Exempel på guide för säker start E2E-automatisering

Gäller för
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Obs

Ursprungligt publiceringsdatum: Senast uppdaterad: 16 mars 2026
Senast uppdaterad: Den 12 maj 2026
KB-ID: 5084567

Den här artikeln innehåller följande avsnitt

Översikt

I den här guiden beskrivs det automatiserade distributionssystemet för Windows Secure Boot DB-certifikatuppdateringar med grupprincip och progressiva distributionsvågor.

Automatisering av certifikatdistribution för säker start är ett PowerShell-baserat system som distribuerar Windows Secure Boot DB-certifikatuppdateringar till domänanslutna datorer på ett kontrollerat, graderat sätt.

tillbaka till toppen

Viktiga funktioner

Funktion Beskrivning
Graderad distribution > 1 2 > 4 > 8... enheter per hink
Automatisk blockering Buckets med enheter som inte kan nås utesluts
Automatiserad GPO-distribution En enda orkestreringsskript hanterar allt
Körning av en schemalagd aktivitet Inga interaktiva uppmaningar krävs
Övervakning i realtid Statusvisningsprogram med förloppsindikator

tillbaka till toppen

Referens för inställningar för uppdateringar av certifikat

I det här avsnittet

Grupprincipen AvailableUpdatesPolicy

Registerplats HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Namn AvailableUpdatesPolicy
Värde 0x5944 (DWORD)

Det här är den GPO/ADMX-styrda nyckeln som:

  • Finns kvar efter omstarter
  • Anges av Grupprincip / MDM
  • Orsakar inte återförsöksloopar (rensas via ClearRolloutFlags)
  • Är rätt nyckel för principdriven distribution

Referens: grupprincip objects (GPO)-metod för säker start för Windows-enheter med IT-hanterade uppdateringar

tillbaka till "Referens för uppdateringar för certifikat"

WinCSFlags – Systemflaggor för Windows-konfiguration

Domänadministratörer kan också använda Windows Configuration System (WinCS) som släpptes med Windows OS-uppdateringar för att distribuera uppdateringar för säker start över domänanslutna Windows-klienter och -servrar. Den består av ett kommandoradsgränssnittsverktyg (CLI) för att fråga och tillämpa konfigurationer för säker start lokalt på en dator.

Funktionsnamn WinCS-nyckel Beskrivning
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Om du aktiverar den här nyckeln kan du installera följande nya certifikat för säker start som tillhandahålls av Microsoft på enheten.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Referens: WinCS-API:er (Windows Configuration System) för säker start

tillbaka till "Referens för uppdateringar för certifikat"

tillbaka till toppen

Arkitektur

Arbetsflöde för arkitektur

tillbaka till toppen

Fas 1: Detektering och statusövervakning på företagsnivå

I det här avsnittet

Skript som behövs för fas 1

Exempel på skript för datainsamling för inventering av säker start

Obs

VIKTIGT Följande artiklar som innehåller exempelskripten har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.

Exempel på skriptnamn Syfte Körs på
Exempel på Detect-SecureBootCertUpdateStatus.ps1 skript Samlar in enhetsstatusdata Varje slutpunkt (via GPO)
Exempel på Aggregate-SecureBootData.ps1 skript Genererar rapporter och instrumentpaneler Admin workstation
Exempel på Deploy-GPO-SecureBootCollection.ps1 skript Automatiserar skapandet av grupprincipobjekt för datainsamling Domänkontrollant
Exempel på utdata från ovanstående fas 1-skript

Instrumentpanel för certifikatstatus för säker start

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

Lokal testning

Innan du distribuerar via GPO testar du samlingsskriptet på en enskild dator för att verifiera funktionen.

  • Kör samlingsskript lokalt

    Öppna en upphöjd PowerShell-kommandotolk och kör:

    Obs

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Verifiera JSON-utdata

    Obs

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Viktiga fält att verifiera  
    SecureBootEnabled – ska vara True or False
    OverallStatus – Complete, ReadyForUpdate, NeedsData eller Error
    BucketHash – enhetsbucket för matchning av konfidensdata
    SecureBootTaskEnabled – visar status för uppdateringsaktivitet för säker start.

