Napomena
Izvorni datum objave: Ožujak 16, 2026
Zadnji datum ažuriranja: Neka 12, 2026
ID baze znanja: 5084567
Sadržaj članka
- Pregled
- Ključne značajke
- Referenca za postavke Ažuriranja certifikata
- Arhitektura
- Faza 1: Otkrivanje i praćenje statusa na naplati Enterprise
- 2. faza: skripta orkestracije ažuriranja certifikata sigurnog pokretanja sustava
- Koraci za implementaciju E2E protokola (vodič za brzi pregled)
- Otklanjanje poteškoća
- Zapisnik promjena
Pregled
U ovom se vodiču opisuje sustav automatizirane implementacije ažuriranja certifikata za Windows Secure Boot DB pomoću pravilnik grupe i progresivnih valova uvođenja.
Automatizacija uvođenja certifikata sigurnog pokretanja sustava je sustav temeljen na komponenti PowerShell koji implementira ažuriranja certifikata baze podataka sigurnog pokretanja sustava Windows na računala pridružena domeni na kontrolirani, postupni način.
Ključne značajke
| Značajka | Opis |
|---|---|
| Postupno uvođenje | 1 > 2 > 4 > 8... Uređaji po grupi |
| Automatsko blokiranje | Grupe s nedostupnim uređajima su izuzete |
| Automatizirana implementacija GPO-a | Jedna skripta orkestratora obrađuje sve |
| Zakazano izvršavanje zadatka | Nisu potrebni interaktivni upiti |
| Praćenje u stvarnom vremenu | Preglednik statusa s trakom tijeka |
Referenca za postavke Ažuriranja certifikata
Sadržaj odjeljka
Pravilnik grupe AvailableUpdatesPolicy
| Mjesto registra | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Naziv | AvailableUpdatesPolicy |
| Vrijednost | 0x5944 (DWORD) |
To je ključ kojim upravlja GPO/ADMX koji:
- Zadržava se nakon ponovnih pokretanja
- Postavlja ga pravilnik grupe / MDM
- Ne uzrokuje petlje ponovnog pokušaja (poništava se putem ClearRolloutFlags)
- Je li odgovarajući ključ za implementaciju utemeljenu na pravilima
povratak na "Referenca za postavke Ažuriranja certifikata"
WinCSFlags – zastavice konfiguracijskog sustava za Windows
Administratori domena mogu alternativno koristiti konfiguracijski sustav Windows (WinCS) koji je izdan s ažuriranjima za operacijski sustav Windows za implementaciju ažuriranja sigurnog pokretanja na svim klijentima i poslužiteljima sustava Windows pridruženima domeni. Sastoji se od uslužnog programa sučelja naredbenog retka (CLI) za postavljanje upita i primjenu konfiguracija sigurnog pokretanja lokalno na računalo.
| Naziv značajke | Ključ WinCS | Opis |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Omogućivanje tog ključa omogućuje instalaciju sljedećih novih certifikata za sigurno pokretanje sustava koje je omogućila tvrtka Microsoft na vašem uređaju.
|
Referenca: API-ji konfiguracijskog sustava za Windows (WinCS) za sigurno pokretanje
povratak na "Referenca za postavke Ažuriranja certifikata"
Arhitektura
1. faza: otkrivanje i praćenje statusa na razini tvrtke
Sadržaj odjeljka
- Skripte potrebne za 1. fazu
- Lokalno testiranje
- Postavljanje zajedničkog korištenja putem mreže
- Implementacija GPO-a
- Sažetak postavki objekta pravilnika grupe
- Provjera
Skripte potrebne za 1. fazu
Ogledne skripte za prikupljanje podataka inventara sigurnog pokretanja sustava
Napomena
VAŽNO Sljedeći članci koji sadrže primjere skripti povučeni su iz upotrebe. Ako ste instalirali ažuriranje sustava Windows objavljeno 12. svibnja 2026. ili kasnije, ogledne skripte možete pronaći u mapi %systemroot%\SecureBoot\ExampleRolloutScripts na uređaju .
| Ogledni naziv skripte | Svrha | Pokreće se na sustavima |
|---|---|---|
| Ogledna Detect-SecureBootCertUpdateStatus.ps1 skripta | Prikuplja podatke o statusu uređaja | Svaka krajnja točka (putem GPO-a) |
| Ogledna Aggregate-SecureBootData.ps1 skripta | Generira izvješća i nadzorne ploče | Administrator radne stanice |
| Ogledna Deploy-GPO-SecureBootCollection.ps1 skripta | Automatizira stvaranje objekta pravilnika grupe za prikupljanje podataka | Kontroler domene |
Primjer izlaza iz prethodno navedenih skripti 1. faze
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
Lokalno testiranje
Prije implementacije putem GPO-a testirajte skriptu za prikupljanje na jednom računalu da biste provjerili funkcionalnost.
