Opmerking
Oorspronkelijke publicatiedatum: 16 maart 2026
Laatst bijgewerkt: 12 mei 2026
KB-id: 5084567
In dit artikel
- Overzicht
- Belangrijkste functies
- Naslaginformatie over instellingen voor certificaatupdates voor Updates
- Architectuur
- Fase 1: Detectie en statusbewaking op ondernemingsniveau
- Fase 2: Secure Boot Certificate Update Orchestration Script
- E2E-implementatiestappen (snelzoekgids)
- Probleemoplossing
- Wijzigingenlogboek
Overzicht
In deze handleiding wordt het geautomatiseerde implementatiesysteem voor Windows Secure Boot DB-certificaatupdates beschreven met behulp van groepsbeleid en progressieve implementatiegolven.
Secure Boot Certificate Rollout Automation is een PowerShell-gebaseerd systeem dat Windows Secure Boot DB-certificaatupdates op een gecontroleerde, gegradueerde manier implementeert op computers die lid zijn van een domein.
Belangrijkste functies
| Functie | Beschrijving |
|---|---|
| Gegradueerde implementatie | > 1 2 > 4 > 8... apparaten per bucket |
| Automatisch blokkeren | Buckets met onbereikbare apparaten zijn uitgesloten |
| Geautomatiseerde implementatie van groepsbeleidsobjecten | Eén orchestratorscript verwerkt alles |
| Geplande uitvoering van taken | Geen interactieve prompts vereist |
| Real-time Monitoring | Statusviewer met voortgangsbalk |
Naslaginformatie over instellingen voor certificaatupdates voor Updates
In deze sectie
Beleid AvailableUpdates Groepsbeleid
| Registerlocatie | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Naam | AvailableUpdatesPolicy |
| Waarde | 0x5944 (DWORD) |
Dit is de door het groepsbeleidsobject/ADMX bestuurde sleutel die:
- Blijft behouden bij opnieuw opstarten
- Is ingesteld door groepsbeleid / MDM
- Veroorzaakt geen herhalingslussen (gewist via ClearRolloutFlags)
- Is de juiste sleutel voor een beleidsgestuurde implementatie
Naslaginformatie: methode voor groepsbeleid-objecten (GPO) voor beveiligd opstarten voor Windows-apparaten met door IT beheerde updates
terug naar 'Naslaginformatie Updates instellingen voor certificaat'
WinCSFlags - Windows-configuratiesysteemvlaggen
Domeinbeheerders kunnen ook het Windows-configuratiesysteem (WinCS) gebruiken dat is uitgebracht met updates van het Windows-besturingssysteem om de updates voor beveiligd opstarten te implementeren op Windows-clients en servers die lid zijn van een domein. Het bestaat uit een CLI-hulpprogramma (command-line interface) om configuraties voor beveiligd opstarten lokaal op een computer op te vragen en toe te passen.
| Onderdeelnaam | WinCS-sleutel | Beschrijving |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Als je deze sleutel inschakelt, kunnen de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op je apparaat worden geïnstalleerd.
|
Naslaginformatie: WinCS-API's (Windows Configuration System) voor beveiligd opstarten
terug naar 'Naslaginformatie Updates instellingen voor certificaat'
Architectuur
Fase 1: detectie en statusbewaking op bedrijfsniveau
In deze sectie
- Scripts die nodig zijn voor fase 1
- Lokale tests
- Netwerkshare instellen
- GPO-implementatie
- Overzicht van groepsbeleidsobjectinstellingen
- Verificatie
Scripts die nodig zijn voor fase 1
Voorbeeld van scripts voor Secure Boot Inventory Data Collection
Opmerking
BELANGRIJK De volgende artikelen met de voorbeeldscripts zijn niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u de voorbeeldscripts in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.
| Voorbeeld van scriptnaam | Doel | Wordt uitgevoerd op |
|---|---|---|
| Voorbeeldscript Detect-SecureBootCertUpdateStatus.ps1 | Verzamelt statusgegevens van het apparaat | Elk eindpunt (via groepsbeleidsobject) |
| Voorbeeldscript Aggregate-SecureBootData.ps1 | Genereert rapporten en dashboards | Beheer-werkstation |
| Voorbeeldscript Deploy-GPO-SecureBootCollection.ps1 | Hiermee wordt het maken van groepsbeleidsobjecten voor gegevensverzameling geautomatiseerd | Domeincontroller |
Voorbeelduitvoer van de bovenstaande fase 1-scripts
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
Lokale tests
Voordat u het verzamelingsscript implementeert via GPO, moet u het op één computer testen om de functionaliteit te controleren.
