Windows Vista の回復パスワードを表示するのには Active Directory ユーザーとコンピューター ツールには、BitLocker 回復パスワード ビューアーを使用する方法

2010 年 4 月 13 日に、service pack がインストールされていない Windows Vista のサポートが終了しました。 Windows のセキュリティ更新プログラムの受信を続行するには、Windows Vista を Service Pack 2 (SP2) で 実行していることを確認してください。 詳細については、このマイクロソフトの web ページを参照してください: Windows のいくつかのバージョンのサポートが終了します。

はじめに

この資料では、Active Directory ユーザーとコンピューター ツールの BitLocker 回復パスワード ビューアーを使用する方法について説明します。 BitLocker ドライブ暗号化機能とは、以下のバージョンの Windows Vista に含まれているデータ保護機能です。
  • Windows Vista Ultimate
  • Windows Vista Enterprise
注: この資料は、XP ベースのコンピューターで BitLocker 回復パスワード ビューアーのオプションの使用に関する情報を提供します。

Windows XP または Windows Server 2003 の BitLocker 回復パスワード ビューアー ツールを入手する場合は、マイクロソフトのサポート担当者にお問い合わせください。
このツールを使用すると、Active Directory ドメイン サービス (AD DS) で Windows Vista ベースのコンピューターで BitLocker ドライブ暗号化の回復パスワードの検索に役立ちます。 Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) スナップインでする必要がありますインストールを使用して、リモート サーバー管理ツール (RSAT)。

RSAT ツールに関する詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

941314 Windows Vista 用の Microsoft リモート サーバー管理ツール

注: BitLocker ドライブ暗号化パスワードを取得するためにこのツールを使用するには、十分な権限を持つアカウントを使用する必要があります。 ドメインの管理者をする必要がありますか、ドメイン管理者が十分なアクセス権を付与する必要があります。

概要

BitLocker 回復パスワード ビューアーを検索し、AD DS に格納されている BitLocker 回復パスワードを表示することができます。 BitLocker を使用して暗号化されたボリュームに格納されているデータを回復させるために、このツールを使用することができます。 BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター MMC スナップインの拡張機能です。 このツールをインストールした後は、対応する BitLocker 回復パスワードを表示するコンピューター オブジェクトの [プロパティ] ダイアログ ボックスを調べることができます。 また、ドメイン コンテナーを右クリックし、Active Directoryフォレスト(複数のドメイン) 内のすべてのドメイン間での BitLocker 回復パスワードを検索できます。

BitLocker 回復パスワード ビューアー ツールを使用するには BitLocker 回復パスワードを表示するのには、前に、次の条件が満たす必要があります。
  • BitLocker 回復情報を格納するドメインを構成する必要があります。
  • Windows Vista ベースのコンピューターは、ドメインに参加させる必要があります。
  • Windows Vista ベースのコンピューターで BitLocker ドライブ暗号化が有効になっている必要があります。
BitLocker を構成する方法の詳細については、次のマイクロソフト Web サイトを参照してください。また、BitLocker 回復パスワードを使用して、暗号化されたボリュームのロックを解除する方法を理解することをお勧めします。 BitLocker を使用する方法の詳細については、次のマイクロソフト Web サイトを参照してください。

BitLocker 回復パスワード ビューアー ツールを入手する方法

Windows Vista エンタープライズ、Windows Vista のエンタープライズの Service Pack 1、および Windows Server 2008 の BitLocker 回復パスワード ビューアー ツールを入手する方法

Windows Vista および x86 ベースのシステム (KB928202) の Windows Server 2008
X86 ベース システムの Windows Vista のエンタープライズまたは Windows Server 2008 を使用する場合は、このツールを入手するのには、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=16088271-f95d-4c5c-9ea9-03746c96ffff  

Windows Vista、x64 ベースのシステム (KB928202) の Windows Server 2008
X64 ベース システムの Windows Vista または Windows Server 2008 を使用する場合は、このツールを入手するのには、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/downloads/details.aspx?familyid=80749FCA-E3C4-4FEE-BB09-90E714FA6B4C&displaylang=en


Windows XP の BitLocker 回復パスワード ビューアー ツールを入手する方法

Windows XP または Windows Server 2003 の BitLocker 回復パスワード ビューアー ツールを入手するのにはマイクロソフトのサポート担当者にお問い合わせください。


Windows XP ベースのコンピューターで BitLocker 回復パスワード ビューアー ツールをインストールするには、まず Windows Server 2003 管理ツールの最新バージョンをインストールする必要があります。 このプログラムを入手するには、次のマイクロソフト Web サイトにアクセスしてください。

