Obs!
Opprinnelig publiseringsdato: Mars 16, 2026
Sist oppdatert: 12. mai 2026 kl.
KB-ID: 5084567
I denne artikkelen
- Oversikt
- Viktige funksjoner
- Referanse for innstillinger for Oppdateringer av sertifikat
- Arkitektur
- Fase 1: Deteksjon og statusovervåking på Enterprise leve
- Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
- E2E-distribusjonstrinn (hurtigreferanse)
- Feilsøking
- Endringslogg
Oversikt
Denne veiledningen beskriver det automatiserte distribusjonssystemet for Windows Secure Boot DB-sertifikatoppdateringer ved hjelp av gruppepolicy og progressive utrullingsbølger.
Secure Boot Certificate Rollout Automation er et PowerShell-basert system som distribuerer Windows Secure Boot DB-sertifikatoppdateringer til domenetilknyttede maskiner på en kontrollert, gradert måte.
Viktige funksjoner
| Funksjon | Beskrivelse |
|---|---|
| Gradvis utrulling | 1 > 2 > 4 > 8... enheter per samling |
| Automatisk blokkering | Samlinger med enheter som ikke kan nås, er ekskludert |
| Automatisert GPO-distribusjon | Skript med én organisator håndterer alt |
| Planlagt aktivitetskjøring | Ingen interaktive spørsmål kreves |
| Overvåking i sanntid | Statusvisning med fremdriftsindikator |
Referanse for innstillinger for Oppdateringer av sertifikat
I denne delen
AvailableUpdatesPolicy, gruppepolicy
| Registerplassering | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Navn | AvailableUpdatesPolicy |
| Verdi | 0x5944 (DWORD) |
Dette er den GPO/ADMX-kontrollerte nøkkelen som:
- Vedvarer ved omstart
- Er angitt av gruppepolicy / MDM
- Forårsaker ikke nye forsøk løkker (fjernes via ClearRolloutFlags)
- Er riktig nøkkel for policydrevet distribusjon
tilbake til «Referanse for innstillinger for Oppdateringer av sertifikat»
WinCSFlags – Systemflagg for Windows-konfigurasjon
Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som ble utgitt med oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Det består av et kommandolinjegrensesnittverktøy (CLI) for spørring og bruk Secure Boot-konfigurasjoner lokalt på en maskin.
| Funksjonsnavn | WinCS-nøkkel | Beskrivelse |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Aktivering av denne nøkkelen tillater installasjon av følgende nye Secure Boot-sertifikater fra Microsoft på enheten.
|
Referanse: Windows Configuration System (WinCS)-API-er for sikker oppstart
tilbake til «Referanse for innstillinger for Oppdateringer av sertifikat»
Arkitektur
Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå
I denne delen
- Skript som kreves for fase 1
- Lokal testing
- Konfigurasjon av nettverksdeling
- GPO-distribusjon
- Sammendrag av GPO-innstillinger
- Kontroll
Skript som kreves for fase 1
Eksempel på skript for innsamling av Secure Boot Inventory Data Collection
Obs!
VIKTIG Følgende artikler som inneholder eksempelskriptene, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptene i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.
| Eksempel på skriptnavn | Formål | Kjører på |
|---|---|---|
| Eksempel på Detect-SecureBootCertUpdateStatus.ps1 skript | Samler inn data om enhetsstatus | Hvert endepunkt (via GPO) |
| Eksempel på Aggregate-SecureBootData.ps1 skript | Genererer rapporter og instrumentbord | Admin-arbeidsstasjon |
| Eksempel på Deploy-GPO-SecureBootCollection.ps1 skript | Automatiserer oppretting av gruppepolicyobjekter for datainnsamling | Domenekontroller |
Eksempel på utdata fra fase 1-skriptene ovenfor
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
Lokal testing
Før du distribuerer via GPO, bør du teste samlingsskriptet på én enkelt maskin for å kontrollere funksjonaliteten.
