Opomba
Prvotni datum objave: 16 marca, 2026
Zadnji datum posodobitve: 12 maja, 2026
ID zbirke znanja: 5084567
V temu članku
- Pregled
- Ključne lastnosti
- Sklic na nastavitve Posodobitve potrdil
- Arhitektura
- 1. faza: Odkrivanje in spremljanje stanja na nasipu podjetja
- 2. faza: Skript za orkestracijo posodobitve potrdila za varen zagon
- Koraki uvajanja E2E (kratek referenčni vodnik)
- Odpravljanje težav
- Dnevnik sprememb
Pregled
V tem priročniku je opisan sistem samodejnega uvajanja posodobitev potrdil Windows Secure Boot DB z uporabo pravilnika skupine in valov postopnega uvajanja.
Avtomatizacija uvajanja potrdila za varen zagon je sistem, ki temelji na PowerShell in uvaja posodobitve potrdil Windows Secure Boot DB v računalnike, pridružene domeni, na nadzorovan in postopen način.
Ključne lastnosti
| Funkcija | Opis |
|---|---|
| Postopno uvajanje | 1 > 2 > 4 > 8... naprave na vedro |
| Samodejno blokiranje | Vedra z nedosegljivimi napravami so izključena |
| Avtomatizirano uvajanje GPO | En sam skript orkestratorja obravnava vse |
| Načrtovano izvajanje opravila | Interaktivni pozivi niso potrebni |
| Spremljanje v realnem času | Pregledovalnik stanja z vrstico napredovanja |
Sklic na nastavitve Posodobitve potrdil
V tem razdelku
Pravilnik skupine »AvailableUpdates«
| Mesto registra | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Ime | Razpoložljive posodobitvePravilnik |
| Value (Vrednost) | 0x5944 (DWORD) |
To je ključ, ki ga upravlja GPO/ADMX, ki:
- Ohranja se med ponovnimi zagoni
- Nastavi ga pravilnik skupine / MDM
- Ne povzroči zank ponovnega poskusa (počistiti prek ClearRolloutFlags)
- Je pravilen ključ za uvajanje, ki temelji na pravilnikih
nazaj na »Sklic na nastavitve Posodobitve potrdil«
WinCSFlags - Zastavice konfiguracijskega sistema Windows
Skrbniki domene lahko uporabijo tudi konfiguracijski sistem Windows (WinCS), ki je bil izdan s posodobitvami operacijskega sistema Windows, za uvajanje posodobitev varnega zagona v odjemalce in strežnike sistema Windows, ki so pridruženi domeni. Sestavljen je iz pripomočka vmesnika ukazne vrstice (CLI) za poizvedovanje in uporabo konfiguracij varnega zagona lokalno v računalniku.
| Ime funkcije | Ključ WinCS | Opis |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Če omogočite ta ključ, omogočite namestitev teh Microsoftovih novih potrdil za varen zagon v vaši napravi.
|
Sklic: API-ji konfiguracijskega sistema Windows (WinCS) za varen zagon
nazaj na »Sklic na nastavitve Posodobitve potrdil«
Arhitektura
1. faza: Zaznavanje in spremljanje stanja na ravni podjetja
V tem razdelku
- Skripti, potrebni za 1. fazo
- Lokalno testiranje
- Nastavitev omrežne skupne rabe
- Uvajanje GPO
- Povzetek nastavitev GPO
- Preverjanje
Skripti, potrebni za 1. fazo
Vzorčni skripti za zbiranje podatkov inventarja varnega zagona
Opomba
POMEMBNO Naslednji članki, ki vsebujejo vzorčne skripte, so bili ukinjeni. Če ste namestili posodobitev sistema Windows, ki je bila izdana 12. maja 2026 ali pozneje, lahko vzorčne skripte najdete v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v napravi.
| Vzorčno ime skripta | Namen | Teče naprej |
|---|---|---|
| Vzorčni skript Detect-SecureBootCertUpdateStatus.ps1 | Zbira podatke o stanju naprave | Vsaka končna točka (prek GPO) |
| Vzorčni skript Aggregate-SecureBootData.ps1 | Ustvarja poročila in nadzorne plošče | Skrbnik delovne postaje |
| Vzorčni skript Deploy-GPO-SecureBootCollection.ps1 | Avtomatizira ustvarjanje GPO za zbiranje podatkov | Krmilnik domene |
Vzorčni izhod iz zgornjih skriptov faze 1
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
Lokalno testiranje
Pred uvedbo prek objekta GPO preskusite skript za zbiranje v enem računalniku, da preverite funkcionalnost.
