Eksempel på E2E Automation-veiledning for sikker oppstart

Gjelder for
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Obs!

Opprinnelig publiseringsdato: Mars 16, 2026
Sist oppdatert: 12. mai 2026 kl.
KB-ID: 5084567

I denne artikkelen

Oversikt

Denne veiledningen beskriver det automatiserte distribusjonssystemet for Windows Secure Boot DB-sertifikatoppdateringer ved hjelp av gruppepolicy og progressive utrullingsbølger.

Secure Boot Certificate Rollout Automation er et PowerShell-basert system som distribuerer Windows Secure Boot DB-sertifikatoppdateringer til domenetilknyttede maskiner på en kontrollert, gradert måte.

tilbake til toppen

Viktige funksjoner

Funksjon Beskrivelse
Gradvis utrulling 1 > 2 > 4 > 8... enheter per samling
Automatisk blokkering Samlinger med enheter som ikke kan nås, er ekskludert
Automatisert GPO-distribusjon Skript med én organisator håndterer alt
Planlagt aktivitetskjøring Ingen interaktive spørsmål kreves
Overvåking i sanntid Statusvisning med fremdriftsindikator

tilbake til toppen

Referanse for innstillinger for Oppdateringer av sertifikat

I denne delen

AvailableUpdatesPolicy, gruppepolicy

Registerplassering HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Navn AvailableUpdatesPolicy
Verdi 0x5944 (DWORD)

Dette er den GPO/ADMX-kontrollerte nøkkelen som:

  • Vedvarer ved omstart
  • Er angitt av gruppepolicy / MDM
  • Forårsaker ikke nye forsøk løkker (fjernes via ClearRolloutFlags)
  • Er riktig nøkkel for policydrevet distribusjon

Referanse: gruppepolicy-objekter (GPO)-metoden for sikker oppstart for Windows-enheter med IT-administrerte oppdateringer

tilbake til «Referanse for innstillinger for Oppdateringer av sertifikat»

WinCSFlags – Systemflagg for Windows-konfigurasjon

Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som ble utgitt med oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Det består av et kommandolinjegrensesnittverktøy (CLI) for spørring og bruk Secure Boot-konfigurasjoner lokalt på en maskin.

Funksjonsnavn WinCS-nøkkel Beskrivelse
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Aktivering av denne nøkkelen tillater installasjon av følgende nye Secure Boot-sertifikater fra Microsoft på enheten.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Referanse: Windows Configuration System (WinCS)-API-er for sikker oppstart

tilbake til «Referanse for innstillinger for Oppdateringer av sertifikat»

tilbake til toppen

Arkitektur

Arbeidsflyt for arkitektur

tilbake til toppen

Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå

I denne delen

Skript som kreves for fase 1

Eksempel på skript for innsamling av Secure Boot Inventory Data Collection

Obs!

VIKTIG Følgende artikler som inneholder eksempelskriptene, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptene i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.

Eksempel på skriptnavn Formål Kjører på
Eksempel på Detect-SecureBootCertUpdateStatus.ps1 skript Samler inn data om enhetsstatus Hvert endepunkt (via GPO)
Eksempel på Aggregate-SecureBootData.ps1 skript Genererer rapporter og instrumentbord Admin-arbeidsstasjon
Eksempel på Deploy-GPO-SecureBootCollection.ps1 skript Automatiserer oppretting av gruppepolicyobjekter for datainnsamling Domenekontroller
Eksempel på utdata fra fase 1-skriptene ovenfor

Instrumentbord for status for sertifikat for sikker oppstart

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

Lokal testing

Før du distribuerer via GPO, bør du teste samlingsskriptet på én enkelt maskin for å kontrollere funksjonaliteten.

  • Kjøre samlingsskript lokalt

    Åpne en opphøyd PowerShell-ledetekst, og kjør følgende kommandoer:

    Obs!

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Bekreft JSON-utdata

    Obs!

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Nøkkelfelt å bekrefte  
    SecureBootEnabled – skal være sann eller usann
    OverallStatus – Complete, ReadyForUpdate, NeedsData eller Error
    BucketHash – enhetsbeholder for konfidensdatasamsvar
    SecureBootTaskEnabled – viser status for oppdateringsoppgaven Secure Boot.

  • Testaggregeringsskript

    Obs!

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Åpne HTML-instrumentbordet

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

Konfigurasjon av nettverksdeling

  • Opprette delt nettverksressurs

    Opprett en dedikert delt ressurs for datainnsamling på filserveren:

    Obs!

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Opprett mappe

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Opprett skjult del ($ suffiks skjules fra listen over bla gjennom)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Description "Secure Boot Certificate Status Collection" '
        -FullAccess «Domeneadministratorer» '
        -ChangeAccess "Domenedatamaskiner"

  • Konfigurere NTFS-tillatelser

    Obs!