Verzamelingsscript lokaal uitvoeren
Open een PowerShell-prompt met verhoogde bevoegdheid en voer het volgende uit:
Opmerking
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"JSON-uitvoer controleren
Opmerking
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListBelangrijke velden om te verifiëren
• SecureBootEnabled – moet waar of onwaar zijn
• OverallStatus : Complete, ReadyForUpdate, NeedsData of Error
• BucketHash – Apparaatbucket voor het matchen van betrouwbare gegevens
• SecureBootTaskEnabled - toont de status van de Secure Boot Update-taak.Aggregatiescript testen
Opmerking
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Het HTML-dashboard openen
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
Netwerkshare instellen
De netwerkshare maken
Maak op uw bestandsserver een speciale share voor verzamelingsgegevens:
Opmerking
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Map maken
New-Item -ItemType Directory -Path $SharePath -Force
Verborgen share maken (het achtervoegsel $ wordt verborgen in de bladerlijst)
New-SmbShare -Name $ShareName -Path $SharePath '
-Description "Secure Boot Certificate Status Collection" (Secure Boot Certificate Status Collection) (')
-FullAccess "Domeinbeheerders" '
-ChangeAccess "Domein Computers"NTFS-machtigingen configureren
Opmerking
# Get current ACL
$Acl = Get-Acl $SharePath
Geverifieerde gebruikers toestaan bestanden te schrijven
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domeincomputers" en
"Wijzigen",
"ContainerInherit,ObjectInherit",
"Geen",
"Toestaan"
)
$Acl.AddAccessRule($WriteRule)
Domeinbeheerders volledig beheer geven (voor aggregatie)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domeinbeheerders",
"FullControl",
"ContainerInherit,ObjectInherit",
"Geen",
"Toestaan"
)
$Acl.AddAccessRule($AdminRule)
Machtigingen toepassen
Set-Acl -Path $SharePath -AclObject $Acl
Toegang delen controleren
Opmerking
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Zou moeten resulteren in: Waar
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
GPO-implementatie
Gebruik het automatiseringsscript van een domeincontroller:
Opmerking
Run on Domain Controller as Domain Beheer for interactive OU Section – Recommended
Vervang de tekens 'Contoso.com' en 'Contoso' door de naam van het domein
Vervang FILESERVER door de naam van de bestandsserver. Het script toont een lijst met organisatie-eenheden waarop het groepsbeleidsobject moet worden geïmplementeerd
.\Deploy-GPO-SecureBootCollection.ps1 '
-Domeinnaam "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Schema "Dagelijks" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Dit script voert het volgende uit:
- Hiermee wordt een nieuw groepsbeleidsobject met een opgegeven naam gemaakt
- Kopieert een verzamelscript naar SYSVOL voor hoge beschikbaarheid
- Configureert opstartscript voor computer
- Koppelt groepsbeleidsobject aan doelorganisatie-eenheid
- Hiermee wordt desgewenst een geplande taak voor periodieke verzameling gemaakt
De volgende tabel bevat richtlijnen voor hoe lang de vertraging zal duren, gebaseerd op de grootte van uw machinepark.
| Grootte van de vloot | Vertragingsbereik |
|---|---|
| 1-10K apparaten | 4 uur |
| 10K-50K-apparaten | 8 uur |
| 50K+ apparaten | 12-24 uur |
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
Overzicht van groepsbeleidsobjectinstellingen
| Instelling | Locatie | Waarde |
|---|---|---|
| Opstartscript | Computerconfiguratie → scripts | Detect-SecureBootCertUpdateStatus.ps1 |
| Script Parameters | (dezelfde) | -OutputPath "\\server\share$" |
| Uitvoeringsbeleid | Sjablonen voor computerconfiguratie → Beheer → PowerShell | Lokale en externe ondertekening toestaan |
| Geplande taak | Voorkeuren voor computerconfiguratie → → geplande taken | Dagelijkse/wekelijkse inzameling |
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
Verificatie
Update van groepsbeleidsobject forceren op testmachinee
Opmerking
## On a test workstation
gpupdate /force
Start de clientcomputers opnieuw op om het script op te starten. Anders wordt het bij het volgende schema geactiveerd.
