Obs
Ursprungligt publiceringsdatum: Senast uppdaterad: 16 mars 2026
Senast uppdaterad: Den 12 maj 2026
KB-ID: 5084567
Den här artikeln innehåller följande avsnitt
- Översikt
- Viktiga funktioner
- Referens för inställningar för uppdateringar av certifikat
- Arkitektur
- Fas 1: Detektering och statusövervakning på företagsnivå
- Fas 2: Orkestreringsskript för certifikatuppdatering för säker start
- E2E-distributionssteg (snabbreferensguide)
- Felsökning
- Ändringslogg
Översikt
I den här guiden beskrivs det automatiserade distributionssystemet för Windows Secure Boot DB-certifikatuppdateringar med grupprincip och progressiva distributionsvågor.
Automatisering av certifikatdistribution för säker start är ett PowerShell-baserat system som distribuerar Windows Secure Boot DB-certifikatuppdateringar till domänanslutna datorer på ett kontrollerat, graderat sätt.
Viktiga funktioner
| Funktion | Beskrivning |
|---|---|
| Graderad distribution | > 1 2 > 4 > 8... enheter per hink |
| Automatisk blockering | Buckets med enheter som inte kan nås utesluts |
| Automatiserad GPO-distribution | En enda orkestreringsskript hanterar allt |
| Körning av en schemalagd aktivitet | Inga interaktiva uppmaningar krävs |
| Övervakning i realtid | Statusvisningsprogram med förloppsindikator |
Referens för inställningar för uppdateringar av certifikat
I det här avsnittet
Grupprincipen AvailableUpdatesPolicy
| Registerplats | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Namn | AvailableUpdatesPolicy |
| Värde | 0x5944 (DWORD) |
Det här är den GPO/ADMX-styrda nyckeln som:
- Finns kvar efter omstarter
- Anges av Grupprincip / MDM
- Orsakar inte återförsöksloopar (rensas via ClearRolloutFlags)
- Är rätt nyckel för principdriven distribution
Referens: grupprincip objects (GPO)-metod för säker start för Windows-enheter med IT-hanterade uppdateringar
tillbaka till "Referens för uppdateringar för certifikat"
WinCSFlags – Systemflaggor för Windows-konfiguration
Domänadministratörer kan också använda Windows Configuration System (WinCS) som släpptes med Windows OS-uppdateringar för att distribuera uppdateringar för säker start över domänanslutna Windows-klienter och -servrar. Den består av ett kommandoradsgränssnittsverktyg (CLI) för att fråga och tillämpa konfigurationer för säker start lokalt på en dator.
| Funktionsnamn | WinCS-nyckel | Beskrivning |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Om du aktiverar den här nyckeln kan du installera följande nya certifikat för säker start som tillhandahålls av Microsoft på enheten.
|
Referens: WinCS-API:er (Windows Configuration System) för säker start
tillbaka till "Referens för uppdateringar för certifikat"
Arkitektur
Fas 1: Detektering och statusövervakning på företagsnivå
I det här avsnittet
- Skript som behövs för fas 1
- Lokal testning
- Konfiguration av nätverksresurs
- Distribution av grupprincipobjekt
- Sammanfattning av GPO-inställningar
- Verifiering
Skript som behövs för fas 1
Exempel på skript för datainsamling för inventering av säker start
Obs
VIKTIGT Följande artiklar som innehåller exempelskripten har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.
| Exempel på skriptnamn | Syfte | Körs på |
|---|---|---|
| Exempel på Detect-SecureBootCertUpdateStatus.ps1 skript | Samlar in enhetsstatusdata | Varje slutpunkt (via GPO) |
| Exempel på Aggregate-SecureBootData.ps1 skript | Genererar rapporter och instrumentpaneler | Admin workstation |
| Exempel på Deploy-GPO-SecureBootCollection.ps1 skript | Automatiserar skapandet av grupprincipobjekt för datainsamling | Domänkontrollant |
Exempel på utdata från ovanstående fas 1-skript
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Lokal testning
Innan du distribuerar via GPO testar du samlingsskriptet på en enskild dator för att verifiera funktionen.
