Not
Orijinal yayınlama tarihi: 16 Nisan 2026
Son güncelleştirme tarihi: Mayıs 12, 2026
KB Kimliği: 5084567
Bu makalede
- Genel bakış
- Önemli Özellikler
- Certificate UpdatesGüncelleştirmeler Settings Reference
- Mimari
- Aşama 1: Enterprise leve'de Algılama ve Durum İzleme
- Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirmesi Düzenleme Betiği
- E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)
- Sorun Giderme
- Değişiklik günlüğü
Genel bakış
Bu kılavuzda, Windows Güvenli Önyükleme DB sertifika güncelleştirmeleri için otomatik dağıtım sistemi, Grup İlkesigrup ilkesi ve aşamalı dağıtım dalgaları kullanılmaktadır.
Güvenli Önyükleme Sertifikası Dağıtım Otomasyonu, etki alanına katılmış makinelere Windows Güvenli Önyükleme DB sertifika güncelleştirmelerini denetimli ve kademeli bir şekilde dağıtan PowerShell tabanlı bir sistemdir.
Önemli Özellikler
| Özellik | Açıklama |
|---|---|
| Kademeli Dağıtım | > 1 2 > 4 > 8... Kutu başına cihaz sayısı |
| Otomatik Engelleme | Ulaşılamayan cihazlara sahip kutular hariç tutulur |
| Otomatik GPO Dağıtımı | Tek bir düzenleyici betiği her şeyi işler |
| Zamanlanmış Görev Yürütme | Etkileşimli istemler gerekmez |
| Gerçek Zamanlı İzleme | İlerleme çubuğuyla durum görüntüleyicisi |
Certificate UpdatesGüncelleştirmeler Settings Reference
Bu bölümde
AvailableUpdatesPolicy Grup ilkesi
| Kayıt defteri konumu | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Ad | AvailableUpdatesPolicy |
| Değer | 0x5944 (DWORD) |
Bu, şu özelliklere sahip GPO/ADMX denetimli anahtardır:
- Yeniden başlatmalar boyunca devam eder
- Tarafından belirlenir Grup İlkesigrup ilkesi / MDM
- Yeniden deneme döngülerine neden olmaz (ClearRolloutFlags aracılığıyla temizlenir)
- İlke tabanlı dağıtım için doğru anahtardır.
Reference: Grup İlkesigrup ilkesi Objects (GPO) method for Windows devices with IT managed updates
back to "Certificate UpdatesGüncelleştirmeler Settings Reference"
WinCSFlags - Windows Yapılandırma Sistemi Bayrakları
Etki alanı yöneticileri alternatif olarak, etki alanına katılmış Windows istemcileri ve sunucuları arasında Güvenli Önyükleme güncelleştirmelerini dağıtmak için Windows İşletim Sistemi güncelleştirmeleriyle yayımlanan Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir komut satırı arabirimi (CLI) yardımcı programından oluşur.
| Özellik adı | WinCS Anahtarı | Açıklama |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Bu anahtarın etkinleştirilmesi, cihazınıza Microsoft tarafından sağlanan aşağıdaki Güvenli Önyükleme sertifikalarının yüklenmesini sağlar.
|
Başvuru: Güvenli Önyükleme için Windows Yapılandırma Sistemi (WinCS) API'leri
back to "Certificate UpdatesGüncelleştirmeler Settings Reference"
Mimari
Aşama 1: Kurumsal düzeyde Algılama ve Durum İzleme
Bu bölümde
- 1. Aşama için gereken betikler
- Yerel Testler
- Ağ Paylaşımı Kurulumu
- GPO Dağıtımı
- GPO Ayarları Özeti
- Doğrulama
1. Aşama için gereken betikler
Örnek Güvenli Önyükleme Envanteri Veri Toplama betikleri
Not
ÖNEMLİ Örnek betikleri içeren aşağıdaki makaleler kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.
