Megjegyzés
Eredeti közzétételi dátum: Március 16, 2026
Legutóbbi frissítés dátuma: 2026. május 12.
Tudásbáziscikk azonosítója: 5084567
A témakör tartalma
- Áttekintés
- Főbb jellemzők
- A tanúsítványok Frissítések beállításainak részletes ismertetése
- Architektúra
- 1. fázis: Észlelés és állapotfigyelés nagyvállalati szinten
- 2. fázis: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájlja
- Az E2E üzembe helyezésének lépései (Rövid összefoglalás)
- Hibaelhárítás
- Módosítási napló
Áttekintés
Ez az útmutató a Windows biztonságos rendszerindítási adatbázis tanúsítványfrissítéseinek automatizált központi telepítési rendszerét ismerteti Csoportházirend és progresszív bevezetési hullámok használatával.
A Secure Boot Certificate Rollout Automation egy PowerShell-alapú rendszer, amely szabályozott, fokozatos módon telepíti a Windows Secure Boot DB tanúsítványfrissítéseket a tartományhoz csatlakoztatott gépekre.
Főbb jellemzők
| Funkció | Leírás: |
|---|---|
| Fokozatos bevezetés | 1 > 2 > 4 > 8... eszközök gyűjtőnként |
| Automatikus letiltás | Az elérhetetlen eszközökkel rendelkező gyűjtők nem tartoznak ide |
| A csoportházirend-objektum automatizált üzembe helyezése | Egyetlen vezénylési parancsfájl kezel mindent |
| Ütemezett feladat végrehajtása | Nincs szükség interaktív parancsokra |
| Valós idejű monitorozás | Állapotmegjelenítő folyamatjelzővel |
A tanúsítványok Frissítések beállításainak részletes ismertetése
A szakasz tartalma
AvailableUpdatesPolicy csoportházirend
| Beállításjegyzék helye | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Név | AvailableUpdatesPolicy |
| Érték | 0x5944 (DWORD) |
Ez az a GPO/ADMX által vezérelt kulcs, amely:
- Az újraindítások során is megmarad
- Csoportházirend/MDM állítja be.
- Nem okoz újrapróbálkozási hurkokat (a ClearRolloutFlags segítségével törölve)
- Helyes-e a kulcs a házirenden alapuló telepítéshez?
vissza a "Tanúsítvány-Frissítések beállításainak referenciájához"
WinCSFlags – Windows konfigurációs rendszer jelzői
A tartományi rendszergazdák a Windows operációs rendszer frissítéseivel kiadott Windows konfigurációs rendszer (WinCS) segítségével is üzembe helyezhetik a biztonságos rendszerindítási frissítéseket a tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Ez egy parancssori felület (CLI) segédprogramból áll, amely lekérdezi és helyileg alkalmazza a biztonságos rendszerindítási konfigurációkat a gépen.
| Funkció neve | WinCS-kulcs | Leírás: |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Ennek a kulcsnak az engedélyezése lehetővé teszi a következő, Microsoft által biztosított biztonságos rendszerindítási új tanúsítványok telepítését az eszközön.
|
Referencia: Windows konfigurációs rendszer (WinCS) API-k a biztonságos rendszerindításhoz
vissza a "Tanúsítvány-Frissítések beállításainak referenciájához"
Architektúra
1. fázis: Észlelés és állapotfigyelés vállalati szinten
A szakasz tartalma
- Az 1. fázishoz szükséges parancsfájlok
- Helyi tesztelés
- Hálózati megosztás beállítása
- A csoportházirend-objektum üzembe helyezése
- A csoportházirend-objektum beállításainak összegzése
- Ellenőrzés
Az 1. fázishoz szükséges parancsfájlok
Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljainak példái
Megjegyzés
FONTOS A minta parancsfájlokat tartalmazó következő cikkek megszűntek. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók.
| Példa szkriptnévre | Rendeltetés | Futtatás időtartama |
|---|---|---|
| Minta Detect-SecureBootCertUpdateStatus.ps1 parancsprogram | Eszközállapot-adatokat gyűjt | Minden végpont (csoportházirend-objektumon keresztül) |
| Minta Aggregate-SecureBootData.ps1 parancsprogram | Jelentéseket és irányítópultokat generál | Rendszergazdai munkaállomás |
| Minta Deploy-GPO-SecureBootCollection.ps1 parancsprogram | Automatizálja a csoportházirend-objektumok létrehozását az adatgyűjtéshez | Tartományvezérlő |
Példakimenet a fenti 1. fázisú szkriptekből
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
Helyi tesztelés
A csoportházirend-objektumon keresztüli üzembe helyezés előtt egyetlen gépen tesztelje a gyűjtési szkriptet a működés ellenőrzéséhez.