Lokalno pokretanje skripte zbirke
Otvorite privilegirani PowerShell prompt i izvršite sljedeće:
Napomena
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Provjera JSON izlaza
Napomena
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListKljučna polja za provjeru
• SecureBootEnabled – trebao bi biti True ili False
• OverallStatus – dovršen, spremanzaažuriranje, needsData ili pogreška
• BucketHash – grupa uređaja za podudaranje podataka pouzdanosti
• SecureBootTaskEnabled – prikazuje status zadatka ažuriranja sigurnog pokretanja sustava.Test Aggregation Script
Napomena
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-outputPath "C:\Temp\SecureBootReports"
Otvaranje HTML nadzorne ploče
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
Postavljanje zajedničkog korištenja putem mreže
Stvaranje zajedničkog mrežnog resursa
Na poslužitelju datoteka stvorite namjenski zajednički resurs za prikupljanje podataka:
Napomena
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Stvaranje mape
New-Item -ItemType Directory -Path $SharePath -Force
Create hidden share ($ suffix hides from browse list)
New-SmbShare -Name $ShareName -path $SharePath '
-Description "Zbirka statusa certifikata sigurnog pokretanja" '
-FullAccess "Administratori domene" '
-ChangeAccess "Računala domene"Konfiguriranje NTFS dozvola
Napomena
# Get current ACL
$Acl = Get-Acl $SharePath
Dopuštanje autoriziranim korisnicima da pišu datoteke
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Računala domene" i
"Izmijeni",
"ContainerInherit,ObjectInherit",
"Ništa",
"Dopusti"
)
$Acl.AddAccessRule($WriteRule)
Dopuštanje potpune kontrole administratorima domene (za agregaciju)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Administratori domene",
"FullControl",
"ContainerInherit,ObjectInherit",
"Ništa",
"Dopusti"
)
$Acl.AddAccessRule($AdminRule)
Primijeni dozvole
Set-Acl -Path $SharePath -AclObject $Acl
Provjera pristupa za zajedničko korištenje
Napomena
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Trebao bi vratiti: True
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
Implementacija GPO-a
Upotrijebite skriptu automatizacije koju ste dobili s domenskog kontrolera:
Napomena
Pokreni na kontroloru domene kao Administrator domene za interaktivni odjeljak OU – preporučeno
Znak "Contoso.com", "Contoso" zamijenite nazivom domene
Datotečni poslužitelj zamijenite nazivom datotečnog poslužitelja. Skripta prikazuje popis organizacijskih jedinica za implementaciju GPO-a
.\Deploy-GPO-SecureBootCollection.ps1 '
-NazivDomene "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Raspored "Dnevno" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Ta skripta izvodi sljedeće:
- Stvara novi objekt pravilnika grupe s određenim nazivom
- Kopira skriptu zbirke u SYSVOL radi visoke dostupnosti
- konfigurira skriptu za pokretanje računala
- povezuje objekt pravilnika grupe s ciljnom organizacijskom jedinicom
- po želji stvara zakazani zadatak za periodičko prikupljanje
Sljedeća tablica pruža smjernice o trajanju kašnjenja na temelju veličine vašeg voznog parka.
| Veličina voznog parka | Raspon odgode |
|---|---|
| 1 – 10 tisuća uređaja | 4 sata |
| 10K-50K uređaja | 8 sati |
| 50K+ uređaja | 12 – 24 sata |
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
Sažetak postavki objekta pravilnika grupe
| Postavka | Lokacija | Vrijednost |
|---|---|---|
| Startup Script | Konfiguracija računala → skripte | Detect-SecureBootCertUpdateStatus.ps1 |
| Parametri skripte | (isto) | -OutputPath "\\poslužitelj\zajedničko korištenje$" |
| Pravilnik o izvršenju | Predlošci → Administrator konfiguracije računala → PowerShell | Dopusti lokalno i udaljeno potpisivanje |
| Zakazani zadatak | Computer Config → Preferences → Scheduled Tasks | Zbirka dnevno/tjedna |
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
Provjera
Prisilno ažuriranje GPO-a na testnom stroju
Napomena
## On a test workstation
gpupdate /force
Ponovno pokrenite klijentska računala da biste pokrenuli skriptu ili će se pokrenuti sljedeći zakaz.