Kör samlingsskript lokalt
Öppna en upphöjd PowerShell-kommandotolk och kör:
Obs
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Verifiera JSON-utdata
Obs
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListViktiga fält att verifiera
• SecureBootEnabled – ska vara True or False
• OverallStatus – Complete, ReadyForUpdate, NeedsData eller Error
• BucketHash – enhetsbucket för matchning av konfidensdata
• SecureBootTaskEnabled – visar status för uppdateringsaktivitet för säker start.Testa aggregeringsskript
Obs
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Öppna HTML-instrumentpanelen
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Konfiguration av nätverksresurs
Skapa en nätverksresurs
Skapa en dedikerad resurs för insamlingsdata på filservern:
Obs
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Skapa mapp
New-Item -ItemType Directory -Path $SharePath -Force
Skapa dold resurs (suffixet $ döljer från bläddrarlistan)
New-SmbShare -Name $ShareName -Path $SharePath '
-Beskrivning "Secure Boot Certificate Status Collection" '
-FullAccess "Domänadministratörer" '
-ChangeAccess "Domän Datorer"Konfigurera NTFS-behörigheter
Obs
# Get current ACL
$Acl = Get-Acl $SharePath
Tillåt autentiserade användare att skriva filer
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domändatorer" och
"Ändra",
"ContainerInherit,ObjectInherit",
"Ingen",
"Tillåt"
)
$Acl.AddAccessRule($WriteRule)
Ge domänadministratörer fullständig åtkomst (för aggregering)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domänadministratörer",
"Fullständig kontroll",
"ContainerInherit,ObjectInherit",
"Ingen",
"Tillåt"
)
$Acl.AddAccessRule($AdminRule)
Tillämpa behörigheter
Set-Acl -Path $SharePath -AclObject $Acl
Verifiera delningsåtkomst
Obs
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Ska returnera: Sant
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Distribution av grupprincipobjekt
Använd automationsskriptet från en domänkontrollant:
Obs
Kör på domänkontrollanten som domän Admin för interaktiv OU-avsnitt - rekommenderas
Ersätt "Contoso.com", "Contoso" med namnet på domänen
Ersätt FILESERVER med filserverns namn. Skriptet visar en lista över organisationsenheter att distribuera grupprincipobjekt på
.\Deploy-GPO-SecureBootCollection.ps1 "
-Domännamn "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Schema "Dagligen" "
-ScheduleTime "14:00" '
-RandomDelayHours 4
Skriptet utför följande:
- Skapar ett nytt GPO med angivet namn
- Kopierar samlingsskript till SYSVOL för hög tillgänglighet
- Konfigurerar datorns startskript
- Länkar GPO till OU
- Skapar också en schemalagd aktivitet för periodisk insamling
Följande tabell ger vägledning i hur lång förseningen kommer att vara baserat på vagnparkens storlek.
| Flottans storlek | Fördröjningsintervall |
|---|---|
| 1–10 000 enheter | 4 timmar |
| 10K-50K enheter | 8 timmar |
| 50K+ enheter | 12-24 timmar |
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Sammanfattning av GPO-inställningar
| Inställning | Plats | Värde |
|---|---|---|
| Startskript | Datorkonfiguration → skript | Detect-SecureBootCertUpdateStatus.ps1 |
| Skriptparametrar | (samma) | -OutputPath "\\server\share$" |
| Körningsprincip | Datorkonfiguration → Admin mallar → PowerShell | Tillåt lokalt och fjärrsignerat |
| Schemalagd aktivitet | Datorkonfiguration → Inställningar → schemalagda aktiviteter | Samling varje dag/vecka |
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Verifiering
Tvinga fram GPO-uppdatering vid test av maskin
Obs
## On a test workstation
gpupdate /force
Starta om klientdatorerna till startskript, annars utlöses den vid nästa schema.