Zaženite skript zbirke lokalno
Odprite poziv PowerShell s skrbniškimi povišanimi ravnjami in zaženite:
Opomba
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Preverjanje izhoda JSON
Opomba
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListKljučna polja za preverjanje
• SecureBootEnabled – mora biti resnična ali napačna
• OverallStatus – dokončano, ReadyForUpdate, NeedsData ali Error
• BucketHash – vedro naprave za ujemanje podatkov o zaupanju
• SecureBootTaskEnabled – prikaže stanje opravila varnega zagona posodobitve.Testni skript združevanja
Opomba
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Odpiranje nadzorne plošče HTML
Start-Process »C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html«
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
Nastavitev omrežne skupne rabe
Ustvarjanje omrežne skupne rabe
V datotečnem strežniku ustvarite namensko skupno rabo za podatke zbirke:
Opomba
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Ustvari mapo
New-Item -itemtype imenik -pot $SharePath -force
Ustvari skrito skupno rabo ($ pripona skrije s seznama za brskanje)
New-SmbShare -Ime $ShareName -Pot $SharePath '
-Description "Zbirka stanja potrdil varnega zagona" '
-FullAccess "Skrbniki domene" '
-ChangeAccess "Domenski računalniki"Konfiguracija dovoljenj NTFS
Opomba
# Get current ACL
$Acl = Get-Acl $SharePath
Dovoli uporabnikom s preverjeno pristnostjo pisanje datotek
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domenski računalniki" in
"Spremeni",
"ContainerInherit,ObjectInherit",
"Nič",
»Dovoli«
)
$Acl.AddAccessRule($WriteRule)
Dovoli skrbnikom domene popoln nadzor (za združevanje)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Skrbniki domene",
"Popoln nadzor",
"ContainerInherit,ObjectInherit",
"Nič",
»Dovoli«
)
$Acl.AddAccessRule($AdminRule)
Uporaba dovoljenj
Set-Acl -Pot $SharePath -AclObject $Acl
Preverjanje dostopa do skupne rabe
Opomba
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Naj se vrne: Resnično
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
Uvajanje GPO
Uporabite skript za avtomatizacijo, ki je na voljo iz krmilnika domene:
Opomba
Zaženi na krmilniku domene kot skrbnik domene za interaktivno razdelek OU – priporočeno
Zamenjajte »Contoso.com«, »Contoso« z imenom domene
Zamenjajte FILESERVER z imenom datotečnega strežnika. Skript prikaže seznam organizacij za uvedbo pravilnika skupine
.\Deploy-GPO-SecureBootCollection.ps1 '
-Ime domene "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Urnik "Dnevno" '
-UrnikČas "14:00" '
-RandomDelayHours 4
Ta skript bo izvedel naslednje:
- Ustvari nov GPO z določenim imenom
- Kopira skript zbiranja v SYSVOL za visoko razpoložljivost
- Konfigurira skript za zagon računalnika
- Poveže objekt GPO s ciljno enotno organizacijo
- Izbirno ustvari načrtovano opravilo za redno zbiranje
V spodnji tabeli so navodila o tem, kako dolga bo zamuda odvisna od velikosti vašega voznega parka.
| Velikost voznega parka | Območje zakasnitve |
|---|---|
| 1–10 tisoč naprav | 4 ure |
| Naprave 10K-50K | 8 ur |
| 50K+ naprav | 12-24 ur |
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
Povzetek nastavitev GPO
| Nastavitev | Lokacija | Value (Vrednost) |
|---|---|---|
| Zagonski skript | Konfiguracija računalnika → skripte | Detect-SecureBootCertUpdateStatus.ps1 |
| Parametri skripta | (enako) | -OutputPath "\\strežnik\skupna raba$" |
| Politika izvajanja | Konfiguracija računalnika → Skrbnik predloge → PowerShell | Dovoli lokalno in oddaljeno podpisovanje |
| Načrtovano opravilo | Konfiguracija računalnika → nastavitve → načrtovana opravila | Dnevni/tedenski prevzem |
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
Preverjanje
Vsilite posodobitev GPO na testnem strojue
Opomba
## On a test workstation
gpupdate /force
Znova zaženite odjemalske računalnike, da bi zagnali skript ali pa se bo sprožil po naslednjem urniku.
