStatus – Complete, ReadyForUpdate, NeedsData или грешка
• BucketHash – Набор устройства за съвпадение на достоверни данни
• SecureBootTaskEnabled – показва състоянието на задачата за актуализиране на защитеното стартиране.Скрипт за тестово агрегиране
Забележка
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Отваряне на HTML таблото
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Настройка на мрежов дял
Създаване на мрежовия дял
На вашия файлов сървър създайте специален дял за събиране на данни:
Забележка
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Създаване на папка
New-Item -ItemType Directory -Път $SharePath -Force
Създаване на скрит дял (суфиксът $ се скрива от списъка за разглеждане)
New-SmbShare -Name $ShareName -Path $SharePath '
-Описание: "Колекция за състояние на сертификат за защитено стартиране" '
-FullAccess "Domain Admins" '
-ChangeAccess "Domain Computers"Конфигуриране на разрешения за NTFS
Забележка
# Get current ACL
$Acl = Get-Acl $SharePath
Позволяване на удостоверени потребители да записват файлове
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Домейнови компютри" и
"Modify",
"ContainerInherit,ObjectInherit",
"Няма",
"Allow" (Разрешаване)
)
$Acl.AddAccessRule($WriteRule)
Разрешаване на пълен контрол (за агрегиране) на администраторите на домейни
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domain Admins",
"FullControl",
"ContainerInherit,ObjectInherit",
"Няма",
"Allow" (Разрешаване)
)
$Acl.AddAccessRule($AdminRule)
Прилагане на разрешения
Set-Acl -Path $SharePath -AclObject $Acl
Проверка на достъпа за споделяне
Забележка
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Трябва да се върне: True
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Внедряване на GPO
Използвайте скрипта за автоматизация, предоставен от домейнов контролер:
Забележка
Изпълнение на домейнов контролер като домейнов Администрация за интерактивна секция "OU" – препоръчва се
Заменете "Contoso.com", "Contoso" с името на домейна
Заместете FILESERVER с името на файловия сървър. Скриптът показва списък с OU за разполагане на GPO
.\Deploy-GPO-SecureBootCollection.ps1 '
-Име на домейн "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Планирайте "Ежедневно" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Този скрипт ще извърши следното:
- Създава нов GPO със зададено име
- Копира скрипта за колекция в SYSVOL за висока достъпност
- Конфигурира скрипта за стартиране на компютъра
- Свързва GPO с целеви OU
- По желание създава планирана задача за периодично събиране
Следващата таблица предоставя насоки за това колко дълго ще бъде закъснението в зависимост от размера на вашия автопарк.
| Размер на флота | Диапазон на забавяне |
|---|---|
| 1-10K устройства | 4 часа |
| 10K-50K устройства | 8 часа |
| 50K+ устройства | 12 – 24 часа |
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Обобщение на настройките на GPO
| Настройка | Местоположение | Стойност |
|---|---|---|
| Стартиране на скрипт | Computer Config → Scripts | Detect-SecureBootCertUpdateStatus.ps1 |
| Параметри на скрипт | (същото) | -OutputPath "\\server\share$" |
| Правила за изпълнение | Шаблони за конфигурация на компютъра → Администрация → PowerShell | Позволяване на локално и отдалечено влизане |
| Планирана задача | Предпочитания за конфигурацията на компютъра → → планираните задачи | Ежедневна/седмична колекция |
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Потвърждаване
Force GPO Update on Test Machine
Забележка
## On a test workstation
gpupdate /force
Рестартирайте машините клиенти, за да стартирате скрипт или той ще се задейства по следващия график.
Restart-Computer -Force
Проверка на събирането на данни
Забележка
Проверка дали са събрани данни (на файлов сървър или от компютър)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime – низходящо |
Select-Object – първите 10
Проверка на JSON съдържание
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Проверка на GPO приложение
Забележка
Проверете дали GPO е приложен към компютъра
Select-String "SecureBoot"
Скриптът записва също и локално копие за излишък:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"
Фаза 2: Скриптове за оркестрация на актуализация на сертификат за защитено стартиране
Важно
Уверете се, че Фаза 1 е завършена, включително събиране на данни за всяка крайна точка за отдалечените споделяния на сървъра.