BitLocker 回復パスワード ビューアー ツールのインストール権限

BitLocker 回復パスワード ビューアー ツールを正常にインストールするには、インストール プログラムは、Active Directory 構成データベースを更新する必要があります。
The installation program adds the following two attributes to AD DS if these two attributes are not already present.
Object typeObject value
ObjectCN=computer-Display
ContainerCN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Attribute nameadminPropertyPages
Attribute valuePassword Viewer's GUID
Object typeObject value
ObjectCN=domainDNS-Display
ContainerCN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Attribute nameadminContextMenu
Attribute valuePassword Viewer's GUID
Note These tables use the following values:
  • Password Viewer's GUID is 2FB1B669-59EA-4F64-B728-05309F2C11C8.
  • LanguageID for English is 409. The installation program updates all language IDs to let you run the BitLocker Recovery Password Viewer tool under all available languages.
These changes to AD DS affect every domain in the forest. You must have Enterprise Administrator rights to modify the Active Directory configuration database. However, after the BitLocker Recovery Password Viewer tool has been installed in a forest, you only have to have Read permissions to the Active Directory configuration database for later installations of the BitLocker Recovery Password Viewer tool. By default, all domain users have Read permissions for the Active Directory configuration database.

To summarize, you must have the following rights to install the BitLocker Recovery Password Viewer tool:
  • When you first install the BitLocker Recovery Password Viewer tool, you must have Enterprise Administrator rights. These rights let you modify the Active Directory configuration database.
  • When you next install the BitLocker Recovery Password Viewer tool, you must have the rights of a domain user together with local Administrator rights to the computer on which you want to install the BitLocker Recovery Password Viewer tool.

Registry information


Before you run this tool on the domain for the first time, run the following command from your Windows system folder as an Enterprise Administrator:
regsvr32.exe BdeAducExt.dll
When you later use the tool on the domain, you will not have to run Regsvr32.exe.

Installation troubleshooting information

The installation rights are the same for Windows XP and Windows Vista. Use the following information to help troubleshoot installation error messages that you may receive when you install the BitLocker Recovery Password Viewer tool:

Error message 1
Not enough storage is available to process this command.
You receive this error message if you installed the Windows XP version of the BitLocker Recovery Password Viewer tool on a Windows Vista-based computer. You must install the Windows Vista-based version of the tool on Windows Vista-based computers.

Error message 2
You do not have permission to update Windows XP. Please contact your system administrator.
You receive this error message if you do not have sufficient rights to install the BitLocker Recovery Password Viewer tool on a Windows XP-based computer. You must have local Administrator rights to install this tool.

Error message 3
Cannot connect to the domain controller. You must be logged in as a domain user with a connection to the network.
You receive this error message if one of the following conditions is true:
  • The computer is not connected to the network, or the computer cannot communicate with the domain.
  • You are not logged on to the computer as a domain user.
Error message 4
You do not have permissions to perform this install. Enterprise administrative rights are required.
You may receive this error message when you try to install the first instance of the BitLocker Recovery Password Viewer tool in a forest. For the first installation of this tool, you must have Read and Write permissions to the computer-Display object and to the domainDNS-Display object in AD DS. Also, you must have Read and Write permissions to the parent containers of these objects in the Active Directory configuration database. By default, members of the Enterprise Administrators group have Read and Write permissions to these objects.

Error message 5
Installation failed with error code: 0x8007200A
You may receive this error message when you try to perform a second or later installation of the BitLocker Recovery Password Viewer tool in a domain. To perform a second or later installation of this tool, you must have at least Read permissions to the computer-Display object and to the domainDNS-Display object in AD DS. Also, you must have at least Read permissions to the parent containers of these objects in the Active Directory configuration database.

To remove the BitLocker Recovery Password Viewer tool

To remove the Bitlocker Recovery tool, follow these steps:
  1. Click Start, click Run, type appwiz.cpl, and then click OK.
  2. In the Add or Remove Programs dialog box, click to select the Show updates check box.
  3. In the Currently installed programs list, click BitLocker Recovery Password Viewer (for Active Directory Users and Computers), and then click Remove.
  4. If you receive a message that states that other programs may not run correctly if you remove this update, click Yes to confirm the removal of this update.

    Note The removal of the BitLocker Recovery Password Viewer tool does not prevent other programs from running correctly.
  5. Follow the remaining steps in the wizard to remove the BitLocker Recovery Password Viewer tool.

Usage information

The BitLocker Recovery Password Viewer tool extends the Active Directory Users and Computers MMC snap-in. To start Active Directory Users and Computers, click Start, click Run, type dsa.msc, and then click OK.