Kjøre samlingsskript lokalt
Åpne en opphøyd PowerShell-ledetekst, og kjør følgende kommandoer:
Obs!
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Bekreft JSON-utdata
Obs!
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListNøkkelfelt å bekrefte
• SecureBootEnabled – skal være sann eller usann
• OverallStatus – Complete, ReadyForUpdate, NeedsData eller Error
• BucketHash – enhetsbeholder for konfidensdatasamsvar
• SecureBootTaskEnabled – viser status for oppdateringsoppgaven Secure Boot.Testaggregeringsskript
Obs!
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Åpne HTML-instrumentbordet
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
Konfigurasjon av nettverksdeling
Opprette delt nettverksressurs
Opprett en dedikert delt ressurs for datainnsamling på filserveren:
Obs!
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Opprett mappe
New-Item -ItemType Directory -Path $SharePath -Force
Opprett skjult del ($ suffiks skjules fra listen over bla gjennom)
New-SmbShare -Name $ShareName -Path $SharePath '
-Description "Secure Boot Certificate Status Collection" '
-FullAccess «Domeneadministratorer» '
-ChangeAccess "Domenedatamaskiner"Konfigurere NTFS-tillatelser
Obs!
# Get current ACL
$Acl = Get-Acl $SharePath
Tillat godkjente brukere å skrive filer
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
«domenedatamaskiner» og
«Endre»,
"ContainerInherit,ObjectInherit",
«Ingen»,
«Tillat»
)
$Acl.AddAccessRule($WriteRule)
Gi domeneadministratorer full kontroll (for aggregering)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
«Domeneadministratorer»,
"Fullkontroll",
"ContainerInherit,ObjectInherit",
«Ingen»,
«Tillat»
)
$Acl.AddAccessRule($AdminRule)
Bruke tillatelser
Set-Acl -Path $SharePath -AclObject $Acl
Bekreft delt tilgang
Obs!
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Skal returnere: Sann
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
GPO-distribusjon
Bruk automatiseringsskriptet som leveres fra en domenekontroller:
Obs!
Kjør på domenekontroller som domene Admin for interaktiv organisasjonsenhet – anbefalt
Erstatt "Contoso.com", "Contoso" med navnet på domenet
Erstatt FILESERVER med filservernavnet. Skriptet viser en liste over organisasjonsenheter å distribuere gruppepolicyobjekter på
.\Deploy-GPO-SecureBootCollection.ps1 '
-Domenenavn "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath «.\Detect-SecureBootCertUpdateStatus.ps1» '
-Planlegg "Daglig" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Dette skriptet utfører følgende:
- Oppretter nytt gruppepolicyobjekt med angitt navn
- Kopierer samlingsskript til SYSVOL for høy tilgjengelighet
- Konfigurerer datamaskinens oppstartsskript
- Kobler gruppepolicyobjekt til målenhet
- Oppretter eventuelt planlagte aktiviteter for periodisk innsamling
Tabellen nedenfor gir veiledning i hvor lang forsinkelsen vil være basert på flåtestørrelsen.
| Flåtestørrelse | Forsinkelsesområde |
|---|---|
| 1–10K enheter | 4 timer |
| 10K–50K-enheter | 8 timer |
| 50K+ enheter | 12-24 timer |
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
Sammendrag av GPO-innstillinger
| Innstilling | Plassering | Verdi |
|---|---|---|
| Oppstartsskript | Skript for datamaskinkonfigurasjon → | Detect-SecureBootCertUpdateStatus.ps1 |
| Skript-parametere | (samme) | -OutputPath "\\server\share$" |
| Policy for kjøring | Maler for datamaskinkonfigurasjon → Admin → PowerShell | Tillat lokal og ekstern signering |
| Planlagt oppgave | Innstillinger for datamaskinkonfigurasjon → → planlagte oppgaver | Daglig/ukentlig innsamling |
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
Kontroll
Tving GPO-oppdatering på testmaskin
Obs!