  • Testa aggregeringsskript

    Obs

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Öppna HTML-instrumentpanelen

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

Konfiguration av nätverksresurs

  • Skapa en nätverksresurs

    Skapa en dedikerad resurs för insamlingsdata på filservern:

    Obs

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Skapa mapp

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Skapa dold resurs (suffixet $ döljer från bläddrarlistan)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Beskrivning "Secure Boot Certificate Status Collection" '
        -FullAccess "Domänadministratörer" '
        -ChangeAccess "Domän Datorer"

  • Konfigurera NTFS-behörigheter

    Obs

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Tillåt autentiserade användare att skriva filer

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Domändatorer" och
    "Ändra",
        "ContainerInherit,ObjectInherit",
        "Ingen",
        "Tillåt"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Ge domänadministratörer fullständig åtkomst (för aggregering)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Domänadministratörer",
        "Fullständig kontroll",
        "ContainerInherit,ObjectInherit",
        "Ingen",
        "Tillåt"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Tillämpa behörigheter

    Set-Acl -Path $SharePath -AclObject $Acl

  • Verifiera delningsåtkomst

    Obs

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Ska returnera: Sant

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

Distribution av grupprincipobjekt

Använd automationsskriptet från en domänkontrollant:

Obs

Kör på domänkontrollanten som domän Admin för interaktiv OU-avsnitt - rekommenderas

Ersätt "Contoso.com", "Contoso" med namnet på domänen

Ersätt FILESERVER med filserverns namn.  Skriptet visar en lista över organisationsenheter att distribuera grupprincipobjekt på

.\Deploy-GPO-SecureBootCollection.ps1 "
    -Domännamn "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Schema "Dagligen" "
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Skriptet utför följande:

  • Skapar ett nytt GPO med angivet namn
  • Kopierar samlingsskript till SYSVOL för hög tillgänglighet
  • Konfigurerar datorns startskript
  • Länkar GPO till OU
  • Skapar också en schemalagd aktivitet för periodisk insamling

Följande tabell ger vägledning i hur lång förseningen kommer att vara baserat på vagnparkens storlek.

Flottans storlek Fördröjningsintervall
1–10 000 enheter 4 timmar
10K-50K enheter 8 timmar
50K+ enheter 12-24 timmar

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

Sammanfattning av GPO-inställningar

Inställning Plats Värde
Startskript Datorkonfiguration → skript Detect-SecureBootCertUpdateStatus.ps1
Skriptparametrar (samma) -OutputPath "\\server\share$"
Körningsprincip Datorkonfiguration → Admin mallar → PowerShell Tillåt lokalt och fjärrsignerat
Schemalagd aktivitet Datorkonfiguration → Inställningar → schemalagda aktiviteter Samling varje dag/vecka

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

Verifiering

  • Tvinga fram GPO-uppdatering vid test av maskin

    Obs

    ## On a test workstation 
    gpupdate /force
     

    Starta om klientdatorerna till startskript, annars utlöses den vid nästa schema.

    Restart-Computer -Force

  • Verifiera datainsamling

    Obs

    Kontrollera om data har samlats in (på filservern eller från en dator)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime – fallande |
        Select-Object – första 10
     

    Verifiera JSON-innehåll

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Kontrollera GPO-program

    Obs

    Kontrollera att GPO tillämpas på datorn

    Select-String "SecureBoot"
    Skriptet sparar även en lokal kopia för redundans:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"

tillbaka till toppen

Fas 2: Orkestreringsskript för certifikatuppdatering för säker start

Viktigt!

Se till att fas1 har slutförts, inklusive datainsamling för varje slutpunkt till fjärrserverresurser.

I det här avsnittet

Skript som behövs för fas 2

Exempel på skript för datainsamling för inventering av säker start

Obs

VIKTIGT Följande artiklar som innehåller exempelskripten har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.

Exempel på skriptnamn Syfte Körs på:
Exempel på Detect-SecureBootCertUpdateStatus.ps1 skript Samlar in enhetsstatusdata Varje slutpunkt (via GPO)
Exempel på Aggregate-SecureBootData.ps1 skript Genererar rapporter och instrumentpaneler Admin workstation
Exempel på Deploy-GPO-SecureBootCollection.ps1 skript Automatiserar skapandet av grupprincipobjekt för datainsamling Domänkontrollant
Exempel på Start-SecureBootRolloutOrchestrator.ps1 skript Helautomatisk, kontinuerlig orkestrering med automatiserad GPO-distribution för certifikatinstallation Admin workstation
Exempel på Deploy-OrchestratorTask.ps1 skript Orkestreringsskript distribueras som en schemalagd aktivitet för automatiserad distribution Domänkontrollant
Exempel på Get-SecureBootRolloutStatus.ps1 skript Visa status för certifikatdistribution för säker start från valfri arbetsstation Admin Workstation
Exempel på Enable-SecureBootUpdateTask.ps1 skript Aktiverar uppdateringsuppgift för säker start Vid slutpunkter där aktiviteten är inaktiverad (kör bara en gång för att aktivera aktiviteten om den är inaktiverad)

tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"

Start-SecureBootRolloutOrchestrator.ps1

  • Syfte: Helautomatisk, kontinuerlig orkestrering med automatiserad GPO-distribution.