Restart-Computer -Force
Gegevensverzameling controleren
Opmerking
Controleren of gegevens zijn verzameld (op bestandsserver of vanaf een computer)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime - Aflopend |
Select-Object -Eerste 10
JSON-inhoud controleren
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Dialoogvenster Groepsbeleidsobject toepassen controleren
Opmerking
Controleer of het groepsbeleidsobject wordt toegepast op de computer
Select-String "SecureBoot"
Het script slaat ook een lokale kopie op voor redundantie:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"
Fase 2: Orchestration-scripts voor secure boot-certificaatupdate
Belangrijk
Zorg ervoor dat fase 1 is voltooid, inclusief het verzamelen van gegevens op elk eindpunt naar externe servershares.
In deze sectie
- Scripts die nodig zijn voor fase 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Scripts die nodig zijn voor fase 2
Voorbeeld van scripts voor Secure Boot Inventory Data Collection
Opmerking
BELANGRIJK De volgende artikelen met de voorbeeldscripts zijn niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u de voorbeeldscripts in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.
| Voorbeeld van scriptnaam | Doel | Wordt uitgevoerd op |
|---|---|---|
| Voorbeeldscript Detect-SecureBootCertUpdateStatus.ps1 | Verzamelt statusgegevens van het apparaat | Elk eindpunt (via groepsbeleidsobject) |
| Voorbeeldscript Aggregate-SecureBootData.ps1 | Genereert rapporten en dashboards | Beheer-werkstation |
| Voorbeeldscript Deploy-GPO-SecureBootCollection.ps1 | Hiermee wordt het maken van groepsbeleidsobjecten voor gegevensverzameling geautomatiseerd | Domeincontroller |
| Voorbeeldscript Start-SecureBootRolloutOrchestrator.ps1 | Volledig geautomatiseerde, continue orkestratie met geautomatiseerde GPO-implementatie voor certificaatinstallatie | Beheer-werkstation |
| Voorbeeldscript Deploy-OrchestratorTask.ps1 | Implementeert het Orchestrator-script als geplande taak voor geautomatiseerde implementatie | Domeincontroller |
| Voorbeeldscript Get-SecureBootRolloutStatus.ps1 | Secure Boot-certificaat weergeven Implementatiestatus vanaf elk werkstation | Werkstation voor beheer |
| Voorbeeldscript Enable-SecureBootUpdateTask.ps1 | Schakelt Secure Boot Update-taak in | Op eindpunten waarop de taak is uitgeschakeld (slechts één keer uitvoeren om de taak in te schakelen als deze is uitgeschakeld) |
terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'
Start-SecureBootRolloutOrchestrator.ps1
Doel: Volledig geautomatiseerde, continue orkestratie met geautomatiseerde GPO-implementatie.
Wat gebeurt er
Oproepen Aggregate-SecureBootData.ps1 voor apparaatstatus
Genereert uitrolgolven met behulp van progressieve verdubbeling
Hiermee wordt een groepsbeleidsobject gemaakt voor certificaatimplementatie met behulp van een van de volgende methoden
- Groepsbeleid voor beveiligd opstarten AvailableUpdatesPolicy = 0x5944 (standaard)
- WinCS-methode (parameter –UseWinCS)
Hiermee worden AD-beveiligingsgroepen gemaakt voor targeting
Computeraccounts toevoegen aan beveiligingsgroepen
Configureert GPO-beveiligingsfilters
Koppelt groepsbeleidsobject aan doelorganisatie-eenheid
Controleert op geblokkeerde buckets (onbereikbare apparaten)
Automatische deblokkering wanneer apparaten worden hersteld
Gebruik
Opmerking
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalNotulen 30Opmerking
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSOpdrachten voor Beheer
Opmerking
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsOpmerking
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Breedtegraad5520|BIOS1.2"Opmerking
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParameters
Parameter Standaard Beschrijving AggregationInputPath Vereist UNC-pad naar eindpunt-JSON-bestanden ReportBasePath Vereist Lokaal pad voor rapporten en staat TargetOU Domeinroot OU om groepsbeleidsobjecten te koppelen WavePrefix SecureBoot-Rollout Groepsnaambeleidsobject voorvoegsel of groepsnaamgegeven MaxWaitHours 72 Uren voor het controleren van de bereikbaarheid van het apparaat PollIntervalMinutes 1440 Minuten tussen statuscontroles DryRun Onwaar Weergeven wat er zou gebeuren zonder wijzigingen Opmerking
Opmerking over PollIntervalMinutes: Wanneer de orchestrator rechtstreeks wordt uitgevoerd, is de standaardwaarde 1440 minuten (24 uur). Bij implementatie via Deploy-OrchestratorTask.ps1 is de standaardinstelling 30 minuten. Het implementatiescript geeft zijn eigen standaard door aan de orchestrator. Gebruik 30 minuten voor actieve implementatie, 1440 minuten voor onderhoudsbewaking.