## On a test workstation
gpupdate /force
Start klientmaskinene på nytt til oppstartsskriptet, ellers vil det utløses ved neste tidsplan.
Restart-Computer -Force
Bekreft datainnsamling
Obs!
Kontroller om data ble samlet inn (på filserveren eller fra en hvilken som helst maskin)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Synkende |
Select-Object -First 10
Bekrefte JSON-innhold
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Kontroller GPO-applikasjonen
Obs!
Kontrollere at gruppepolicyobjekt er brukt på datamaskinen
Select-String "SecureBoot"
Skriptet lagrer også en lokal kopi for redundans:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
tilbake til "Fase 1: Gjenkjenning og statusovervåking på organisasjonsnivå"
Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
Viktig
Sikre at Fase1 er fullført, inkludert datainnsamling på hvert endepunkt for eksterne serverressurser.
I denne delen
- Skript som kreves for fase 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Skript som kreves for fase 2
Eksempel på skript for innsamling av Secure Boot Inventory Data Collection
Obs!
VIKTIG Følgende artikler som inneholder eksempelskriptene, er fjernet. Hvis du har installert en Windows-oppdatering utgitt 12. mai 2026 eller senere, finner du eksempelskriptene i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.
| Eksempel på skriptnavn | Formål | Kjører på: |
|---|---|---|
| Eksempel på Detect-SecureBootCertUpdateStatus.ps1 skript | Samler inn data om enhetsstatus | Hvert endepunkt (via GPO) |
| Eksempel på Aggregate-SecureBootData.ps1 skript | Genererer rapporter og instrumentbord | Admin-arbeidsstasjon |
| Eksempel på Deploy-GPO-SecureBootCollection.ps1 skript | Automatiserer oppretting av gruppepolicyobjekter for datainnsamling | Domenekontroller |
| Eksempel på Start-SecureBootRolloutOrchestrator.ps1 skript | Helautomatisert, kontinuerlig orkestrering med automatisert GPO-distribusjon for sertifikatinstallasjon | Admin-arbeidsstasjon |
| Eksempel på Deploy-OrchestratorTask.ps1 skript | Distribuerer organisatorskript som planlagt oppgave for automatisert utrulling | Domenekontroller |
| Eksempel på Get-SecureBootRolloutStatus.ps1 skript | Vise utrullingsstatus for sertifikat for sikker oppstart fra en arbeidsstasjon | Admin Workstation |
| Eksempel på Enable-SecureBootUpdateTask.ps1 skript | Aktiverer oppdateringsoppgaven Sikker oppstart | Ved endepunkter der oppgaven er deaktivert (kjør bare én gang for å aktivere oppgaven hvis den er deaktivert) |
tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
Start-SecureBootRolloutOrchestrator.ps1
Formål: Helautomatisert, kontinuerlig orkestrering med automatisert GPO-distribusjon.
Hva den gjør
Anrop Aggregate-SecureBootData.ps1 for enhetsstatus
Genererer utrullingsbølger ved hjelp av progressiv dobling
Oppretter gruppepolicyobjekt for sertifikatdistribusjon ved hjelp av én av følgende metoder
- Sikker oppstart Gruppepolicy AvailableUpdatesPolicy = 0x5944 (Standard)
- WinCS-metode (parameter –UseWinCS)
Oppretter AD-sikkerhetsgrupper for målretting
Legger til datamaskinkontoer i sikkerhetsgrupper
Konfigurerer sikkerhetsfiltrering for gruppepolicyobjekter
Kobler gruppepolicyobjekt til målenhet
Skjermer for blokkerte samlinger (enheter som ikke kan nås)
Opphever automatisk blokkering når enheter gjenopprettes
Bruk
Obs!
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Obs!
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSAdmin-kommandoer
Obs!
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObs!
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"Obs!