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Tillat godkjente brukere å skrive filer

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    «domenedatamaskiner» og
    «Endre»,
        "ContainerInherit,ObjectInherit",
        «Ingen»,
        «Tillat»
    )
    $Acl.AddAccessRule($WriteRule)
     

    Gi domeneadministratorer full kontroll (for aggregering)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        «Domeneadministratorer»,
        "Fullkontroll",
        "ContainerInherit,ObjectInherit",
        «Ingen»,
        «Tillat»
    )
    $Acl.AddAccessRule($AdminRule)
     

    Bruke tillatelser

    Set-Acl -Path $SharePath -AclObject $Acl

  • Bekreft delt tilgang

    Obs!

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Skal returnere: Sann

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

GPO-distribusjon

Bruk automatiseringsskriptet som leveres fra en domenekontroller:

Obs!

Kjør på domenekontroller som domene Admin for interaktiv organisasjonsenhet – anbefalt

Erstatt "Contoso.com", "Contoso" med navnet på domenet

Erstatt FILESERVER med filservernavnet.  Skriptet viser en liste over organisasjonsenheter å distribuere gruppepolicyobjekter på

.\Deploy-GPO-SecureBootCollection.ps1 '
    -Domenenavn "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath «.\Detect-SecureBootCertUpdateStatus.ps1» '
    -Planlegg "Daglig" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Dette skriptet utfører følgende:

  • Oppretter nytt gruppepolicyobjekt med angitt navn
  • Kopierer samlingsskript til SYSVOL for høy tilgjengelighet
  • Konfigurerer datamaskinens oppstartsskript
  • Kobler gruppepolicyobjekt til målenhet
  • Oppretter eventuelt planlagte aktiviteter for periodisk innsamling

Tabellen nedenfor gir veiledning i hvor lang forsinkelsen vil være basert på flåtestørrelsen.

Flåtestørrelse Forsinkelsesområde
1–10K enheter 4 timer
10K–50K-enheter 8 timer
50K+ enheter 12-24 timer

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

Sammendrag av GPO-innstillinger

Innstilling Plassering Verdi
Oppstartsskript Skript for datamaskinkonfigurasjon → Detect-SecureBootCertUpdateStatus.ps1
Skript-parametere (samme) -OutputPath "\\server\share$"
Policy for kjøring Maler for datamaskinkonfigurasjon → Admin → PowerShell Tillat lokal og ekstern signering
Planlagt oppgave Innstillinger for datamaskinkonfigurasjon → → planlagte oppgaver Daglig/ukentlig innsamling

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

Kontroll

  • Tving GPO-oppdatering på testmaskin

    Obs!

    ## On a test workstation 
    gpupdate /force
     

    Start klientmaskinene på nytt til oppstartsskriptet, ellers vil det utløses ved neste tidsplan.

    Restart-Computer -Force

  • Bekreft datainnsamling

    Obs!

    Kontroller om data ble samlet inn (på filserveren eller fra en hvilken som helst maskin)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Synkende |
        Select-Object -First 10
     

    Bekrefte JSON-innhold

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Kontroller GPO-applikasjonen

    Obs!

    Kontrollere at gruppepolicyobjekt er brukt på datamaskinen

    Select-String "SecureBoot"
    Skriptet lagrer også en lokal kopi for redundans:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"

tilbake til toppen

Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart

Viktig

Sikre at Fase1 er fullført, inkludert datainnsamling på hvert endepunkt for eksterne serverressurser.

I denne delen

Skript som kreves for fase 2

Eksempel på skript for innsamling av Secure Boot Inventory Data Collection

Obs!

VIKTIG Følgende artikler som inneholder eksempelskriptene, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptene i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.

Eksempel på skriptnavn Formål Kjører på:
Eksempel på Detect-SecureBootCertUpdateStatus.ps1 skript Samler inn data om enhetsstatus Hvert endepunkt (via GPO)
Eksempel på Aggregate-SecureBootData.ps1 skript Genererer rapporter og instrumentbord Admin-arbeidsstasjon
Eksempel på Deploy-GPO-SecureBootCollection.ps1 skript Automatiserer oppretting av gruppepolicyobjekter for datainnsamling Domenekontroller
Eksempel på Start-SecureBootRolloutOrchestrator.ps1 skript Helautomatisert, kontinuerlig orkestrering med automatisert GPO-distribusjon for sertifikatinstallasjon Admin-arbeidsstasjon
Eksempel på Deploy-OrchestratorTask.ps1 skript Distribuerer organisatorskript som planlagt oppgave for automatisert utrulling Domenekontroller
Eksempel på Get-SecureBootRolloutStatus.ps1 skript Vise utrullingsstatus for sertifikat for sikker oppstart fra en arbeidsstasjon Admin Workstation
Eksempel på Enable-SecureBootUpdateTask.ps1 skript Aktiverer oppdateringsoppgaven Sikker oppstart Ved endepunkter der oppgaven er deaktivert (kjør bare én gang for å aktivere oppgaven hvis den er deaktivert)

tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart

Start-SecureBootRolloutOrchestrator.ps1

  • Formål: Helautomatisert, kontinuerlig orkestrering med automatisert GPO-distribusjon.

