Vzorčni vodnik za avtomatizacijo Varnega zagona E2E

Velja za
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opomba

Prvotni datum objave: 16 marca, 2026
Zadnji datum posodobitve: 12 maja, 2026
ID zbirke znanja: 5084567

V temu članku

Pregled

V tem priročniku je opisan sistem samodejnega uvajanja posodobitev potrdil Windows Secure Boot DB z uporabo pravilnika skupine in valov postopnega uvajanja.

Avtomatizacija uvajanja potrdila za varen zagon je sistem, ki temelji na PowerShell in uvaja posodobitve potrdil Windows Secure Boot DB v računalnike, pridružene domeni, na nadzorovan in postopen način.

Nazaj na vrh

Ključne lastnosti

Funkcija Opis
Postopno uvajanje 1 > 2 > 4 > 8... naprave na vedro
Samodejno blokiranje Vedra z nedosegljivimi napravami so izključena
Avtomatizirano uvajanje GPO En sam skript orkestratorja obravnava vse
Načrtovano izvajanje opravila Interaktivni pozivi niso potrebni
Spremljanje v realnem času Pregledovalnik stanja z vrstico napredovanja

Nazaj na vrh

Sklic na nastavitve Posodobitve potrdil

V tem razdelku

Pravilnik skupine »AvailableUpdates«

Mesto registra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ime Razpoložljive posodobitvePravilnik
Value (Vrednost) 0x5944 (DWORD)

To je ključ, ki ga upravlja GPO/ADMX, ki:

  • Ohranja se med ponovnimi zagoni
  • Nastavi ga pravilnik skupine / MDM
  • Ne povzroči zank ponovnega poskusa (počistiti prek ClearRolloutFlags)
  • Je pravilen ključ za uvajanje, ki temelji na pravilnikih

Sklic: Metoda predmetov pravilnika skupine (GPO) za varen zagon za naprave s sistemom Windows s posodobitvami, ki jih upravlja IT.

nazaj na »Sklic na nastavitve Posodobitve potrdil«

WinCSFlags - Zastavice konfiguracijskega sistema Windows

Skrbniki domene lahko uporabijo tudi konfiguracijski sistem Windows (WinCS), ki je bil izdan s posodobitvami operacijskega sistema Windows, za uvajanje posodobitev varnega zagona v odjemalce in strežnike sistema Windows, ki so pridruženi domeni. Sestavljen je iz pripomočka vmesnika ukazne vrstice (CLI) za poizvedovanje in uporabo konfiguracij varnega zagona lokalno v računalniku.

Ime funkcije Ključ WinCS Opis
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Če omogočite ta ključ, omogočite namestitev teh Microsoftovih novih potrdil za varen zagon v vaši napravi.
  • Microsoft Corporation KEK 2K, CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoftova možnost UEFI ROM CA 2023

Sklic: API-ji konfiguracijskega sistema Windows (WinCS) za varen zagon

nazaj na »Sklic na nastavitve Posodobitve potrdil«

Nazaj na vrh

Arhitektura

Potek dela arhitekture

Nazaj na vrh

1. faza: Zaznavanje in spremljanje stanja na ravni podjetja

V tem razdelku

Skripti, potrebni za 1. fazo

Vzorčni skripti za zbiranje podatkov inventarja varnega zagona

Opomba

POMEMBNO Naslednji članki, ki vsebujejo vzorčne skripte, so bili ukinjeni. Če ste namestili posodobitev sistema Windows, ki je bila izdana 12. maja 2026 ali pozneje, lahko vzorčne skripte najdete v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v napravi.

Vzorčno ime skripta Namen Teče naprej
Vzorčni skript Detect-SecureBootCertUpdateStatus.ps1 Zbira podatke o stanju naprave Vsaka končna točka (prek GPO)
Vzorčni skript Aggregate-SecureBootData.ps1 Ustvarja poročila in nadzorne plošče Skrbnik delovne postaje
Vzorčni skript Deploy-GPO-SecureBootCollection.ps1 Avtomatizira ustvarjanje GPO za zbiranje podatkov Krmilnik domene
Vzorčni izhod iz zgornjih skriptov faze 1

Nadzorna plošča stanja potrdila varnega zagona

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Lokalno testiranje

Pred uvedbo prek objekta GPO preskusite skript za zbiranje v enem računalniku, da preverite funkcionalnost.