Restart-Computer – Force
Provjera zbirke podataka
Napomena
Provjera jesu li podaci prikupljeni (na datotečnom poslužitelju ili s bilo kojeg računala)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Descending |
Select-Object – prvih 10
Provjera JSON sadržaja
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Provjera aplikacije GPO
Napomena
Provjera je li objekt pravilnika grupe primijenjen na računalo
Select-String "SecureBoot"
Skripta sprema i lokalnu kopiju radi zalihosti:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
povratak na "Faza 1: Otkrivanje i praćenje statusa na razini poduzeća"
2. faza: skripte orkestracije ažuriranja certifikata sigurnog pokretanja sustava
Važno
Provjerite je li faza 1 dovršena, uključujući prikupljanje podataka na svakoj krajnjoj točki za udaljene zajedničke resurse poslužitelja.
Sadržaj odjeljka
- Skripte potrebne za 2. fazu
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Skripte potrebne za 2. fazu
Ogledne skripte za prikupljanje podataka inventara sigurnog pokretanja sustava
Napomena
VAŽNO Sljedeći članci koji sadrže primjere skripti povučeni su iz upotrebe. Ako ste instalirali ažuriranje sustava Windows objavljeno 12. svibnja 2026. ili kasnije, ogledne skripte možete pronaći u mapi %systemroot%\SecureBoot\ExampleRolloutScripts na uređaju .
| Ogledni naziv skripte | Svrha | Izvodi se na sljedećim uređajima: |
|---|---|---|
| Ogledna Detect-SecureBootCertUpdateStatus.ps1 skripta | Prikuplja podatke o statusu uređaja | Svaka krajnja točka (putem GPO-a) |
| Ogledna Aggregate-SecureBootData.ps1 skripta | Generira izvješća i nadzorne ploče | Administrator radne stanice |
| Ogledna Deploy-GPO-SecureBootCollection.ps1 skripta | Automatizira stvaranje objekta pravilnika grupe za prikupljanje podataka | Kontroler domene |
| Ogledna Start-SecureBootRolloutOrchestrator.ps1 skripta | Potpuno automatizirana, kontinuirana orkestracija s automatiziranom implementacijom GPO-a za instalaciju certifikata | Administrator radne stanice |
| Ogledna Deploy-OrchestratorTask.ps1 skripta | Implementira skriptu orkestratora kao zakazani zadatak za automatsko uvođenje | Kontroler domene |
| Ogledna Get-SecureBootRolloutStatus.ps1 skripta | Prikaz certifikata za sigurno pokretanje sustava Rollout status sa bilo koje radne stanice | Administrator Workstation |
| Ogledna Enable-SecureBootUpdateTask.ps1 skripta | Omogućuje zadatak ažuriranja sigurnog pokretanja | Na krajnjim točkama gdje je zadatak onemogućen (pokrenite ga samo jednom da biste omogućili zadatak ako je onemogućen) |
Natrag na "2. faza: skripte orkestracije ažuriranja certifikata za sigurno pokretanje"
Start-SecureBootRolloutOrchestrator.ps1
Svrha: Potpuno automatizirana, kontinuirana orkestracija s automatiziranom implementacijom GPO-a.