  • Hva den gjør

    • Anrop Aggregate-SecureBootData.ps1 for enhetsstatus

    • Genererer utrullingsbølger ved hjelp av progressiv dobling

    • Oppretter gruppepolicyobjekt for sertifikatdistribusjon ved hjelp av én av følgende metoder

      • Sikker oppstart Gruppepolicy AvailableUpdatesPolicy = 0x5944 (Standard)
      • WinCS-metode (parameter –UseWinCS)
    • Oppretter AD-sikkerhetsgrupper for målretting

    • Legger til datamaskinkontoer i sikkerhetsgrupper

    • Konfigurerer sikkerhetsfiltrering for gruppepolicyobjekter

    • Kobler gruppepolicyobjekt til målenhet

    • Skjermer for blokkerte samlinger (enheter som ikke kan nås)

    • Opphever automatisk blokkering når enheter gjenopprettes

  • Bruk

    Obs!

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Obs!

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Admin-kommandoer

    Obs!

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Obs!

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"

    Obs!

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametere

    Parameter Standard Beskrivelse
    AggregationInputPath Obligatorisk UNC-bane til JSON-filer for endepunkt
    ReportBasePath Obligatorisk Lokal bane for rapporter og delstat
    TargetOU Domenerot Organisasjonsenhet for å koble gruppepolicyobjekter
    WavePrefix SecureBoot-Rollout Prefiks for navngivning av gruppepolicyobjekt / gruppe
    MaxWaitHours 72 Timer før du sjekker enhetens tilgjengelighet
    PollIntervalMinutes 1440 Minutter mellom statuskontroller
    DryRun Usann Vis hva som ville skjedd uten endringer

    Obs!

    Merknad på PollIntervalMinutes: Når du kjører organisatoren direkte, er standardverdien 1440 minutter (24 timer). Når du distribuerer via Deploy-OrchestratorTask.ps1, er standardverdien 30 minutter. Distribusjonsskriptet sender sin egen standard til organisatoren. Bruk 30 minutter for aktiv utrulling, 1440 for vedlikeholdsovervåking.

    Valgfrie parametere

    Parameter Standard Beskrivelse
    UseWinCS Usann Use WinCS method instead of AvailableUpdatesPolicy GPO
    WinCSKey F33E0C8E002 WinCS-nøkkel for konfigurasjon av sikker oppstart
    AllowListPath (none) Bane til fil med vertsnavn som skal TILLAT for målrettet/pilotutrulling. Støtter .txt eller .csv.
    AllowADGroup (none) AD-sikkerhetsgruppe med datamaskinkontoer som skal TILLATES. Eksempel: "SecureBoot-Pilot-Computers"
    ExclusionListPath (none) Bane til fil med vertsnavn som skal utelates fra utrulling (VIP-/executive-enheter)
    ExcludeADGroup (none) AD-sikkerhetsgruppe med datamaskinkontoer som skal utelates. Eksempel: "VIP-datamaskiner"
    ListBlockedBuckets Usann Vise blokkerte enhetssamlinger
    UnblockBucket (none) Oppheve blokkeringen av en bestemt samling. Format: «Produsent|Modell|BIOS»
    Opphev blokkeringen av alle Usann Opphev blokkeringen av alle blokkerte enhetssamlinger

tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart

Deploy-OrchestratorTask.ps1

  • Formål: Distribuerer organisatoren som en planlagt oppgave i Windows.

  • Fordeler

    • Ingen PowerShell-sikkerhetsledetekster (ExecutionPolicy Bypass)
    • Kjører kontinuerlig i bakgrunnen
    • Ingen brukerinteraksjon kreves
    • Overlever omstarter
  • Bruk

    • Distribuer med domenetjenestekonto (anbefales)

      • Bruk AvailableUpdates-gruppepolicy (standardmetode)

        Obs!

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Bruk WinCS-metoden

        Obs!

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Distribuer med SYSTEM-konto

      • Bruk AvailableUpdates-gruppepolicy (standardmetode)

        Obs!

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Bruke WinCS method.\Deploy-OrchestratorTask.ps1

        Obs!

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Krav til tjenestekonto

        • Domain Admin (for New-GPO, New-ADGroup, Add-ADGroupMember)
        • Lesetilgang til JSON-fildeling
        • Skrivetilgang til ReportBasePath

tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart

Get-SecureBootRolloutStatus.ps1

  • Formål: Vis utrullingsfremdrift fra alle arbeidsstasjoner.