Optionele parameters
Parameter Standaard Beschrijving UseWinCS Onwaar WinCS-methode gebruiken in plaats van het groepsbeleidsobject AvailableUpdatesPolicy WinCSKey F33E0C8E002 WinCS-sleutel voor de configuratie van beveiligd opstarten AllowListPath (geen) Pad naar bestand met hostnamen voor ALLOW voor doelgerichte/pilotimplementatie. Ondersteunt .txt of .csv. AllowADGroup (geen) AD-beveiligingsgroep met computeraccounts die moeten worden TOEGESTAAN. Voorbeeld: "SecureBoot-Pilot-Computers" ExclusionListPath (geen) Pad naar bestand met hostnamen die moeten worden uitgesloten van implementatie (VIP-/uitvoerende apparaten) ExcludeADGroup (geen) AD-beveiligingsgroep met computeraccounts die moeten worden uitgesloten. Voorbeeld: "VIP-Computers" ListBlockedBuckets Onwaar Momenteel geblokkeerde buckets weergeven Bucket deblokkeren (geen) Deblokkeer een specifieke bucket. Formaat: "Fabrikant|Model|BIOS" Alles deblokkeren Onwaar Deblokkeren van alle buckets met geblokkeerde apparaten
terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'
Deploy-OrchestratorTask.ps1
Doel: Implementeert de orchestrator als een geplande Windows-taak.
Voordelen
- Geen PowerShell-beveiligingsprompts (ExecutionPolicy Bypass)
- Wordt continu op de achtergrond uitgevoerd
- Geen interactie van de gebruiker vereist
- Overleeft herstarts
Gebruik
Implementeren met domeinserviceaccount (aanbevolen)
Het groepsbeleid AvailableUpdates gebruiken (standaardmethode)
Opmerking
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMEIN\svc_secureboot"De WinCS-methode gebruiken
Opmerking
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMEIN\svc_secureboot" -UseWinCS
Implementeren met SYSTEM-account
Het groepsbeleid AvailableUpdates gebruiken (standaardmethode)
Opmerking
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"WinCS method.\Deploy-OrchestratorTask.ps1gebruiken
Opmerking
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSVereisten voor serviceaccounts
- Domain Beheer (voor New-GPO, New-ADGroup, Add-ADGroupMember)
- Leestoegang tot JSON-bestandsshare
- Schrijftoegang tot ReportBasePath
terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'
Get-SecureBootRolloutStatus.ps1
Doel: Bekijk de voortgang van de implementatie vanaf een werkstation.