  • Zaženite skript zbirke lokalno

    Odprite poziv PowerShell s skrbniškimi povišanimi ravnjami in zaženite:

    Opomba

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Preverjanje izhoda JSON

    Opomba

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Ključna polja za preverjanje  
    SecureBootEnabled – mora biti resnična ali napačna
    OverallStatus – dokončano, ReadyForUpdate, NeedsData ali Error
    BucketHash – vedro naprave za ujemanje podatkov o zaupanju
    SecureBootTaskEnabled – prikaže stanje opravila varnega zagona posodobitve.

  • Testni skript združevanja

    Opomba

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Odpiranje nadzorne plošče HTML

    Start-Process »C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html«

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Nastavitev omrežne skupne rabe

  • Ustvarjanje omrežne skupne rabe

    V datotečnem strežniku ustvarite namensko skupno rabo za podatke zbirke:

    Opomba

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Ustvari mapo

    New-Item -itemtype imenik -pot $SharePath -force
     

    Ustvari skrito skupno rabo ($ pripona skrije s seznama za brskanje)

    New-SmbShare -Ime $ShareName -Pot $SharePath '
        -Description "Zbirka stanja potrdil varnega zagona" '
        -FullAccess "Skrbniki domene" '
        -ChangeAccess "Domenski računalniki"

  • Konfiguracija dovoljenj NTFS

    Opomba

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Dovoli uporabnikom s preverjeno pristnostjo pisanje datotek

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Domenski računalniki" in
    "Spremeni",
        "ContainerInherit,ObjectInherit",
        "Nič",
        »Dovoli«
    )
    $Acl.AddAccessRule($WriteRule)
     

    Dovoli skrbnikom domene popoln nadzor (za združevanje)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Skrbniki domene",
        "Popoln nadzor",
        "ContainerInherit,ObjectInherit",
        "Nič",
        »Dovoli«
    )
    $Acl.AddAccessRule($AdminRule)
     

    Uporaba dovoljenj

    Set-Acl -Pot $SharePath -AclObject $Acl

  • Preverjanje dostopa do skupne rabe

    Opomba

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Naj se vrne: Resnično

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Uvajanje GPO

Uporabite skript za avtomatizacijo, ki je na voljo iz krmilnika domene:

Opomba

Zaženi na krmilniku domene kot skrbnik domene za interaktivno razdelek OU – priporočeno

Zamenjajte »Contoso.com«, »Contoso« z imenom domene

Zamenjajte FILESERVER z imenom datotečnega strežnika.  Skript prikaže seznam organizacij za uvedbo pravilnika skupine

.\Deploy-GPO-SecureBootCollection.ps1 '
    -Ime domene "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Urnik "Dnevno" '
    -UrnikČas "14:00" '
    -RandomDelayHours 4

Ta skript bo izvedel naslednje:

  • Ustvari nov GPO z določenim imenom
  • Kopira skript zbiranja v SYSVOL za visoko razpoložljivost
  • Konfigurira skript za zagon računalnika
  • Poveže objekt GPO s ciljno enotno organizacijo
  • Izbirno ustvari načrtovano opravilo za redno zbiranje

V spodnji tabeli so navodila o tem, kako dolga bo zamuda odvisna od velikosti vašega voznega parka.

Velikost voznega parka Območje zakasnitve
1–10 tisoč naprav 4 ure
Naprave 10K-50K 8 ur
50K+ naprav 12-24 ur

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Povzetek nastavitev GPO

Nastavitev Lokacija Value (Vrednost)
Zagonski skript Konfiguracija računalnika → skripte Detect-SecureBootCertUpdateStatus.ps1
Parametri skripta (enako) -OutputPath "\\strežnik\skupna raba$"
Politika izvajanja Konfiguracija računalnika → Skrbnik predloge → PowerShell Dovoli lokalno in oddaljeno podpisovanje
Načrtovano opravilo Konfiguracija računalnika → nastavitve → načrtovana opravila Dnevni/tedenski prevzem

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Preverjanje

  • Vsilite posodobitev GPO na testnem strojue

    Opomba

    ## On a test workstation 
    gpupdate /force
     

    Znova zaženite odjemalske računalnike, da bi zagnali skript ali pa se bo sprožil po naslednjem urniku.