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametere
Parameter Standard Beskrivelse AggregationInputPath Obligatorisk UNC-bane til JSON-filer for endepunkt ReportBasePath Obligatorisk Lokal bane for rapporter og delstat TargetOU Domenerot Organisasjonsenhet for å koble gruppepolicyobjekter WavePrefix SecureBoot-Rollout Prefiks for navngivning av gruppepolicyobjekt / gruppe MaxWaitHours 72 Timer før du sjekker enhetens tilgjengelighet PollIntervalMinutes 1440 Minutter mellom statuskontroller DryRun Usann Vis hva som ville skjedd uten endringer Obs!
Merknad på PollIntervalMinutes: Når du kjører organisatoren direkte, er standardverdien 1440 minutter (24 timer). Når du distribuerer via Deploy-OrchestratorTask.ps1, er standardverdien 30 minutter. Distribusjonsskriptet sender sin egen standard til organisatoren. Bruk 30 minutter for aktiv utrulling, 1440 for vedlikeholdsovervåking.
Valgfrie parametere
Parameter Standard Beskrivelse UseWinCS Usann Use WinCS method instead of AvailableUpdatesPolicy GPO WinCSKey F33E0C8E002 WinCS-nøkkel for konfigurasjon av sikker oppstart AllowListPath (none) Bane til fil med vertsnavn som skal TILLAT for målrettet/pilotutrulling. Støtter .txt eller .csv. AllowADGroup (none) AD-sikkerhetsgruppe med datamaskinkontoer som skal TILLATES. Eksempel: "SecureBoot-Pilot-Computers" ExclusionListPath (none) Bane til fil med vertsnavn som skal utelates fra utrulling (VIP-/executive-enheter) ExcludeADGroup (none) AD-sikkerhetsgruppe med datamaskinkontoer som skal utelates. Eksempel: "VIP-datamaskiner" ListBlockedBuckets Usann Vise blokkerte enhetssamlinger UnblockBucket (none) Oppheve blokkeringen av en bestemt samling. Format: «Produsent|Modell|BIOS» Opphev blokkeringen av alle Usann Opphev blokkeringen av alle blokkerte enhetssamlinger
tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
Deploy-OrchestratorTask.ps1
Formål: Distribuerer organisatoren som en planlagt oppgave i Windows.
Fordeler
- Ingen PowerShell-sikkerhetsledetekster (ExecutionPolicy Bypass)
- Kjører kontinuerlig i bakgrunnen
- Ingen brukerinteraksjon kreves
- Overlever omstarter
Bruk
Distribuer med domenetjenestekonto (anbefales)
Bruk AvailableUpdates-gruppepolicy (standardmetode)
Obs!
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Bruk WinCS-metoden
Obs!
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Distribuer med SYSTEM-konto
Bruk AvailableUpdates-gruppepolicy (standardmetode)
Obs!
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Bruke WinCS method.\Deploy-OrchestratorTask.ps1
Obs!
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSKrav til tjenestekonto
- Domain Admin (for New-GPO, New-ADGroup, Add-ADGroupMember)
- Lesetilgang til JSON-fildeling
- Skrivetilgang til ReportBasePath
tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
Get-SecureBootRolloutStatus.ps1
Formål: Vis utrullingsfremdrift fra alle arbeidsstasjoner.
Dette vises
- Status for planlagte oppgaver (Kjører/Klar/Stoppet)
- Gjeldende bølgenummer
- Enheter som er målrettet kontra oppdatert
- Visuell fremdriftslinje
- Sammendrag av blokkerte samlinger
- Kobling til det nyeste HTML-instrumentbordet
Bruk
Obs!
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Obs!
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Obs!
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedObs!
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesObs!
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogObs!