Gyűjteményparancsfájl helyi futtatása
Nyisson meg egy rendszergazda jogú PowerShell-parancssort, és hajtsa végre a következőket:
Megjegyzés
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"JSON kimenet ellenőrzése
Megjegyzés
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListEllenőrizendő kulcsmezők
• SecureBootEnabled – Igaznak vagy hamisnak kell lennie
• OverallStatus – kész, Ready for Update, NeedsData vagy Error
• BucketHash – Eszköz gyűjtő a megbízhatósági adatok egyeztetéséhez
• SecureBootTaskEnabled - A biztonságos rendszerindítási frissítési feladat állapotát mutatja.Tesztelési összesítő parancsfájl
Megjegyzés
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
A HTML-irányítópult megnyitása
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
Hálózati megosztás beállítása
A hálózati megosztás létrehozása
A fájlkiszolgálón hozzon létre egy külön megosztást az adatgyűjtési adatok számára:
Megjegyzés
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Mappa létrehozása
New-Item -ItemType Directory -Path $SharePath -Force
Rejtett megosztás létrehozása (a $ utótag elrejt a tallózási listából)
New-SmbShare -Name $ShareName -Path $SharePath '
-Leírás: "Secure Boot Certificate Status Collection" '
-FullAccess "Domain Admins" '
-ChangeAccess "Tartományi számítógépek"NTFS-engedélyek konfigurálása
Megjegyzés
# Get current ACL
$Acl = Get-Acl $SharePath
Fájlok írásának engedélyezése hitelesített felhasználók számára
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Tartományi számítógépek" és
"Módosítás",
"ContainerInherit,ObjectInherit",
"Nincs",
"Engedélyezés"
)
$Acl.AddAccessRule($WriteRule)
Teljes hozzáférés megadása a tartományi rendszergazdáknak (az összesítéshez)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Tartományi rendszergazdák",
"TeljesHozzáférés",
"ContainerInherit,ObjectInherit",
"Nincs",
"Engedélyezés"
)
$Acl.AddAccessRule($AdminRule)
Engedélyek alkalmazása
Set-Acl -Path $SharePath -AclObject $Acl
A megosztáshoz való hozzáférés ellenőrzése
Megjegyzés
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Eredmény: Igaz
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
A csoportházirend-objektum üzembe helyezése
Használja a tartományvezérlő által biztosított automatizálási parancsfájlt:
Megjegyzés
Futtatás tartományvezérlőn tartományi rendszergazdaként az interaktív szervezeti egység szakaszhoz – ajánlott
Cserélje le a "Contoso.com" és a "Contoso" karaktereket a tartomány nevére
A FILESERVER szót cserélje le a fájlkiszolgáló nevével. A parancsfájl megjeleníti azon szervezeti egységek listáját, amelyeken üzembe helyezheti a csoportházirend-objektumot
.\Deploy-GPO-SecureBootCollection.ps1 '
-DomainName "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
- Ütemezés "naponta" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
A parancsprogram a következőket hajtja végre:
- Létrehoz egy új csoportházirend-objektumot megadott névvel.
- Gyűjteményparancsfájl másolása a SYSVOL-ba a magas rendelkezésre állás érdekében
- Konfigurálja a számítógép-indítási parancsfájlt
- A csoportházirend-objektum összekapcsolása a célszervezettel
- Opcionálisan rendszeres gyűjtéshez szükséges ütemezett feladat létrehozása
Az alábbi táblázat útmutatást ad arra vonatkozóan, hogy a flotta méretétől függően mennyi ideig lesz a késés.
| Flotta mérete | Késleltetési tartomány |
|---|---|
| 1–10 ezres eszköz | 4 óra |
| 10K-50K eszközök | 8 óra |
| 50K+ eszköz | 12–24 óra |
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
A csoportházirend-objektum beállításainak összegzése
| Beállítás | Hely: | Érték |
|---|---|---|
| Indítási parancsfájl | Számítógép-konfiguráció → parancsfájlok | Detect-SecureBootCertUpdateStatus.ps1 |
| Parancsfájl paraméterei | (ugyanaz) | -OutputPath "\\server\share$" |
| Végrehajtási házirend | Számítógépes konfigurációs → Rendszergazda sablonok → PowerShell | Helyi és távoli aláírt engedélyezése |
| Ütemezett tevékenység | Számítógép-konfiguráció → beállítások → ütemezett feladatok | Napi/heti gyűjtés |
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
Ellenőrzés
A csoportházirend-objektum frissítésének kényszerítése a Test Machine esetében
Megjegyzés
## On a test workstation
gpupdate /force
Indítsa újra az ügyfélgépeket indítási parancsfájllal, különben a következő ütemezés szerint fog elindulni.