Restart-Computer -Sila
Preverjanje zbiranja podatkov
Opomba
Preverite, ali so bili podatki zbrani (na datotečnem strežniku ali iz katerega koli računalnika)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -padajoče |
Select-Object -Prvih 10
Preverjanje vsebine JSON
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Preverite aplikacijo GPO
Opomba
Preverjanje, ali je GPO uporabljen v računalniku
Select-String "SecureBoot"
Skript shrani tudi lokalno kopijo za redundanco:
Get-ChildItem »C:\ProgramData\SecureBootCollection\«
nazaj na "Faza 1: Zaznavanje in spremljanje stanja na ravni podjetja"
2. faza: Skripti za orkestracijo posodobitve potrdil za varni zagon
Pomembno
Prepričajte se, da je faza 1 dokončana, vključno z zbiranjem podatkov na vsaki končni točki za skupno rabo oddaljenega strežnika.
V tem razdelku
- Skripti, potrebni za 2. fazo
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Skripti, potrebni za 2. fazo
Vzorčni skripti za zbiranje podatkov inventarja varnega zagona
Opomba
POMEMBNO Naslednji članki, ki vsebujejo vzorčne skripte, so bili ukinjeni. Če ste namestili posodobitev sistema Windows, ki je bila izdana 12. maja 2026 ali pozneje, lahko vzorčne skripte najdete v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v napravi.
| Vzorčno ime skripta | Namen | Se izvaja v: |
|---|---|---|
| Vzorčni skript Detect-SecureBootCertUpdateStatus.ps1 | Zbira podatke o stanju naprave | Vsaka končna točka (prek GPO) |
| Vzorčni skript Aggregate-SecureBootData.ps1 | Ustvarja poročila in nadzorne plošče | Skrbnik delovne postaje |
| Vzorčni skript Deploy-GPO-SecureBootCollection.ps1 | Avtomatizira ustvarjanje GPO za zbiranje podatkov | Krmilnik domene |
| Vzorčni skript Start-SecureBootRolloutOrchestrator.ps1 | Popolnoma avtomatizirana, neprekinjena orkestracija z avtomatizirano uvajanjem GPO za namestitev potrdila | Skrbnik delovne postaje |
| Vzorčni skript Deploy-OrchestratorTask.ps1 | Uvede skript programa Orchestrator kot načrtovano opravilo za samodejno uvajanje | Krmilnik domene |
| Vzorčni skript Get-SecureBootRolloutStatus.ps1 | Ogled stanja uvedbe potrdila za varen zagon na kateri koli delovni postaji | Skrbnik delovne postaje |
| Vzorčni skript Enable-SecureBootUpdateTask.ps1 | Omogoči opravilo varnega zagona | Na končnih točkah, kjer je opravilo onemogočeno (zaženi samo enkrat, da omogočite opravilo, če je onemogočeno) |
nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«
Start-SecureBootRolloutOrchestrator.ps1
Namen: Popolnoma avtomatizirana, neprekinjena orkestracija z avtomatizirano uvajanjem GPO.