The following information describes how to use the BitLocker Recovery Password Viewer tool.

To view the recovery passwords for a computer

  1. In Active Directory Users and Computers, locate and then click the container in which the computer is located. For example, click the Computers container.

    For more information about how to locate a computer account, visit the following Microsoft Web site:For more information about how to create a saved query, visit the following Microsoft Web site:
  2. Right-click the computer object, and then click Properties.
  3. In the ComputerName Properties dialog box, click the BitLocker Recovery tab to view the BitLocker recovery passwords that are associated with the particular computer.

To copy the recovery passwords for a computer

  1. Follow the steps in the "To view the recovery passwords for a computer" section to view the BitLocker recovery passwords.
  2. On the BitLocker Recovery tab of the ComputerName Properties dialog box, right-click the BitLocker recovery password that you want to copy, and then click Copy Details.
  3. Paste the copied text to a destination location.

To locate a recovery password

  1. In Active Directory Users and Computers, right-click the domain container, and then click Find BitLocker Recovery Password.
  2. In the Find BitLocker Recovery Password dialog box, type the first eight characters of the recovery password in the Password ID (first 8 characters) box, and then click Search.
Image of the

Frequently asked questions about the BitLocker Recovery Password Viewer tool

Q1: How can the BitLocker Recovery Password Viewer tool help unlock an encrypted volume?

A1: When you start the computer to the BitLocker Recovery screen, Windows Vista gives you a drive label and a password ID. You can use this information together with the BitLocker Recovery Password Viewer tool to locate the matching BitLocker recovery password that is stored in AD DS.

Q2: Can anybody use the BitLocker Recovery Password Viewer tool to locate recovery passwords?

A2: No. To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

If a user who does not have sufficient rights installs the BitLocker Recovery Password Viewer tool, that user cannot locate any recovery passwords for any computer. Also, if you use the BitLocker Recovery Password Viewer tool to search for recovery passwords among all the domains in a forest, results are returned only from the domains in which you have sufficient rights.

Note The BitLocker Recovery Password Viewer tool cannot distinguish between a situation in which no recovery passwords exist for a particular computer and a situation in which you do not have sufficient rights to view the recovery password for a particular computer.

Q3: What if a stored recovery password does not appear on the "BitLocker Recovery" tab of a computer's "ComputerName Properties" dialog box?

A3: Usually, the BitLocker recovery passwords for a particular computer appear on the BitLocker Recovery tab of the ComputerName Properties dialog box for that computer. However, if a computer is renamed, you may be unable to locate the correct computer. This is because the drive label information still contains the original computer name. In this situation, you must use the password ID information to search for the recovery password.

Q4: Why are only the first eight characters of the password ID used to search for the location of a recovery password?

A4: This is a design decision that is intended to help simplify searching for recovery passwords without sacrificing the accuracy of the search operation. Tests that randomly generated over one million password IDs typically yielded only 100 duplicates for the first eight characters of the password ID. Therefore, even if you have one million recovery passwords in a search domain, it is unlikely that two recovery passwords will be returned by a single search operation. Additionally, it is even more unlikely that more than two recovery passwords will be returned in the same search.

Note We recommend that you examine the returned recovery password to make sure that it matches the whole password ID that you used to perform the search. This is to verify that you have obtained the unique recovery password.

Q5: How long does it take to search for a recovery password across all domains?

A5: Generally, it takes no more than several seconds to search for a password ID across all the domains of a forest. However, you may experience decreased performance if the following conditions are true:
  • A global catalog server locates a recovery password in a domain.
  • The global catalog server cannot connect to that particular domain.
Q6: How do I troubleshoot problems that I may experience when I use the BitLocker Recovery Password Viewer tool?

A6: Use the following information to help troubleshoot issues that you experience when you use the BitLocker Recovery Password Viewer tool:
  • If you cannot locate a recovery password when you expect to locate one, verify that you have sufficient rights to view recovery passwords.
  • If you receive a "Cannot retrieve recovery password information" error message when you search for a recovery password, verify that the global catalog servers and other domain controllers can communicate correctly.
For more information about the BitLocker Repair Tool, visit the following Microsoft Web site:

928201 (http://support.microsoft.com/kb/928201) How to use the BitLocker Repair Tool to help recover data from an encrypted volume in Windows Vista or in Windows Server 2008
プロパティ

文書番号:928202 - 最終更新日: 2017/02/02 - リビジョン: 1

Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Ultimate 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Business, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Enterprise without Hyper-V

フィードバック