Restart-Computer -Force
Verifiera datainsamling
Obs
Kontrollera om data har samlats in (på filservern eller från en dator)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime – fallande |
Select-Object – första 10
Verifiera JSON-innehåll
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Kontrollera GPO-program
Obs
Kontrollera att GPO tillämpas på datorn
Select-String "SecureBoot"
Skriptet sparar även en lokal kopia för redundans:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
tillbaka till "Fas 1: Detektering och statusövervakning på företagsnivå"
Fas 2: Orkestreringsskript för certifikatuppdatering för säker start
Viktigt!
Se till att fas1 har slutförts, inklusive datainsamling för varje slutpunkt till fjärrserverresurser.
I det här avsnittet
- Skript som behövs för fas 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Skript som behövs för fas 2
Exempel på skript för datainsamling för inventering av säker start
Obs
VIKTIGT Följande artiklar som innehåller exempelskripten har dragits tillbaka. Om du har installerat en Windows-uppdatering som släpptes 12 maj 2026 eller senare finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på enheten.
| Exempel på skriptnamn | Syfte | Körs på: |
|---|---|---|
| Exempel på Detect-SecureBootCertUpdateStatus.ps1 skript | Samlar in enhetsstatusdata | Varje slutpunkt (via GPO) |
| Exempel på Aggregate-SecureBootData.ps1 skript | Genererar rapporter och instrumentpaneler | Admin workstation |
| Exempel på Deploy-GPO-SecureBootCollection.ps1 skript | Automatiserar skapandet av grupprincipobjekt för datainsamling | Domänkontrollant |
| Exempel på Start-SecureBootRolloutOrchestrator.ps1 skript | Helautomatisk, kontinuerlig orkestrering med automatiserad GPO-distribution för certifikatinstallation | Admin workstation |
| Exempel på Deploy-OrchestratorTask.ps1 skript | Orkestreringsskript distribueras som en schemalagd aktivitet för automatiserad distribution | Domänkontrollant |
| Exempel på Get-SecureBootRolloutStatus.ps1 skript | Visa status för certifikatdistribution för säker start från valfri arbetsstation | Admin Workstation |
| Exempel på Enable-SecureBootUpdateTask.ps1 skript | Aktiverar uppdateringsuppgift för säker start | Vid slutpunkter där aktiviteten är inaktiverad (kör bara en gång för att aktivera aktiviteten om den är inaktiverad) |
tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"
Start-SecureBootRolloutOrchestrator.ps1
Syfte: Helautomatisk, kontinuerlig orkestrering med automatiserad GPO-distribution.
Vad den gör
Samtal Aggregate-SecureBootData.ps1 för enhetsstatus
Genererar utrullningsvågor med progressiv dubblering
Skapar ett grupprincipobjekt för certifikatdistribution med någon av följande metoder
- Grupprincip för säker start AvailableUpdatesPolicy = 0x5944 (standard)
- WinCS-metod (parameter –UseWinCS)
Skapar AD-säkerhetsgrupper för mål
Lägger till datorkonton i säkerhetsgrupper
Konfigurerar GPO-säkerhetsfiltrering
Länkar GPO till OU
Övervakare för blockerade buckets (enheter som inte kan nås)
Avblockera automatiskt när enheter återställs
Användning
Obs
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 "
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Obs
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 "
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSAdmin kommandon
Obs
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObs
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"Obs
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametrar
Parameter Standard Beskrivning AggregationInputPath Krävs UNC-sökväg till slutpunkts-JSON-filer ReportBasePath (på engelska) Krävs Lokal sökväg för rapporter och tillstånd TargetOU Domänrot Organisationsenhet för att länka grupprincipobjekt WavePrefix SecureBoot-Rollout Namngivningsprefix för grupprincipobjekt eller gruppnamn MaxWaitHours 72 Timmar innan du kontrollerar enhetens nåbarhet PollIntervalMinutes (PollIntervalMinutes) 1440 Minuter mellan statuskontroller DryRun (på engelska) Falskt Visa vad som skulle hända utan ändringar Obs
Anmärkning om PollIntervalMinutes: När du kör orkestreringsdatorn direkt är standardvärdet 1 440 minuter (24 timmar). Vid distribution via Deploy-OrchestratorTask.ps1 är standardvärdet 30 minuter. Distributionsskriptet skickar sin egen standard till orkestreringsatorn. Använd 30 minuter för aktiv distribution, 1440 för underhållsövervakning.