  • Dette vises

    • Status for planlagte oppgaver (Kjører/Klar/Stoppet)
    • Gjeldende bølgenummer
    • Enheter som er målrettet kontra oppdatert
    • Visuell fremdriftslinje
    • Sammendrag av blokkerte samlinger
    • Kobling til det nyeste HTML-instrumentbordet
  • Bruk

    Obs!

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Obs!

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Obs!

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Obs!

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Obs!

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Obs!

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametere

    Parameter Obligatorisk? Standard Beskrivelse
    ReportBasePath Obligatorisk Lokal bane til rapporter og tilstandsfiler
    ShowLog Valgfritt Usann Vise nylige organisatorloggoppføringer
    ShowBlocked Valgfritt Usann Vise detaljer om blokkerte samlinger
    ShowWaves Valgfritt Usann Vis bølgehistorikk
    Armbåndsur Valgfritt 0 (deaktivert) Automatisk oppdateringsintervall i sekunder. Eksempel: -Se 30 oppdateringer hvert 30. sekund.
    OpenDashboard Valgfritt Usann Åpne det nyeste HTML-instrumentbordet i standardnettleseren
  • Eksempel på utdata

    Obs!

    • ==============================================================
         STATUS FOR SIKKER OPPSTART-UTRULLING
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Status: Pågår
    Gjeldende bølge: 5
    Totalt målrettet: 1250
    Totalt oppdatert: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Kjør med -ShowBlocked for mer informasjon
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart

tilbake til toppen

E2E-distribusjonstrinn (hurtigreferanse)

I denne delen

Fase 1: Oppdagelsesinfrastruktur

  • Trinn 1: Opprett samlingsdel

    Obs!

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domeneadministratorer" -ChangeAccess "Domenedatamaskiner"

    Obs!

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domenedatamaskiner","Endre","Tillat")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Trinn 2: Distribuere gjenkjennings-gruppepolicyobjekt

    Obs!

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Domenenavn "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Trinn 3: Vent på at endepunktene rapporteres (24–48 timer)

    Obs!

    Kontrollere fremdriften i samlingen

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Antall

tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»

Fase 2: Orkestrert utrulling

  • Trinn 4: Kontroll av forhåndskrav

    • Gjenkjennings-GPO distribuert (trinn 2)
    • Minst 50+ endepunktrapporter JSON
    • Tjenestekonto med rettigheter som Admin for domene
    • Administrasjonsserver med PowerShell 5.1+
  • Trinn 5: Distribuere Orchestrator som planlagt oppgave

    Obs!

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Trinn 6: Overvåk fremdriften

    Obs!

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Trinn 7: Vis instrumentbordet

    Obs!

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Trinn 8: Behandle blokkerte samlinger

    Obs!

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Obs!

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Produsent|Modell|BIOS»

  • Trinn 9: Bekreft fullføring

    Obs!

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Statusen skal vise «Fullført»

tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»

State Files

Organisatoren opprettholder tilstand i ReportBasePath\RolloutState\:

Fil Beskrivelse
RolloutState.json Wave-logg, målrettede enheter, status
BlockedBuckets.json Samlinger som må undersøkes
DeviceHistory.json Enhetssporing etter vertsnavn
Orchestrator_YYYYMMDD.log Daglige aktivitetslogger

tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»

tilbake til toppen

Feilsøking

I denne delen

Organisatoren har ingen fremgang

  1. Kontrollere planlagte aktiviteter

    Obs!

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Kontroller logger

    Obs!

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Kontroller at JSON-data er oppdatert

    Obs!

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

tilbake til «Feilsøking»

Blokkerte samlinger

  1. Liste blokkert.

    Obs!

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Undersøk enhetens tilgjengelighet.

  3. Se etter fastvareproblemer.

  4. Opphev blokkeringen etter undersøkelse.

tilbake til «Feilsøking»

GPO gjelder ikke

  1. Kontroller at gruppepolicyobjektet finnes.

    Obs!

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Kontroller sikkerhetsfiltrering.

    Obs!

    Get-GPPermission -Name "GPO-Name" -All

  3. Kontroller at datamaskinen er i sikkerhetsgruppen.

  4. Bruke gruppepolicyobjektet på målet.

    Obs!

    gpupdate /force

tilbake til «Feilsøking»

tilbake til toppen

Endringslogg

Endre dato Endre beskrivelse
12. mai 2026 kl. Tidligere ble hver eksempelskriptfil publisert som individuelle artikler som du skulle kopiere og lime inn skriptet fra. Fra og med Windows-oppdateringene utgitt 12. mai 2026 eller senere, er eksempelskriptene plassert i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.