Restart-Computer -Force
Az adatgyűjtés ellenőrzése
Megjegyzés
Annak ellenőrzése, hogy történt-e adatgyűjtés (a fájlkiszolgálón vagy bármely gépről)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime – csökkenő |
Select-Object – Első 10
JSON-tartalom ellenőrzése
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
A csoportházirend-objektum alkalmazásának ellenőrzése
Megjegyzés
A csoportházirend-objektum alkalmazásának ellenőrzése a számítógépen
Select-String "SecureBoot"
A parancsfájl a redundancia végett menti a helyi másolatot is:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"
2. fázis: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai
Fontos
Győződjön meg arról, hogy az 1. fázis befejeződött, beleértve az adatgyűjtést a távoli kiszolgálómegosztások minden egyes végpontján.
A szakasz tartalma
- A 2. fázishoz szükséges parancsfájlok
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
A 2. fázishoz szükséges parancsfájlok
Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljainak példái
Megjegyzés
FONTOS A minta parancsfájlokat tartalmazó következő cikkek megszűntek. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók.
| Példa parancsprogram nevére | Rendeltetés | A következőkön futtatható |
|---|---|---|
| Minta Detect-SecureBootCertUpdateStatus.ps1 parancsprogram | Eszközállapot-adatokat gyűjt | Minden végpont (csoportházirend-objektumon keresztül) |
| Minta Aggregate-SecureBootData.ps1 parancsprogram | Jelentéseket és irányítópultokat generál | Rendszergazdai munkaállomás |
| Minta Deploy-GPO-SecureBootCollection.ps1 parancsprogram | Automatizálja a csoportházirend-objektumok létrehozását az adatgyűjtéshez | Tartományvezérlő |
| Minta Start-SecureBootRolloutOrchestrator.ps1 parancsprogram | Teljesen automatizált, folyamatos vezénylés a tanúsítványok telepítéséhez szükséges csoportházirend-objektum automatizált üzembe helyezésével | Rendszergazdai munkaállomás |
| Minta Deploy-OrchestratorTask.ps1 parancsprogram | Vezénylési parancsfájlt üzembe helyez ütemezett feladatként az automatikus kibocsátáshoz | Tartományvezérlő |
| Minta Get-SecureBootRolloutStatus.ps1 parancsprogram | A biztonságos rendszerindítási tanúsítvány kibocsátási állapotának megtekintése bármelyik munkaállomásról | Rendszergazdai munkaállomás |
| Minta Enable-SecureBootUpdateTask.ps1 parancsprogram | Engedélyezi a biztonságos rendszerindítási frissítési feladatot | Végpontokon, ahol a feladat le van tiltva (csak egyszer futtassa, hogy a feladat engedélyezve legyen, ha le van tiltva) |
Start-SecureBootRolloutOrchestrator.ps1
Cél: Teljesen automatizált, folyamatos vezénylés a csoportházirend-objektumok automatikus üzembe helyezésével.