В този раздел
- Скриптове, необходими за фаза 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Скриптове, необходими за фаза 2
Примерни скриптове за събиране на данни за инвентар на защитено стартиране
Забележка
ВАЖНО Следните статии, съдържащи примерните скриптове, са оттеглени. Ако сте инсталирали актуализация на Windows, издадена на или след 12 май 2026 г., примерните скриптове могат да бъдат намерени в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.
| Примерно име на скрипт | Цел | Изпълнява се на |
|---|---|---|
| Примерен скрипт на Detect-SecureBootCertUpdateStatus.ps1 | Събира данни за състоянието на устройството | Всяка крайна точка (чрез GPO) |
| Примерен скрипт на Aggregate-SecureBootData.ps1 | Генерира отчети и табла | Администрация работна станция |
| Примерен скрипт на Deploy-GPO-SecureBootCollection.ps1 | Автоматизира създаването на GPO за събиране на данни | Домейнов контролер |
| Примерен скрипт на Start-SecureBootRolloutOrchestrator.ps1 | Напълно автоматизирана, непрекъсната оркестрация с автоматизирано внедряване на GPO за инсталиране на сертификати | Администрация работна станция |
| Примерен скрипт на Deploy-OrchestratorTask.ps1 | Разполага скрипт на Orchestrator като планирана задача за автоматизирано внедряване | Домейнов контролер |
| Примерен скрипт на Get-SecureBootRolloutStatus.ps1 | Преглед на сертификата за защитено стартиране Състояние на пускане от която и да е работна станция | Администрация на работна станция |
| Примерен скрипт на Enable-SecureBootUpdateTask.ps1 | Разрешава задача за актуализиране на защитеното стартиране | В крайните точки, където задачата е забранена (изпълнете само веднъж, за да разрешите задачата, ако е забранена) |
обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"
Start-SecureBootRolloutOrchestrator.ps1
Предназначение: Напълно автоматизирана, непрекъсната оркестрация с автоматизирано GPO внедряване.
Как работи
Обаждания Aggregate-SecureBootData.ps1 за състоянието на устройството
Генерира вълни за внедряване с помощта на прогресивно удвояване
Създава GPO за разполагане на сертификат, като използва един от следните методи
- Защитено стартиране Групови правила AvailableUpdatesPolicy = 0x5944 (по подразбиране)
- Метод на WinCS (параметър –UseWinCS)
Създава AD защитни групи за насочване
Добавя акаунти на компютър към групи за защита
Конфигурира филтрирането на защитата от GPO
Свързва GPO с целеви OU
Следи за блокирани набори (недостъпни устройства)
Автоматично се деблокира, когато устройствата се възстановяват
Използване
Забележка
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Забележка
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSАдминистративни команди
Забележка
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsЗабележка
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockBucket "Dell|Географска ширина5520|BIOS1.2"Забележка
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockAllПараметри
Параметър По подразбиране Описание AggregationInputPath Задължителен UNC път до JSON файлове на крайна точка ReportBasePath Задължителен Локален път за отчети и състояние TargetOU Корен на домейн OU за свързване на GPO WavePrefix SecureBoot-Rollout Префикс за наименуване на групи от GPO/групи MaxWaitHours 72 Часове преди да проверите достъпността на устройството PollIntervalMinutes 1440 Минути между проверки на състоянието Пробег на суша False Показване какво би се случило без промени Забележка
Бележка за PollIntervalMinutes: При директно стартиране на Orchestrator настройката по подразбиране е 1440 минути (24 часа). Когато се разположи чрез Deploy-OrchestratorTask.ps1, настройката по подразбиране е 30 минути. Скриптът за разполагане предава свои собствени настройки по подразбиране на оркестратора. Използвайте 30 минути за активно внедряване, 1440 за наблюдение на поддръжката.
Незадължителни параметри
Параметър По подразбиране Описание UseWinCS False Използване на метод WinCS вместо AvailableUpdatesPolicy GPO WinCSKey F33E0C8E002 WinCS ключ за конфигуриране на защитено стартиране AllowListPath (няма) Път до файл с имена на хостове, за да ПОЗВОЛИТЕ целево/пилотно внедряване. Поддържа .txt или .csv. AllowADGroup (няма) Група за защита на AD от акаунти на компютъра, които да РАЗРЕШИТЕ. Пример: "SecureBoot-pilot-computers" ExclusionListPath (няма) Път до файл с имена на хостове, които да се ИЗКЛЮЧАТ от внедряването (VIP/executive устройства) ИзключваADGroup (няма) Група за защита на AD от компютърни акаунти, които трябва да се изключат. Пример: "VIP-компютри" ListBlockedBuckets False Показване на блокираните в момента набори устройства UnblockBucket (няма) Разблокиране на определен набор. Формат: "Производител|Модел|BIOS" Разблокиране на всички False Разблокирайте всички блокирани набори от устройства
обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"
Deploy-OrchestratorTask.ps1
Предназначение: Разполага Orchestrator като планирана задача в Windows.
Предимства
- Няма подкани за защита на PowerShell (заобикаляне на ExecutionPolicy)
- Изпълнява се непрекъснато във фонов режим
- Не се изисква взаимодействие с потребителя
- Оцелява след рестартирания
Използване
Разполагане с акаунт за домейнова услуга (препоръчва се)
Използване на групови правила AvailableUpdates (метод по подразбиране)
Забележка
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Използване на метод WinCS
Забележка
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "ДОМЕЙН\svc_secureboot" -UseWinCS
Разполагане със СИСТЕМЕН акаунт
Използване на групови правила AvailableUpdates (метод по подразбиране)
Забележка
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Използване на WinCS method.\Deploy-OrchestratorTask.ps1
Забележка
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSИзисквания към акаунта за услуга
- Администрация на домейн (за New-GPO, New-ADGroup, Add-ADGroupMember)
- Достъп за четене до споделяне на файлове JSON
- Достъп за писане в ReportBasePath
обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"
Get-SecureBootRolloutStatus.ps1
Предназначение: Виждате напредъка на внедряването от всяка работна станция.