Valfria parametrar
Parameter Standard Beskrivning UseWinCS (på engelska) Falskt Använd WinCS-metoden i stället för AvailableUpdatesPolicy GPO WinCSKey F33E0C8E002 WinCS-nyckel för konfiguration av säker start AllowListPath (på engelska) (inget) Sökväg till fil med värdnamn för att TILLÅTA riktad distribution/pilotdistribution. Stöder .txt eller .csv. AllowADGroup (på engelska) (inget) AD-säkerhetsgrupp av datorkonton till TILLÅT. Exempel: "SecureBoot-Pilot-Computers" ExclusionListPath (inget) Sökväg till fil med värdnamn som ska undantas från distribution (VIP-/exekutiva enheter) ExcludeADGroup (inget) AD-säkerhetsgrupp med datorkonton som ska undantas. Exempel: "VIP-datorer" ListBlockedBuckets Falskt Visa för närvarande blockerade enhetsbuckets UnblockBucket (inget) Avblockera en specifik bucket. Format: "Tillverkare|Modell|BIOS" Avblockera alla Falskt Avblockera alla blockerade enhetsbuckets
tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"
Deploy-OrchestratorTask.ps1
Syfte: Distribuerar orkestreringsdatorn som en schemalagd Windows-aktivitet.
Fördelar
- Inga PowerShell-säkerhetsfrågor (ExecutionPolicy Bypass)
- Körs kontinuerligt i bakgrunden
- Ingen användarinteraktion krävs
- Överlever omstarter
Användning
Distribuera med domäntjänstkonto (rekommenderas)
Använd AvailableUpdates grupprincip (standardmetod)
Obs
.\Deploy-OrchestratorTask.ps1 "
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMÄN\svc_secureboot"Använd WinCS-metoden
Obs
.\Deploy-OrchestratorTask.ps1 "
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMÄN\svc_secureboot" -UseWinCS
Distribuera med SYSTEM-konto
Använd AvailableUpdates grupprincip (standardmetod)
Obs
.\Deploy-OrchestratorTask.ps1 "
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Använda WinCS-method.\Deploy-OrchestratorTask.ps1
Obs
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSKontokrav för tjänsten
- Domain Admin (for New-GPO, New-ADGroup, Add-ADGroupMember)
- Läsbehörighet till JSON-filresurs
- Skrivbehörighet till ReportBasePath
tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"
Get-SecureBootRolloutStatus.ps1
Syfte: Visa utrullningsstatus från valfri arbetsstation.