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametere
Parameter Obligatorisk? Standard Beskrivelse ReportBasePath Obligatorisk — Lokal bane til rapporter og tilstandsfiler ShowLog Valgfritt Usann Vise nylige organisatorloggoppføringer ShowBlocked Valgfritt Usann Vise detaljer om blokkerte samlinger ShowWaves Valgfritt Usann Vis bølgehistorikk Armbåndsur Valgfritt 0 (deaktivert) Automatisk oppdateringsintervall i sekunder. Eksempel: -Se 30 oppdateringer hvert 30. sekund. OpenDashboard Valgfritt Usann Åpne det nyeste HTML-instrumentbordet i standardnettleseren Eksempel på utdata
Obs!
==============================================================
STATUS FOR SIKKER OPPSTART-UTRULLING
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Status: Pågår
Gjeldende bølge: 5
Totalt målrettet: 1250
Totalt oppdatert: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Kjør med -ShowBlocked for mer informasjonLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
tilbake til Fase 2: Orkestreringsskript for oppdatering av sertifikat for sikker oppstart
E2E-distribusjonstrinn (hurtigreferanse)
I denne delen
Fase 1: Oppdagelsesinfrastruktur
Trinn 1: Opprett samlingsdel
Obs!
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domeneadministratorer" -ChangeAccess "Domenedatamaskiner"Obs!
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domenedatamaskiner","Endre","Tillat")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclTrinn 2: Distribuere gjenkjennings-gruppepolicyobjekt
Obs!
.\Deploy-GPO-SecureBootCollection.ps1 `
-Domenenavn "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Trinn 3: Vent på at endepunktene rapporteres (24–48 timer)
Obs!
Kontrollere fremdriften i samlingen
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Antall
tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»
Fase 2: Orkestrert utrulling
Trinn 4: Kontroll av forhåndskrav
- Gjenkjennings-GPO distribuert (trinn 2)
- Minst 50+ endepunktrapporter JSON
- Tjenestekonto med rettigheter som Admin for domene
- Administrasjonsserver med PowerShell 5.1+
Trinn 5: Distribuere Orchestrator som planlagt oppgave
Obs!
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Trinn 6: Overvåk fremdriften
Obs!
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Trinn 7: Vis instrumentbordet
Obs!
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardTrinn 8: Behandle blokkerte samlinger
Obs!
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObs!
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Produsent|Modell|BIOS»Trinn 9: Bekreft fullføring
Obs!
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Statusen skal vise «Fullført»
tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»
State Files
Organisatoren opprettholder tilstand i ReportBasePath\RolloutState\:
| Fil | Beskrivelse |
|---|---|
| RolloutState.json | Wave-logg, målrettede enheter, status |
| BlockedBuckets.json | Samlinger som må undersøkes |
| DeviceHistory.json | Enhetssporing etter vertsnavn |
| Orchestrator_YYYYMMDD.log | Daglige aktivitetslogger |
tilbake til «E2E-distribusjonstrinn (hurtigreferanse)»
Feilsøking
I denne delen
Organisatoren har ingen fremgang
Kontrollere planlagte aktiviteter
Obs!
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Kontroller logger
Obs!
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Kontroller at JSON-data er oppdatert
Obs!
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Blokkerte samlinger
Liste blokkert.
Obs!
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsUndersøk enhetens tilgjengelighet.
Se etter fastvareproblemer.
Opphev blokkeringen etter undersøkelse.
GPO gjelder ikke
Kontroller at gruppepolicyobjektet finnes.
Obs!
Get-GPO -Name "SecureBoot-Rollout-Wave*"Kontroller sikkerhetsfiltrering.
Obs!
Get-GPPermission -Name "GPO-Name" -AllKontroller at datamaskinen er i sikkerhetsgruppen.
Bruke gruppepolicyobjektet på målet.
Obs!
gpupdate /force
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| 12. mai 2026 kl. | Tidligere ble hver eksempelskriptfil publisert som individuelle artikler som du skulle kopiere og lime inn skriptet fra. Fra og med Windows-oppdateringene utgitt 12. mai 2026 eller senere, er eksempelskriptene plassert i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten. |