Funkció
Hívások Aggregate-SecureBootData.ps1 az eszköz állapotához
Bevezetési hullámokat hoz létre progresszív duplázással
Csoportházirend-objektum létrehozása egy tanúsítvány telepítéséhez az alábbi módszerek egyikével
- Biztonságos rendszerindítás csoportházirend AvailableUpdatesPolicy = 0x5944 (alapértelmezett)
- WinCS metódus (paraméter –UseWinCS)
AD biztonsági csoportokat hoz létre a célzáshoz
Számítógépfiókokat ad hozzá a biztonsági csoportokhoz
A csoportházirend-objektum biztonsági szűrésének konfigurálása
A csoportházirend-objektum összekapcsolása a célszervezettel
A blokkolt gyűjtők (elérhetetlen eszközök) monitorozása
Automatikusan feloldja a letiltásokat az eszközök helyreállításakor
Használat
Megjegyzés
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Megjegyzés
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSRendszergazdai parancsok
Megjegyzés
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsMegjegyzés
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"Megjegyzés
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParaméterek
Paraméter Alapértelmezett Leírás: AggregationInputPath Kötelező A végpont JSON-fájljainak UNC elérési útja ReportBasePath Kötelező A jelentések és az állapot helyi elérési útja TargetOU Tartomány gyökere Szervezeti egység a csoportházirend-objektumok összekapcsolásához WavePrefix SecureBoot-Rollout Csoportházirend-objektumok/csoportelnevezési előtagok MaxWaitHours 72 Órákkal az eszköz elérhetőségének ellenőrzése előtt PollIntervalMinutes 1440 Állapotellenőrzések közötti percek száma Száraz futtatás Hamis Annak megjelenítése, mi történne módosítások nélkül Megjegyzés
Megjegyzés a PollIntervalMinutes kapcsán: Ha közvetlenül futtatja a vezénylési számítógépet, az alapértelmezett érték 1440 perc (24 óra). A Deploy-OrchestratorTask.ps1-on keresztüli üzembe helyezés esetén az alapértelmezett idő 30 perc. A telepítési szkript átadja a saját alapértelmezett parancsfájlját a vezénylésnek. Használjon 30 percet az aktív bevezetésre, 1440 a karbantartás figyelésére.
Választható paraméterek
Paraméter Alapértelmezett Leírás: UseWinCS Hamis A WinCS metódus használata az AvailableUpdatesPolicy csoportházirend-objektum helyett WinCSKey F33E0C8E002 WinCS-kulcs a biztonságos rendszerindítás konfigurációjához AllowListPath (Engedélyezési lista) (nincs) A célzott/próbaüzemi bevezetést engedélyező állomásneveket tartalmazó fájl elérési útja. Támogatja a .txt vagy .csv. AllowADGroup (nincs) A számítógépfiókok AD biztonsági csoportja az ENGEDÉLYEZENDŐ. Példa: "SecureBoot-Pilot-Computers" ExclusionListPath (nincs) A kibocsátásból kizárandó állomásneveket tartalmazó fájl elérési útja (VIP-/vezetői eszközök) ADGroup kizárása (nincs) A kizárandó számítógépfiókok AD biztonsági csoportja. Példa: "VIP-számítógépek" ListBlockedBuckets Hamis Az aktuálisan letiltott eszközgyűjtők megjelenítése UnblockBucket (nincs) Adott gyűjtő tiltásának feloldása. Formátum: "Gyártó|Modell|BIOS" Összes tiltásának feloldása Hamis Az összes letiltott eszközgyűjtő tiltásának feloldása
Deploy-OrchestratorTask.ps1
Cél: A vezénylési számítógép üzembe helyezése Windows ütemezett feladatként.
Előnyök
- Nincsenek PowerShell-biztonsági üzenetek (ExecutionPolicy Bypass)
- Folyamatosan fut a háttérben
- Nincs szükség felhasználói beavatkozásra
- Túléli az újraindításokat
Használat
Üzembe helyezés tartományi szolgáltatásfiókkal (ajánlott)
Az AvailableUpdates Csoportházirend használata (alapértelmezett módszer)
Megjegyzés
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"WinCS metódus használata
Megjegyzés
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Üzembe helyezés SYSTEM-fiókkal
Az AvailableUpdates Csoportházirend használata (alapértelmezett módszer)
Megjegyzés
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"A WinCS method.\Deploy-OrchestratorTask.ps1használata
Megjegyzés
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSA szolgáltatásfiókokra vonatkozó követelmények
- Domain Rendszergazda (új csoportházirend-objektum, új ADGroup, Add-ADGroupMember esetén)
- Olvasási hozzáférés a JSON-fájlmegosztáshoz
- Írási hozzáférés a ReportBasePath eszközhöz
Get-SecureBootRolloutStatus.ps1
Cél: Bármely munkaállomásról megtekintheti a bevezetés előrehaladását.