Kako deluje
Klici Aggregate-SecureBootData.ps1 za stanje naprave
Ustvarja valove uvajanja s postopnim podvojitvijo
Ustvari objekt GPO za uvajanje potrdila na enega od teh načinov
- Pravilnik skupine za varen zagon AvailableUpdatesPolicy = 0x5944 (privzeto)
- Metoda WinCS (parameter –UseWinCS)
Ustvari varnostne skupine AD za ciljanje
Doda računalniške račune v varnostne skupine
Konfigurira varnostno filtriranje GPO
Poveže objekt GPO s ciljno enotno organizacijo
Monitorji za blokirana vedra (nedosegljive naprave)
Samodejno odblokiranje, ko se naprave obnovijo
Uporaba
Opomba
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Opomba
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSSkrbniški ukazi
Opomba
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsOpomba
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Zemljepisna širina5520|BIOS1.2"Opomba
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametri
Parameter Privzeto Opis AggregationInputPath Obvezno Pot UNC do končne točke datotek JSON ReportBasePath Obvezno Lokalna pot za poročila in stanje Ciljna OU Koren domene OU za povezovanje predmetov pravilnika skupine WavePrefix SecureBoot-Rollout Predpona za poimenovanje skupine/skupine MaxWaitHours 72 Nekaj ur pred preverjanjem dosegljivosti naprave PollIntervalMinutes 1440 Število minut med preverjanji stanja DryRun False Prikaz, kaj bi se zgodilo brez sprememb Opomba
Opomba o PollIntervalMinutes: Pri neposrednem zagonu orkestratorja je privzeta vrednost 1440 minut (24 ur). Pri uvedbi prek Deploy-OrchestratorTask.ps1 je privzeta vrednost 30 minut. Skript za uvajanje posreduje orkestratorju lastne privzete nastavitve. Uporabite 30 minut za aktivno uvajanje, 1440 pa za nadzor vzdrževanja.
Izbirni parametri
Parameter Privzeto Opis UseWinCS False Namesto predmeta pravilnika skupine AvailableUpdatesPolicy uporabite način WinCS WinCSKey F33E0C8E002 Ključ WinCS za konfiguracijo varnega zagona AllowListPath (brez) Pot do datoteke z imeni gostiteljev za ALLOW za ciljano/pilotno uvedbo. Podpira .txt ali .csv. AllowADGroup (brez) AD varnostne skupine računalniških računov na ALLOW. Primer: »SecureBoot-Pilot-Computers« ExclusionListPath (brez) Pot do datoteke z imeni gostiteljev, ki jih želite izključiti iz uvedbe (naprave VIP/izvršni vodje) ExcludeADGroup (brez) Varnostna skupina AD računalniških računov, ki jih želite izključiti. Primer: »Računalniki VIP« ListBlockedBuckets False Prikaz trenutno blokiranih veder naprav UnblockBucket (brez) Deblokiranje določenega vedra. Oblika: "Proizvajalec|Model|BIOS« Odblokiraj vse False Deblokiraj vsa blokirana vedra naprav
nazaj na »2. faza: Skripti orkestracije posodobitve potrdila za varni zagon«
Deploy-OrchestratorTask.ps1
Namen: Uvede orkestrator kot načrtovano opravilo sistema Windows.
Prednosti
- Ni varnostnih pozivov ogrodja PowerShell (obvod ExecutionPolicy Bypass)
- Neprekinjeno deluje v ozadju
- Interakcija uporabnika ni potrebna
- Preživi vnovične zagone
Uporaba
Uvedba z računom storitve domene (priporočeno)
Uporabite pravilnik skupine AvailableUpdates (privzeti način)
Opomba
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"Uporaba načina WinCS
Opomba
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Uvedba s SISTEMSKIM računom
Uporabite pravilnik skupine AvailableUpdates (privzeti način)
Opomba
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Uporaba storitve WinCS method.\Deploy-OrchestratorTask.ps1
Opomba
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSZahteve za račun storitve
- Skrbnik domene (za New-GPO, New-ADGroup, Add-ADGroupMember)
- Dostop za branje skupne rabe datotek JSON
- Dostop za pisanje v ReportBasePath
nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«
Get-SecureBootRolloutStatus.ps1
Namen: Oglejte si napredek uvajanja na kateri koli delovni postaji.