    Restart-Computer -Sila

  • Preverjanje zbiranja podatkov

    Opomba

    Preverite, ali so bili podatki zbrani (na datotečnem strežniku ali iz katerega koli računalnika)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -padajoče |
        Select-Object -Prvih 10
     

    Preverjanje vsebine JSON

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Preverite aplikacijo GPO

    Opomba

    Preverjanje, ali je GPO uporabljen v računalniku

    Select-String "SecureBoot"
    Skript shrani tudi lokalno kopijo za redundanco:
    Get-ChildItem »C:\ProgramData\SecureBootCollection\«

nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"

Nazaj na vrh

2. faza: Skripti za orkestracijo posodobitve potrdil za varni zagon

Pomembno

Prepričajte se, da je faza 1 dokončana, vključno z zbiranjem podatkov na vsaki končni točki za skupno rabo oddaljenega strežnika.

V tem razdelku

Skripti, potrebni za 2. fazo

Vzorčni skripti za zbiranje podatkov inventarja varnega zagona

Opomba

POMEMBNO Naslednji članki, ki vsebujejo vzorčne skripte, so bili ukinjeni. Če ste namestili posodobitev sistema Windows, ki je bila izdana 12. maja 2026 ali pozneje, lahko vzorčne skripte najdete v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v napravi.

Vzorčno ime skripta Namen Se izvaja v:
Vzorčni skript Detect-SecureBootCertUpdateStatus.ps1 Zbira podatke o stanju naprave Vsaka končna točka (prek GPO)
Vzorčni skript Aggregate-SecureBootData.ps1 Ustvarja poročila in nadzorne plošče Skrbnik delovne postaje
Vzorčni skript Deploy-GPO-SecureBootCollection.ps1 Avtomatizira ustvarjanje GPO za zbiranje podatkov Krmilnik domene
Vzorčni skript Start-SecureBootRolloutOrchestrator.ps1 Popolnoma avtomatizirana, neprekinjena orkestracija z avtomatizirano uvajanjem GPO za namestitev potrdila Skrbnik delovne postaje
Vzorčni skript Deploy-OrchestratorTask.ps1 Uvede skript programa Orchestrator kot načrtovano opravilo za samodejno uvajanje Krmilnik domene
Vzorčni skript Get-SecureBootRolloutStatus.ps1 Ogled stanja uvedbe potrdila za varen zagon na kateri koli delovni postaji Skrbnik delovne postaje
Vzorčni skript Enable-SecureBootUpdateTask.ps1 Omogoči opravilo varnega zagona Na končnih točkah, kjer je opravilo onemogočeno (zaženi samo enkrat, da omogočite opravilo, če je onemogočeno)

nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«

Start-SecureBootRolloutOrchestrator.ps1

  • Namen: Popolnoma avtomatizirana, neprekinjena orkestracija z avtomatizirano uvajanjem GPO.

  • Kako deluje

    • Klici Aggregate-SecureBootData.ps1 za stanje naprave

    • Ustvarja valove uvajanja s postopnim podvojitvijo

    • Ustvari objekt GPO za uvajanje potrdila na enega od teh načinov

      • Pravilnik skupine za varen zagon AvailableUpdatesPolicy = 0x5944 (privzeto)
      • Metoda WinCS (parameter –UseWinCS)
    • Ustvari varnostne skupine AD za ciljanje

    • Doda računalniške račune v varnostne skupine

    • Konfigurira varnostno filtriranje GPO

    • Poveže objekt GPO s ciljno enotno organizacijo

    • Monitorji za blokirana vedra (nedosegljive naprave)

    • Samodejno odblokiranje, ko se naprave obnovijo

  • Uporaba

    Opomba

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Opomba

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Skrbniški ukazi

    Opomba

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Opomba

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Zemljepisna širina5520|BIOS1.2"