Vad som visas
- Tillstånd för schemalagd aktivitet (körs/klar/stoppades)
- Aktuellt vågnummer
- Enheter som är mål jämfört med uppdaterade
- Visuell förloppsindikator
- Sammanfattning av blockerade bucketar
- Länk till den senaste HTML-instrumentpanelen
Användning
Obs
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Obs
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Obs
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedObs
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesObs
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogObs
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametrar
Parameter Obligatoriskt? Standard Beskrivning ReportBasePath (på engelska) Obligatoriskt — Lokal sökväg till rapporter och tillståndsfiler ShowLog Tillval Falskt Visa de senaste orkestreringsloggposterna ShowBlocked Tillval Falskt Visa information om blockerade hinkar ShowWaves Tillval Falskt Visa våghistorik Titta Tillval 0 (inaktiverat) Automatisk uppdatering i sekunder. Exempel: -Titta på 30 uppdateringar var 30:e sekund. OpenDashboard Tillval Falskt Öppna den senaste HTML-instrumentpanelen i standardwebbläsaren Exempel på utdata
Obs
==============================================================
DISTRIBUTIONSSTATUS FÖR SÄKER START
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Status: Pågående
Aktuell våg: 5
Totalt mål: 1250
Totalt uppdaterat: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Kör med -ShowBlocked för mer informationLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
tillbaka till "Fas 2: Orkestreringsskript för certifikatuppdatering för säker start"
E2E-distributionssteg (snabbreferensguide)
I det här avsnittet
Fas 1: Infrastruktur för identifiering
Steg 1: Skapa samlingsresurs
Obs
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"Obs
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclSteg 2: Distribuera identifierings-GPO
Obs
.\Deploy-GPO-SecureBootCollection.ps1 `
-Domännamn "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Steg 3: Vänta tills slutpunkterna rapporterar (24–48 timmar)
Obs
Kontrollera insamlingsförloppet
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Antal
tillbaka till "E2E-distributionssteg (snabbreferensguide)"
Fas 2: Orkestrerad distribution
Steg 4: Kontroll av förutsättningar
- Distribuerad GPO för identifiering (steg 2)
- Minst 50+ slutpunkter som rapporterar JSON
- Tjänstkonto med domän Admin rättigheter
- Hanteringsserver med PowerShell 5.1+
Steg 5: Distribuera orkestrering som schemalagd aktivitet
Obs
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMÄN\svc_secureboot"Steg 6: Övervaka förloppet
Obs
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Steg 7: Visa instrumentpanelen
Obs
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardSteg 8: Hantera blockerade buckets
Obs
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObs
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Tillverkare|Modell|BIOS"Steg 9: Kontrollera slutförande
Obs
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Status ska vara "Slutförd"
tillbaka till "E2E-distributionssteg (snabbreferensguide)"
Tillstånd Files
Orkestreringsdatorn behåller tillståndet i ReportBasePath\RolloutState\:
| Arkiv | Beskrivning |
|---|---|
| RolloutState.json | Våghistorik, riktade enheter, status |
| BlockedBuckets.json | Buckets som behöver undersökas |
| DeviceHistory.json | Enhetsspårning efter värdnamn |
| Orchestrator_YYYYMMDD.log | Dagliga aktivitetsloggar |
tillbaka till "E2E-distributionssteg (snabbreferensguide)"
Felsökning
I det här avsnittet
Orkestreringsdatorn fungerar inte
Kontrollera schemalagd aktivitet
Obs
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Kontrollera loggar
Obs
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Verifiera JSON-datas aktualitet
Obs
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Blockerade buckets
Listan är blockerad.
Obs
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsUndersök enhetens nåbarhet.
Kontrollera om det finns problem med den inbyggda programvaran.
Ta bort blockeringen efter undersökning.
GPO används inte
Kontrollera att GPO finns.
Obs
Get-GPO -Name "SecureBoot-Rollout-Wave*"Kontrollera säkerhetsfiltrering.
Obs
Get-GPPermission -Name "GPO-Name" -AllKontrollera att datorn ingår i säkerhetsgruppen.
Tillämpa grupprincipobjektet på målet.
Obs
gpupdate /force
Ändringslogg
| Ändra datum | Beskrivning av ändring |
|---|---|
| Den 12 maj 2026 | Tidigare publicerades varje exempelskriptfil som enskilda artiklar som du kopierade och klistrade in skriptet från. Från och med Windows-uppdateringarna som släpptes den 12 maj 2026 finns exempelskripten i mappen %systemroot%\SecureBoot\ExampleRolloutScripts på din enhet. |