Funkcija
Pozivi Aggregate-SecureBootData.ps1 za status uređaja
Generira valove uvođenja pomoću progresivnog udvostručenja
Stvara GPO za implementaciju certifikata na jedan od sljedećih načina
- Sigurnosno pokretanje Pravilnik grupe AvailableUpdatesPolicy = 0x5944 (zadano)
- WinCS metoda (parametar –UseWinCS)
Stvaranje sigurnosnih grupa servisa Active Directory za ciljanje
Dodaje račune računala u sigurnosne grupe
Konfigurira filtriranje sigurnosti objekta pravilnika grupe
povezuje objekt pravilnika grupe s ciljnom organizacijskom jedinicom
Monitori blokiranih grupa (nedostupni uređaji)
Automatsko deblokiranje prilikom oporavka uređaja
Korištenje
Napomena
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Napomena
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSAdministrator naredbe
Napomena
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsNapomena
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"Napomena
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametri
Parametar Zadano Opis AggregationInputPath Obavezno UNC put do JSON datoteka krajnje točke ReportBasePath Obavezno Lokalni put za izvješća i stanje TargetOU Korijen domene OU za povezivanje GPO-ova WavePrefix SecureBoot-Rollout Prefix GPO/group imenovanje MaxWaitHours 72 Sati prije provjere dohvatljivosti uređaja PollIntervalMinutes 1440 Nekoliko minuta između provjera statusa DryRun False Prikaz što bi se dogodilo bez promjena Napomena
Napomena o PollIntervalMinutes: Pri izravnom pokretanju orkestratora zadana je vrijednost 1440 minuta (24 sata). Kada se implementira putem Deploy-OrchestratorTask.ps1, zadana je vrijednost 30 minuta. Skripta za implementaciju prosljeđuje vlastitu zadanu postavku orkestratoru. Upotrijebite 30 minuta za aktivno uvođenje, 1440 za nadzor održavanja.
Neobavezni parametri
Parametar Zadano Opis UseWinCS False Korištenje metode WinCS umjesto AvailableUpdatesPolicy GPO-a WinCSKey F33E0C8E002 Ključ WinCS za konfiguraciju sigurnog pokretanja AllowListPath (ništa) Put do datoteke s nazivima hostova koje treba OMOGUĆITI za ciljano/pilot-uvođenje. Podržava .txt i .csv. AllowADGroup (ništa) AD sigurnosnoj grupi računalnih računa na ALLOW. Primjer: "SecureBoot-Pilot-Computers" Put s popisa isključenja (ništa) Put do datoteke s nazivima glavnog računala koje treba IZUZETI iz uvođenja (VIP/izvršni uređaji) ExcludeADGroup (ništa) AD sigurnosne grupe računalnih računa. Primjer: "VIP-Computers" ListBlockedBuckets False Prikaz trenutno blokiranih grupa uređaja UnblockBucket (ništa) Deblokiranje određene grupe. Oblik: "Proizvođač|Model|BIOS" Deblokiraj sve False Deblokiranje svih blokiranih grupa uređaja
Natrag na "2. faza: skripte orkestracije ažuriranja certifikata za sigurno pokretanje"
Deploy-OrchestratorTask.ps1
Svrha: Implementira orkestrator kao zakazani zadatak sustava Windows.
Pogodnosti
- Nema sigurnosnih upita za PowerShell (zaobilaženje pravilnika izvršenja)
- kontinuirano se izvodi u pozadini
- Nije potrebna interakcija korisnika
- Preživljava ponovna pokretanja
Korištenje
Implementacija pomoću računa servisa domene (preporučuje se)
Koristi pravilnik grupe AvailableUpdates (zadana metoda)
Napomena
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"Korištenje WinCS metode
Napomena
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot" -UseWinCS
Implementacija uz račun SYSTEM
Koristi pravilnik grupe AvailableUpdates (zadana metoda)
Napomena
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Korištenje WinCS method.\Deploy-OrchestratorTask.ps1
Napomena
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSPreduvjeti za račun usluge
- Administrator domene (za New-GPO, New-ADGroup, Add-ADGroupMember)
- Pristup za čitanje za zajedničko korištenje JSON datoteka
- Pristup pisanju u ReportBasePath
Natrag na "2. faza: skripte orkestracije ažuriranja certifikata za sigurno pokretanje"
Get-SecureBootRolloutStatus.ps1
Svrha: Pogledajte tijek uvođenja s bilo koje radne stanice.