Kaj prikazuje
- Načrtovano stanje opravila (zagnano/pripravljeno/ustavljeno)
- Trenutna številka vala
- Ciljne naprave v primerjavi s posodobljenimi
- Vizualna vrstica napredovanja
- Povzetek blokiranih skupin
- Povezava do najnovejše nadzorne plošče HTML
Uporaba
Opomba
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Opomba
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Opomba
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedOpomba
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesOpomba
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogOpomba
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametri
Parameter Zahtevano? Privzeto Opis ReportBasePath Obvezno — Lokalna pot do poročil in datotek stanja Pokaži dnevnik Izbirno False Prikaz nedavnih vnosov v dnevnik orkestratorja Pokaži blokirano Izbirno False Prikaz podrobnosti o blokiranih vedrih Pokaži valove Izbirno False Prikaz zgodovine valov Ogled Izbirno 0 (onemogočeno) Interval samodejnega osveževanja v sekundah. Primer: -Watch 30 se osveži vsakih 30 sekund. Odprite nadzorno ploščo Izbirno False Odpiranje najnovejše nadzorne plošče HTML v privzetem brskalniku Vzorčni izhod
Opomba
==============================================================
STANJE UVEDBE VARNEGA ZAGONA
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Stanje: V nastajanju
Trenutni val: 5
Skupno ciljno: 1250
Skupaj posodobljeno: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Zaženite s -ShowBlocked za podrobnostiLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
nazaj na »2. faza: Skripti za orkestracijo potrdil za varni zagon«
Koraki uvajanja E2E (kratek referenčni vodnik)
V tem razdelku
1. faza: Infrastruktura za odkrivanje
1. korak: ustvarite skupno rabo zbirke
Opomba
# On file server
$sharePath = "D:\SecureBootData"
New-Item -itemtype imenik -pot $sharePath -force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Skrbniki domene" -ChangeAccess "Domenski računalniki"Opomba
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domenski računalniki";"Spremeni";"Dovoli")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $acl2. korak: Uvedba pravilnika skupine za zaznavanje
Opomba
.\Deploy-GPO-SecureBootCollection.ps1 `
-Ime domene "contoso.com" '
-OUPath "OU = delovne postaje, DC = contoso, DC=com" '
-CollectionSharePath "\\strežnik\SecureBootData$"3. korak: Počakajte, da končne točke poročajo (24–48 ur)
Opomba
Preverjanje napredka zbiranja
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Štetje
nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"
2. faza: orkestrirana uvedba
4. korak: Preverjanje zahtev
- Uvajanje pravilnika skupine za zaznavanje (2. korak)
- Vsaj 50+ končnih točk, ki poročajo o JSON
- Račun storitve s pravicami Skrbnika domene
- Strežnik za upravljanje s programom PowerShell 5.1+
5. korak: Uvedba programa Orchestrator kot načrtovano opravilo
Opomba
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"6. korak: spremljajte napredek
Opomba
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"7. korak: Oglejte si nadzorno ploščo
Opomba
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard8. korak: Upravljanje blokiranih vedra
Opomba
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsOpomba
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Izdelovalec|Model|BIOS"9. korak: Preverite dokončanje
Opomba
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Stanje naj bo prikazano »Dokončano«
nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"
State Files
Orkestrator vzdržuje stanje v ReportBasePath\RolloutState\:
| Datoteka | Opis |
|---|---|
| RolloutState.json | Zgodovina valov, ciljne naprave, stanje |
| BlockedBuckets.json | Vedra, ki jih je treba raziskati |
| DeviceHistory.json | Sledenje napravam po imenu gostitelja |
| Orchestrator_YYYYMMDD.log | Dnevniki dnevnih dejavnosti |
nazaj na "Koraki uvajanja E2E (kratki referenčni vodnik)"
Odpravljanje težav
V tem razdelku
Orchestrator ne napreduje
Preverjanje načrtovanega opravila
Opomba
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Preverjanje dnevnikov
Opomba
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Preverjanje svežine podatkov JSON
Opomba
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Blokirana vedra
Seznam je blokiran.
Opomba
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsRaziščite dosegljivost naprave.
Preverite, ali obstajajo težave z vdelano programsko opremo.
Odblokirajte po preiskavi.
GPO se ne uporablja
Preverite, ali GPO obstaja.
Opomba
Get-GPO -Name "SecureBoot-Rollout-Wave*"Preverite varnostno filtriranje.
Opomba
Get-GPPermission -Name "GPO-Name" -AllPreverite, ali je računalnik v varnostni skupini.
Uporabite GPO na cilj.
Opomba
gpupdate /force
Dnevnik sprememb
| Spremeni datum | Spremeni opis |
|---|---|
| 12 maja, 2026 | Prej je bila vsaka vzorčna datoteka skripta objavljena kot posamezni članki, iz katerih bi kopirali in prilepili skript. Začenši s posodobitvami sistema Windows, izdanimi 12. maja 2026 in pozneje, so vzorčni skripti v mapi %systemroot%\SecureBoot\ExampleRolloutScripts v vaši napravi. |