    Opomba

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametri

    Parameter Privzeto Opis
    AggregationInputPath Obvezno Pot UNC do končne točke datotek JSON
    ReportBasePath Obvezno Lokalna pot za poročila in stanje
    Ciljna OU Koren domene OU za povezovanje predmetov pravilnika skupine
    WavePrefix SecureBoot-Rollout Predpona za poimenovanje skupine/skupine
    MaxWaitHours 72 Nekaj ur pred preverjanjem dosegljivosti naprave
    PollIntervalMinutes 1440 Število minut med preverjanji stanja
    DryRun False Prikaz, kaj bi se zgodilo brez sprememb

    Opomba

    Opomba o PollIntervalMinutes: Pri neposrednem zagonu orkestratorja je privzeta vrednost 1440 minut (24 ur). Pri uvedbi prek Deploy-OrchestratorTask.ps1 je privzeta vrednost 30 minut. Skript za uvajanje posreduje orkestratorju lastne privzete nastavitve. Uporabite 30 minut za aktivno uvajanje, 1440 pa za nadzor vzdrževanja.

    Izbirni parametri

    Parameter Privzeto Opis
    UseWinCS False Namesto predmeta pravilnika skupine AvailableUpdatesPolicy uporabite način WinCS
    WinCSKey F33E0C8E002 Ključ WinCS za konfiguracijo varnega zagona
    AllowListPath (brez) Pot do datoteke z imeni gostiteljev za ALLOW za ciljano/pilotno uvedbo. Podpira .txt ali .csv.
    AllowADGroup (brez) AD varnostne skupine računalniških računov na ALLOW. Primer: »SecureBoot-Pilot-Computers«
    ExclusionListPath (brez) Pot do datoteke z imeni gostiteljev, ki jih želite izključiti iz uvedbe (naprave VIP/izvršni vodje)
    ExcludeADGroup (brez) Varnostna skupina AD računalniških računov, ki jih želite izključiti. Primer: »Računalniki VIP«
    ListBlockedBuckets False Prikaz trenutno blokiranih veder naprav
    UnblockBucket (brez) Deblokiranje določenega vedra. Oblika: "Proizvajalec|Model|BIOS«
    Odblokiraj vse False Deblokiraj vsa blokirana vedra naprav

nazaj na »2. faza: Skripti orkestracije posodobitve potrdila za varni zagon«

Deploy-OrchestratorTask.ps1

  • Namen: Uvede orkestrator kot načrtovano opravilo sistema Windows.

  • Prednosti

    • Ni varnostnih pozivov ogrodja PowerShell (obvod ExecutionPolicy Bypass)
    • Neprekinjeno deluje v ozadju
    • Interakcija uporabnika ni potrebna
    • Preživi vnovične zagone
  • Uporaba

    • Uvedba z računom storitve domene (priporočeno)

      • Uporabite pravilnik skupine AvailableUpdates (privzeti način)

        Opomba

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMENA\svc_secureboot"

      • Uporaba načina WinCS

        Opomba

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Uvedba s SISTEMSKIM računom

      • Uporabite pravilnik skupine AvailableUpdates (privzeti način)

        Opomba

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Uporaba storitve WinCS method.\Deploy-OrchestratorTask.ps1

        Opomba

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Zahteve za račun storitve

        • Skrbnik domene (za New-GPO, New-ADGroup, Add-ADGroupMember)
        • Dostop za branje skupne rabe datotek JSON
        • Dostop za pisanje v ReportBasePath

nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«

Get-SecureBootRolloutStatus.ps1

  • Namen: Oglejte si napredek uvajanja na kateri koli delovni postaji.

  • Kaj prikazuje

    • Načrtovano stanje opravila (zagnano/pripravljeno/ustavljeno)
    • Trenutna številka vala
    • Ciljne naprave v primerjavi s posodobljenimi
    • Vizualna vrstica napredovanja
    • Povzetek blokiranih skupin
    • Povezava do najnovejše nadzorne plošče HTML
  • Uporaba

    Opomba

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Opomba

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Opomba

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Opomba

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Opomba

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Opomba

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametri

    Parameter Zahtevano? Privzeto Opis
    ReportBasePath Obvezno Lokalna pot do poročil in datotek stanja
    Pokaži dnevnik Izbirno False Prikaz nedavnih vnosov v dnevnik orkestratorja
    Pokaži blokirano Izbirno False Prikaz podrobnosti o blokiranih vedrih
    Pokaži valove Izbirno False Prikaz zgodovine valov
    Ogled Izbirno 0 (onemogočeno) Interval samodejnega osveževanja v sekundah. Primer: -Watch 30 se osveži vsakih 30 sekund.
    Odprite nadzorno ploščo Izbirno False Odpiranje najnovejše nadzorne plošče HTML v privzetem brskalniku
  • Vzorčni izhod