Wat wordt weergegeven
- Geplande taakstatus (actief/gereed/gestopt)
- Getal huidige golf
- Apparaten die u wilt gebruiken of bijgewerkt
- Visuele voortgangsbalk
- Overzicht van geblokkeerde buckets
- Koppeling naar nieuwste HTML-dashboard
Gebruik
Opmerking
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Opmerking
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Opmerking
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedOpmerking
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesOpmerking
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogOpmerking
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParameters
Parameter Vereist? Standaard Beschrijving ReportBasePath Vereist — Lokaal pad naar rapporten en statusbestanden Showlog Optioneel Onwaar Recente vermeldingen in het orchestratorlogboek weergeven ShowBlocked Optioneel Onwaar Details van geblokkeerde buckets weergeven Golven weergeven Optioneel Onwaar Golfgeschiedenis weergeven Bekijken Optioneel 0 (uitgeschakeld) Interval voor automatisch vernieuwen in seconden. Voorbeeld: -Watch 30 ververst elke 30 seconden. Dashboard openen Optioneel Onwaar Het meest recente HTML-dashboard openen in de standaardbrowser Uitvoer steekproef
Opmerking
==============================================================
STATUS VAN SECURE BOOT-IMPLEMENTATIE
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Status: Wordt uitgevoerd
Huidige golf: 5
Totaal beoogd: 1250
Totaal bijgewerkt: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Voer met -ShowBlocked uit voor meer informatieLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'
E2E-implementatiestappen (snelzoekgids)
In deze sectie
Fase 1: Detectie-infrastructuur
Stap 1: Delen van de verzameling maken
Opmerking
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domeinbeheerders" -ChangeAccess "Domeincomputers"Opmerking
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclStap 2: Implementeer het groepsbeleidsobject voor detectie
Opmerking
.\Deploy-GPO-SecureBootCollection.ps1 `
-Domeinnaam "contoso.com" '
-OUPath "OU=Werkstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Stap 3: Wachten op het rapport van de eindpunten (24-48 uur)
Opmerking
Voortgang van verzameling controleren
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Aantal
terug naar "E2E-implementatiestappen (snelzoekgids)"
Fase 2: Georkestreerde implementatie
Stap 4: Controle op vereisten
- Geïmplementeerd detectiegroepsbeleidsobject (stap 2)
- Ten minste 50+ eindpunten die JSON rapporteren
- Serviceaccount met domeinrechten Beheer
- Beheerserver met PowerShell 5.1+
Stap 5: Orchestrator implementeren als geplande taak
Opmerking
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMEIN\svc_secureboot"Stap 6: De voortgang controleren
Opmerking
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Stap 7: het dashboard weergeven
Opmerking
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardStap 8: Geblokkeerde buckets beheren
Opmerking
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsOpmerking
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Fabrikant|Model|BIOS"Stap 9: Voltooiing controleren
Opmerking
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Status moet Voltooid weergeven
terug naar "E2E-implementatiestappen (snelzoekgids)"
State Files
De orchestrator handhaaft de status in ReportBasePath\RolloutState\:
| Bestand | Beschrijving |
|---|---|
| RolloutState.json | Golfgeschiedenis, gerichte apparaten, status |
| BlockedBuckets.json | Buckets die moeten worden onderzocht |
| DeviceHistory.json | Apparaat volgen op hostnaam |
| Orchestrator_YYYYMMDD.log | Dagelijkse activiteitenlogboeken |
terug naar "E2E-implementatiestappen (snelzoekgids)"
Probleemoplossing
In deze sectie
Orchestrator vordert niet
Geplande taak controleren
Opmerking
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Logboeken controleren
Opmerking
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Controleer de actualiteit van JSON-gegevens
Opmerking
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
terug naar "Problemen oplossen"
Geblokkeerde buckets
Lijst geblokkeerd.
Opmerking
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsOnderzoek de bereikbaarheid van het apparaat.
Controleer op firmwareproblemen.
Deblokkeren na onderzoek.
terug naar "Problemen oplossen"
Groepsbeleidsobject is niet van toepassing
Controleer of het groepsbeleidsobject bestaat.
Opmerking
Get-GPO -Name "SecureBoot-Rollout-Wave*"Controleer de beveiligingsfilters.
Opmerking
Get-GPPermission -Name "GPO-Name" -AllControleer of de computer zich in de beveiligingsgroep bevindt.
Het groepsbeleidsobject toepassen op het doel.
Opmerking
gpupdate /force
terug naar "Problemen oplossen"
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 12 mei 2026 | Voorheen werd elk voorbeeldscriptbestand gepubliceerd als afzonderlijke artikelen waaruit u het script kon kopiëren en plakken. Vanaf de Windows-updates die zijn uitgebracht op en na 12 mei 2026, bevinden de voorbeeldscripts zich in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat. |