  • Vad den gör

    • Samtal Aggregate-SecureBootData.ps1 för enhetsstatus

    • Genererar utrullningsvågor med progressiv dubblering

    • Skapar ett grupprincipobjekt för certifikatdistribution med någon av följande metoder

      • Grupprincip för säker start AvailableUpdatesPolicy = 0x5944 (standard)
      • WinCS-metod (parameter –UseWinCS)
    • Skapar AD-säkerhetsgrupper för mål

    • Lägger till datorkonton i säkerhetsgrupper

    • Konfigurerar GPO-säkerhetsfiltrering

    • Länkar GPO till OU

    • Övervakare för blockerade buckets (enheter som inte kan nås)

    • Avblockera automatiskt när enheter återställs

  • Användning

    Obs

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 "
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Obs

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 "
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Admin kommandon

    Obs

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Obs

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"

    Obs

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametrar

    Parameter Standard Beskrivning
    AggregationInputPath Krävs UNC-sökväg till slutpunkts-JSON-filer
    ReportBasePath (på engelska) Krävs Lokal sökväg för rapporter och tillstånd
    TargetOU Domänrot Organisationsenhet för att länka grupprincipobjekt
    WavePrefix SecureBoot-Rollout Namngivningsprefix för grupprincipobjekt eller gruppnamn
    MaxWaitHours 72 Timmar innan du kontrollerar enhetens nåbarhet
    PollIntervalMinutes (PollIntervalMinutes) 1440 Minuter mellan statuskontroller
    DryRun (på engelska) Falskt Visa vad som skulle hända utan ändringar

    Obs

    Anmärkning om PollIntervalMinutes: När du kör orkestreringsdatorn direkt är standardvärdet 1 440 minuter (24 timmar). Vid distribution via Deploy-OrchestratorTask.ps1 är standardvärdet 30 minuter. Distributionsskriptet skickar sin egen standard till orkestreringsatorn. Använd 30 minuter för aktiv distribution, 1440 för underhållsövervakning.

    Valfria parametrar

    Parameter Standard Beskrivning
    UseWinCS (på engelska) Falskt Använd WinCS-metoden i stället för AvailableUpdatesPolicy GPO
    WinCSKey F33E0C8E002 WinCS-nyckel för konfiguration av säker start
    AllowListPath (på engelska) (inget) Sökväg till fil med värdnamn för att TILLÅTA riktad distribution/pilotdistribution. Stöder .txt eller .csv.
    AllowADGroup (på engelska) (inget) AD-säkerhetsgrupp av datorkonton till TILLÅT. Exempel: "SecureBoot-Pilot-Computers"
    ExclusionListPath (inget) Sökväg till fil med värdnamn som ska undantas från distribution (VIP-/exekutiva enheter)
    ExcludeADGroup (inget) AD-säkerhetsgrupp med datorkonton som ska undantas. Exempel: "VIP-datorer"
    ListBlockedBuckets Falskt Visa för närvarande blockerade enhetsbuckets
    UnblockBucket (inget) Avblockera en specifik bucket. Format: "Tillverkare|Modell|BIOS"
    Avblockera alla Falskt Avblockera alla blockerade enhetsbuckets

tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"

Deploy-OrchestratorTask.ps1

  • Syfte: Distribuerar orkestreringsdatorn som en schemalagd Windows-aktivitet.

  • Fördelar

    • Inga PowerShell-säkerhetsfrågor (ExecutionPolicy Bypass)
    • Körs kontinuerligt i bakgrunden
    • Ingen användarinteraktion krävs
    • Överlever omstarter
  • Användning

    • Distribuera med domäntjänstkonto (rekommenderas)

      • Använd AvailableUpdates grupprincip (standardmetod)

        Obs

        .\Deploy-OrchestratorTask.ps1 "
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMÄN\svc_secureboot"

      • Använd WinCS-metoden

        Obs

        .\Deploy-OrchestratorTask.ps1 "
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMÄN\svc_secureboot" -UseWinCS

    • Distribuera med SYSTEM-konto

      • Använd AvailableUpdates grupprincip (standardmetod)

        Obs

        .\Deploy-OrchestratorTask.ps1 "
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Använda WinCS-method.\Deploy-OrchestratorTask.ps1

        Obs

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Kontokrav för tjänsten

        • Domain Admin (for New-GPO, New-ADGroup, Add-ADGroupMember)
        • Läsbehörighet till JSON-filresurs
        • Skrivbehörighet till ReportBasePath

tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"

Get-SecureBootRolloutStatus.ps1

  • Syfte: Visa utrullningsstatus från valfri arbetsstation.