Какво показва
- Състояние на планираната задача (изпълнявана/готова/спряна)
- Текущ номер на вълната
- Устройства, които са набелязани спрямо актуализирани
- Визуална лента на напредъка
- Резюме на блокираните набори
- Връзка към последното HTML табло
Използване
Забележка
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Забележка
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Забележка
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedЗабележка
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesЗабележка
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogЗабележка
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardПараметри
Параметър Задължително? По подразбиране Описание ReportBasePath Задължително — Локален път до отчети и файлове за състояние ShowLog Незадължително False Показване на последните записи в регистрационния файл на Orchestrator ShowBlocked Незадължително False Показване на подробна информация за блокирани набори ShowWaves Незадължително False Показване на хронологията на вълните Гледане Незадължително 0 (забранено) Интервал на автоматично обновяване в секунди. Пример: -Гледайте 30 обновявания на всеки 30 секунди. OpenDashboard Незадължително False Отваряне на последното HTML табло в браузъра по подразбиране Примерен резултат
Забележка
==============================================================
СЪСТОЯНИЕ НА ВНЕДРЯВАНЕТО НА ЗАЩИТЕНОТО СТАРТИРАНЕ
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Състояние: В ход на изпълнение
Текуща вълна: 5
Общо целеви: 1250
Общо актуализирани: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
За подробности изпълнете с -ShowBlockedLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"
Стъпки за разполагане на E2E (ръководство за бърза справка)
В този раздел
Фаза 1: Инфраструктура за откриване
Стъпка 1: Създаване на споделяне на колекция
Забележка
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"Забележка
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers";"Modify";"Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclСтъпка 2: Разполагане на GPO за откриване
Забележка
.\Deploy-GPO-SecureBootCollection.ps1 `
-Име на домейн "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Стъпка 3: Изчакайте крайните точки да докладват (24 – 48 часа)
Забележка
Проверка на напредъка на събирането
(Get-ChildItem "\\server\SecureBootData$" -filter "*.json"). Брой
обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"
Фаза 2: Оркестрирано внедряване
Стъпка 4: Проверка на задължителните компоненти
- Внедряване на GPO за откриване (стъпка 2)
- Най-малко 50+ JSON за отчитане на крайни точки
- Акаунт за услуга с права на Администрация на домейна
- Сървър за управление с PowerShell 5.1+
Стъпка 5: Разполагане на Orchestrator като планирана задача
Забележка
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Стъпка 6: Наблюдавайте напредъка
Забележка
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Стъпка 7: Преглед на таблото
Забележка
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardСтъпка 8: Управление на блокирани набори
Забележка
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsЗабележка
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockBucket "Manufacturer|Модел|BIOS"Стъпка 9: Проверка на изпълнението
Забележка
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Състоянието трябва да показва "Завършено"
обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"
State Files
Оркестраторът поддържа състояние в ReportBasePath\RolloutState\:
| Файл | Описание |
|---|---|
| RolloutState.json | История на вълните, целеви устройства, състояние |
| BlockedBuckets.json | Кофи, които се нуждаят от проучване |
| DeviceHistory.json | Проследяване на устройство по име на хост |
| Orchestrator_YYYYMMDD.log | Дневници на ежедневната дейност |
обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"
Отстраняване на неизправности
В този раздел
Orchestrator не напредва
Проверка на планирана задача
Забележка
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Проверка на регистрационните файлове
Забележка
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Проверка на актуалността на JSON данните
Забележка
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
обратно към "Отстраняване на неизправности"
Блокирани набори
Списъкът е блокиран.
Забележка
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsПроучете дали устройството е достъпно.
Проверете за проблеми с фърмуера.
Деблокиране след разследване.
обратно към "Отстраняване на неизправности"
Не се прилага GPO
Проверете дали GPO съществува.
Забележка
Get-GPO -Name "SecureBoot-Rollout-Wave*"Проверете филтрирането на защитата.
Забележка
Get-GPPermission -Name "GPO-Name" -AllПроверете дали компютърът е в групата за защита.
Приложете GPO към целта.
Забележка
gpupdate /force
обратно към "Отстраняване на неизправности"
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 12 май 2026 г. | Преди това всеки примерен скриптов файл се публикуваше като отделни статии, от които копирате и поставяте скрипта. Започвайки с актуализациите на Windows, издадени на и след 12 май 2026 г., примерните скриптове се намират в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство. |