Što prikazuje
- stanje zakazanog zadatka (Aktivno ili spremno/Zaustavljeno)
- Broj trenutnog vala
- Ciljani naspram ažuriranih uređaja
- Vizualna traka prikaza tijeka
- Sažetak blokiranih grupa
- Veza na najnoviju HTML nadzornu ploču
Korištenje
Napomena
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Napomena
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Napomena
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedNapomena
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesNapomena
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogNapomena
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametri
Parametar Obavezno? Zadano Opis ReportBasePath Obavezno — Lokalni put do izvješća i datoteka stanja ShowLog Neobavezno False Prikaz nedavnih unosa u zapisnik orkestratora ShowBlocked Neobavezno False Prikaz pojedinosti o blokiranim grupama ShowWaves Neobavezno False Prikaz povijesti valnih valova Gledanje Neobavezno 0 (onemogućeno) Interval automatskog osvježavanja u sekundama. Primjer: -Watch 30 osvježava se svakih 30 sekundi. Otvori nadzornu ploču Neobavezno False Otvaranje najnovije HTML nadzorne ploče u zadanom pregledniku Primjer izlaza
Napomena
==============================================================
STATUS SIGURNOG POKRETANJA SUSTAVA
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Status: u tijeku
Trenutni val: 5
Ukupno ciljano: 1250
Ukupno ažurirano: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Pokrenite s -ShowBlocked za pojedinostiLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
Natrag na "2. faza: skripte orkestracije ažuriranja certifikata za sigurno pokretanje"
Koraci za implementaciju E2E protokola (vodič za brzi pregled)
Sadržaj odjeljka
1. faza: infrastruktura otkrivanja
1. korak: stvaranje zajedničkog korištenja zbirke
Napomena
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -name "SecureBootData$" -path $sharePath -fullAccess "Administratori domene" -ChangeAccess "Računala domene"Napomena
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Računala domene";"Izmijeni";"Dopusti")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclDrugi korak: implementacija otkrivanja GPO-a
Napomena
.\Deploy-GPO-SecureBootCollection.ps1 `
-NazivDomene "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"3. korak: pričekajte da krajnje točke podnesu izvješće (24 – 48 sati)
Napomena
Provjera tijeka prikupljanja
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Broj
Natrag na "Koraci za implementaciju E2E (vodič za brzi pregled)"
2. faza: orkestrirano uvođenje
4. korak: provjera preduvjeta
- Otkrivanje implementacije GPO-a (2. korak)
- JSON izvješćivanja najmanje 50+ krajnjih točaka
- Račun servisa s pravima Administrator domene
- Poslužitelj za upravljanje s komponentom PowerShell 5.1+
5. korak: Implementacija orkestratora kao zakazani zadatak
Napomena
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"Šesti korak: praćenje napretka
Napomena
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Sedmi korak: prikaz nadzorne ploče
Napomena
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard8. korak: upravljanje blokiranim grupama
Napomena
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsNapomena
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Proizvođač|Model|BIOS"9. korak: provjera dovršenosti
Napomena
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Status bi trebao biti "Dovršeno"
Natrag na "Koraci za implementaciju E2E (vodič za brzi pregled)"
State Files
Orkestrator održava stanje u ReportBasePath\RolloutState\:
| Datoteka | Opis |
|---|---|
| RolloutState.json | Povijest valova, ciljani uređaji, status |
| BlockedBuckets.json | Grupe koje je potrebno istražiti |
| DeviceHistory.json | Praćenje uređaja prema nazivu glavnog računala |
| Orchestrator_YYYYMMDD.log | Zapisnici dnevnih aktivnosti |
Natrag na "Koraci za implementaciju E2E (vodič za brzi pregled)"
Otklanjanje poteškoća
Sadržaj odjeljka
Orchestrator ne napreduje
Provjera zakazanog zadatka
Napomena
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Provjera zapisnika
Napomena
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Provjera svježine JSON podataka
Napomena
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Natrag na "Otklanjanje poteškoća"
Blokirane grupe
Popis je blokiran.
Napomena
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsIstražite dohvatljivost uređaja.
Provjerite postoje li problemi s opremom.
Deblokirajte nakon istrage.
Natrag na "Otklanjanje poteškoća"
GPO se ne primjenjuje
Provjerite postoji li objekt pravilnika grupe.
Napomena
Get-GPO -Name "SecureBoot-Rollout-Wave*"Provjerite sigurnosno filtriranje.
Napomena
Get-GPPermission -Name "GPO-Name" -AllProvjerite je li računalo u sigurnosnoj grupi.
Primijenite objekt pravilnika grupe na cilj.
Napomena
gpupdate /force
Natrag na "Otklanjanje poteškoća"
Zapisnik promjena
| Promjena datuma | Opis izmjene |
|---|---|
| Neka 12, 2026 | Prije je svaka ogledna datoteka skripte bila objavljena kao zasebni članci iz kojih se kopirala i zalijepila skripta. Počevši od ažuriranja sustava Windows objavljenih 12. svibnja 2026. i kasnije, ogledne skripte nalaze se u mapi %systemroot%\SecureBoot\ExampleRolloutScripts na vašem uređaju. |