    Opomba

    • ==============================================================
         STANJE UVEDBE VARNEGA ZAGONA
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Stanje: V nastajanju
    Trenutni val: 5
    Skupno ciljno: 1250
    Skupaj posodobljeno: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Zaženite s -ShowBlocked za podrobnosti
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«

Nazaj na vrh

Koraki uvajanja E2E (kratek referenčni vodnik)

V tem razdelku

1. faza: Infrastruktura za odkrivanje

  • 1. korak: ustvarite skupno rabo zbirke

    Opomba

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -itemtype imenik -pot $sharePath -force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Skrbniki domene" -ChangeAccess "Domenski računalniki"

    Opomba

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domenski računalniki";"Spremeni";"Dovoli")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • 2. korak: Uvedba pravilnika skupine za zaznavanje

    Opomba

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Ime domene "contoso.com" '
        -OUPath "OU = delovne postaje, DC = contoso, DC=com" '
        -CollectionSharePath "\\strežnik\SecureBootData$"

  • 3. korak: Počakajte, da končne točke poročajo (24–48 ur)

    Opomba

    Preverjanje napredka zbiranja

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Štetje

nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"

2. faza: orkestrirana uvedba

  • 4. korak: Preverjanje zahtev

    • Uvajanje pravilnika skupine za zaznavanje (2. korak)
    • Vsaj 50+ končnih točk, ki poročajo o JSON
    • Račun storitve s pravicami Skrbnika domene
    • Strežnik za upravljanje s programom PowerShell 5.1+
  • 5. korak: Uvedba programa Orchestrator kot načrtovano opravilo

    Opomba

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMENA\svc_secureboot"

  • 6. korak: spremljajte napredek

    Opomba

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • 7. korak: Oglejte si nadzorno ploščo

    Opomba

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • 8. korak: Upravljanje blokiranih vedra

    Opomba

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Opomba

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Izdelovalec|Model|BIOS"

  • 9. korak: Preverite dokončanje

    Opomba

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Stanje naj bo prikazano »Dokončano«

nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"

State Files

Orkestrator vzdržuje stanje v ReportBasePath\RolloutState\:

Datoteka Opis
RolloutState.json Zgodovina valov, ciljne naprave, stanje
BlockedBuckets.json Vedra, ki jih je treba raziskati
DeviceHistory.json Sledenje napravam po imenu gostitelja
Orchestrator_YYYYMMDD.log Dnevniki dnevnih dejavnosti

nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"

Nazaj na vrh

Odpravljanje težav

V tem razdelku

Orchestrator ne napreduje

  1. Preverjanje načrtovanega opravila

    Opomba

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Preverjanje dnevnikov

    Opomba

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Preverjanje svežine podatkov JSON

    Opomba

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

nazaj na »Odpravljanje težav«

Blokirana vedra

  1. Seznam je blokiran.

    Opomba

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Raziščite dosegljivost naprave.

  3. Preverite, ali obstajajo težave z vdelano programsko opremo.

  4. Odblokirajte po preiskavi.

nazaj na »Odpravljanje težav«

GPO se ne uporablja

  1. Preverite, ali GPO obstaja.

    Opomba

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Preverite varnostno filtriranje.

    Opomba

    Get-GPPermission -Name "GPO-Name" -All

  3. Preverite, ali je računalnik v varnostni skupini.

  4. Uporabite GPO na cilj.

    Opomba

    gpupdate /force

nazaj na »Odpravljanje težav«

Nazaj na vrh

Dnevnik sprememb

Spremeni datum Spremeni opis
12 maja, 2026 Prej je bila vsaka vzorčna datoteka skripta objavljena kot posamezni članki, iz katerih bi kopirali in prilepili skript. Začenši s posodobitvami sistema Windows, izdanimi 12. maja 2026 in pozneje, so vzorčni skripti v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v vaši napravi.