  • Vad som visas

    • Tillstånd för schemalagd aktivitet (körs/klar/stoppades)
    • Aktuellt vågnummer
    • Enheter som är mål jämfört med uppdaterade
    • Visuell förloppsindikator
    • Sammanfattning av blockerade bucketar
    • Länk till den senaste HTML-instrumentpanelen
  • Användning

    Obs

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Obs

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Obs

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Obs

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Obs

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Obs

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametrar

    Parameter Obligatoriskt? Standard Beskrivning
    ReportBasePath (på engelska) Obligatoriskt Lokal sökväg till rapporter och tillståndsfiler
    ShowLog Tillval Falskt Visa de senaste orkestreringsloggposterna
    ShowBlocked Tillval Falskt Visa information om blockerade hinkar
    ShowWaves Tillval Falskt Visa våghistorik
    Titta Tillval 0 (inaktiverat) Automatisk uppdatering i sekunder. Exempel: -Titta på 30 uppdateringar var 30:e sekund.
    OpenDashboard Tillval Falskt Öppna den senaste HTML-instrumentpanelen i standardwebbläsaren
  • Exempel på utdata

    Obs

    • ==============================================================
         DISTRIBUTIONSSTATUS FÖR SÄKER START
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Status: Pågående
    Aktuell våg: 5
    Totalt mål: 1250
    Totalt uppdaterat: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Kör med -ShowBlocked för mer information
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"

tillbaka till toppen

E2E-distributionssteg (snabbreferensguide)

I det här avsnittet

Fas 1: Infrastruktur för identifiering

  • Steg 1: Skapa samlingsresurs

    Obs

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Obs

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Steg 2: Distribuera identifierings-GPO

    Obs

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Domännamn "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Steg 3: Vänta tills slutpunkterna rapporterar (24–48 timmar)

    Obs

    Kontrollera insamlingsförloppet

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Antal

tillbaka till "E2E-distributionssteg (snabbreferensguide)"

Fas 2: Orkestrerad distribution

  • Steg 4: Kontroll av förutsättningar

    • Distribuerad GPO för identifiering (steg 2)
    • Minst 50+ slutpunkter som rapporterar JSON
    • Tjänstkonto med domän Admin rättigheter
    • Hanteringsserver med PowerShell 5.1+
  • Steg 5: Distribuera orkestrering som schemalagd aktivitet

    Obs

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMÄN\svc_secureboot"

  • Steg 6: Övervaka förloppet

    Obs

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Steg 7: Visa instrumentpanelen

    Obs

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Steg 8: Hantera blockerade buckets

    Obs

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Obs

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Tillverkare|Modell|BIOS"

  • Steg 9: Kontrollera slutförande

    Obs

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Status ska vara "Slutförd"

tillbaka till "E2E-distributionssteg (snabbreferensguide)"

Tillstånd Files

Orkestreringsdatorn behåller tillståndet i ReportBasePath\RolloutState\:

Arkiv Beskrivning
RolloutState.json Våghistorik, riktade enheter, status
BlockedBuckets.json Buckets som behöver undersökas
DeviceHistory.json Enhetsspårning efter värdnamn
Orchestrator_YYYYMMDD.log Dagliga aktivitetsloggar

tillbaka till "E2E-distributionssteg (snabbreferensguide)"

tillbaka till toppen

Felsökning

I det här avsnittet

Orkestreringsdatorn fungerar inte

  1. Kontrollera schemalagd aktivitet

    Obs

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Kontrollera loggar

    Obs

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Verifiera JSON-datas aktualitet

    Obs

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

tillbaka till "Felsökning"

Blockerade buckets

  1. Listan är blockerad.

    Obs

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Undersök enhetens nåbarhet.

  3. Kontrollera om det finns problem med den inbyggda programvaran.

  4. Ta bort blockeringen efter undersökning.

tillbaka till "Felsökning"

GPO används inte

  1. Kontrollera att GPO finns.

    Obs

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Kontrollera säkerhetsfiltrering.

    Obs

    Get-GPPermission -Name "GPO-Name" -All

  3. Kontrollera att datorn ingår i säkerhetsgruppen.

  4. Tillämpa grupprincipobjektet på målet.

    Obs

    gpupdate /force

tillbaka till "Felsökning"

tillbaka till toppen

Ändringslogg

Ändra datum Beskrivning av ändring
Den 12 maj 2026 Tidigare publicerades varje exempelskriptfil som enskilda artiklar som du kopierade och klistrade in skriptet från. Från och med Windows-uppdateringarna som släpptes den 12 maj 2026 finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på din enhet.