Amit megjelenít
- Ütemezett feladat állapota (Fut/Kész/Leállítva)
- Aktuális hullámszám
- Megcélzott és frissített eszközök
- Vizuális folyamatjelző sáv
- Letiltott gyűjtők összefoglalása
- Hivatkozás a legújabb HTML-irányítópultra
Használat
Megjegyzés
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Megjegyzés
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Megjegyzés
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedMegjegyzés
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesMegjegyzés
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogMegjegyzés
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParaméterek
Paraméter Kötelező? Alapértelmezett Leírás: ReportBasePath Kötelező — A jelentések és állapotfájlok helyi elérési útja ShowLog Nem kötelező Hamis A legutóbbi vezénylési naplóbejegyzések megjelenítése ShowBlocked Nem kötelező Hamis A letiltott gyűjtők részleteinek megjelenítése ShowWaves Nem kötelező Hamis Hullámelőzmények megjelenítése Megtekintés Nem kötelező 0 (letiltva) Az automatikus frissítés időköze másodpercben megadva. Példa: A Watch 30 30 30 másodpercenként frissül. OpenDashboard Nem kötelező Hamis A legújabb HTML-irányítópult megnyitása az alapértelmezett böngészőben Példa a kimenetre
Megjegyzés
==============================================================
BIZTONSÁGOS RENDSZERINDÍTÁS BEVEZETÉSÉNEK ÁLLAPOTA
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Állapot: Folyamatban
Jelenlegi hullám: 5
Megcélzott összesen: 1250
Frissítve összesen: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Futtatás ezzel: -ShowBlocked a részletekértLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
Az E2E üzembe helyezésének lépései (Rövid összefoglalás)
A szakasz tartalma
1. fázis: Észlelési infrastruktúra
1. lépés: Gyűjteménymegosztás létrehozása
Megjegyzés
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Tartományi számítógépek"Megjegyzés
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Tartományi számítógépek","Módosítás","Engedélyezés")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $acl2. lépés: Az észlelési csoportházirend-objektum üzembe helyezése
Megjegyzés
.\Deploy-GPO-SecureBootCollection.ps1 `
-DomainName "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"3. lépés: Várakozás a végpontok jelentésére (24–48 óra)
Megjegyzés
Begyűjtési állapot ellenőrzése
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Darabszám
vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"
2. fázis: Összehangolt bevezetés
4. lépés: Előfeltételek ellenőrzése
- Telepített észlelési csoportházirend-objektum (2. lépés)
- Legalább 50+ végpont jelenti a JSON-t
- Szolgáltatási fiók tartományi rendszergazdai jogokkal
- Felügyeleti kiszolgáló PowerShell 5.1+ használatával
5. lépés: A vezénylési számítógép üzembe helyezése ütemezett feladatként
Megjegyzés
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"6. lépés: Az előrehaladás figyelése
Megjegyzés
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"7. lépés: Irányítópult megtekintése
Megjegyzés
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard8. lépés: A letiltott gyűjtők kezelése
Megjegyzés
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsMegjegyzés
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Gyártó|Modell|BIOS"9. lépés: A befejezés ellenőrzése
Megjegyzés
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Az állapotnak a "Befejezett" állapotnak kell megjelennie.
vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"
State Files
A vezénylési PC fenntartja az állapotot a ReportBasePath\RolloutState\:
| Fájl | Leírás: |
|---|---|
| RolloutState.json | Hullámelőzmények, célzott eszközök, állapot |
| BlockedBuckets.json | Vizsgálatot igénylő gyűjtők |
| DeviceHistory.json | Eszközkövetés állomásnév alapján |
| Orchestrator_YYYYMMDD.log | Napi tevékenységnaplók |
vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"
Hibaelhárítás
A szakasz tartalma
A vezénylési program nem halad
Ütemezett tevékenység ellenőrzése
Megjegyzés
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Naplók ellenőrzése
Megjegyzés
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50A JSON-adatok frissességének ellenőrzése
Megjegyzés
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
vissza a "Hibaelhárítás" lapra
Letiltott gyűjtők
Lista letiltva.
Megjegyzés
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsVizsgálja meg az eszköz elérhetőségét.
Ellenőrizze, hogy vannak-e problémák a belső vezérlőprogrammal.
Vizsgálat után oldja fel a letiltást.
vissza a "Hibaelhárítás" lapra
A csoportházirend-objektum nem alkalmazható
Ellenőrizze, hogy létezik-e csoportházirend-objektum.
Megjegyzés
Get-GPO -Name "SecureBoot-Rollout-Wave*"Ellenőrizze a biztonsági szűrést.
Megjegyzés
Get-GPPermission -Name "GPO-Name" -AllEllenőrizze, hogy a számítógép szerepel-e a biztonsági csoportban.
Alkalmazza a csoportházirend-objektumot a célon.
Megjegyzés
gpupdate /force
vissza a "Hibaelhárítás" lapra
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| 2026. május 12. | Korábban minden minta parancsfájlt különálló cikkként tettek közzé, amelyekből a vágólapra másolhatta és beillesztheti a parancsfájlt. A 2026. május 12-én és azt követően kiadott Windows-frissítésekkel kezdődően a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók. |