| Örnek Komut Dosyası Adı | Amaç | Şu sürümlerde çalışır: |
|---|---|---|
| Örnek Detect-SecureBootCertUpdateStatus.ps1 betiği | Cihaz durumu verilerini toplar | Her uç nokta (GPO aracılığıyla) |
| Örnek Aggregate-SecureBootData.ps1 betiği | Raporlar ve panolar oluşturur | AdminYönetici workstation |
| Örnek Deploy-GPO-SecureBootCollection.ps1 betiği | Veri toplama için GPO oluşturmayı otomatikleştirir | Etki Alanı Denetleyicisi |
Yukarıdaki Aşama 1 betiklerinden Örnek Çıkış
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
Yerel Testler
GPO aracılığıyla dağıtmadan önce, işlevselliği doğrulamak için koleksiyon betiğini tek bir makinede test edin.
Koleksiyon betiğini yerel olarak çalıştırma
Yükseltilmiş PowerShell istemini açın ve aşağıdaki komutları yürütün:
Not
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"JSON Çıkışını Doğrulama
Not
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListDoğrulanması gereken önemli alanlar
• SecureBootEnabled – Doğru veya Yanlış Olmalıdır
• OverallStatus – Complete, ReadyForUpdate, NeedsData veya Error
• BucketHash – Güvenilirlik verileri eşleştirmesi için cihaz demeti
• SecureBootTaskEnabled - Güvenli Önyükleme Güncelleme Görevinin durumunu gösterir.Test Toplama Betiği
Not
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
HTML panosunu açma
"C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html" Start-Process
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
Ağ Paylaşımı Kurulumu
Ağ Paylaşımı oluşturma
Dosya sunucunuzda, koleksiyon verileri için ayrılmış bir paylaşım oluşturun:
Not
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Klasör oluşturma
New-Item -ItemType Directory -Path $SharePath -Force
Gizli paylaşım oluştur ($ eki, göz atma listesinden gizlenir)
New-SmbShare -Ad $ShareName -Yol $SharePath '
-Açıklama "Güvenli Önyükleme Sertifikası Durum Koleksiyonu" '
-FullAccess "Etki Alanı Yöneticileri" '
-ChangeAccess "Etki Alanı Bilgisayarları"NTFS izinlerini yapılandırma
Not
# Get current ACL
$Acl = Get-Acl $SharePath
Kimliği Doğrulanmış Kullanıcıların dosya yazmasına izin ver
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Etki Alanı Bilgisayarları" ve
"Değiştir",
"ContainerInherit,ObjectInherit",
"Yok",
"İzin ver"
)
$Acl.AddAccessRule($WriteRule)
Domain Admins'e tam denetim izni verme (toplama için)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Etki Alanı Yöneticileri",
"FullControl",
"ContainerInherit,ObjectInherit",
"Yok",
"İzin ver"
)
$Acl.AddAccessRule($AdminRule)
İzinleri uygulama
Set-Acl -Path $SharePath -AclObject $Acl
Paylaşım Erişimini Doğrulayın
Not
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Döndürmeli: True
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
GPO Dağıtımı
Etki alanı denetleyicisinden sağlanan otomasyon betiğini kullanın:
Not
Run on Domain Controller as Domain AdminYönetici for interactive OU Section – Recommended
"Contoso.com", "Contoso" yerine etki alanı adını yazın
FILESERVER değerini dosya sunucusu adıyla değiştirin. Betik, GPO'nun dağıtılacağı OU listesini gösterir
.\Deploy-GPO-SecureBootCollection.ps1 '
-DomainName "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-"Günlük" Planla '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Bu komut dosyası aşağıdakileri gerçekleştirir:
- Belirtilen adla yeni GPO oluşturur
- Yüksek kullanılabilirlik için koleksiyon betiğini SYSVOL'a kopyalar
- Bilgisayar başlatma komut dosyasını yapılandırır
- GPO'yu hedef OU'ya bağlar
- İsteğe bağlı olarak, düzenli toplama için zamanlanmış görev oluşturur
Aşağıdaki tablo, filo boyutunuza bağlı olarak gecikmenin ne kadar süreceği konusunda rehberlik sağlar.
| Filo büyüklüğü | Gecikme aralığı |
|---|---|
| 1-10K cihazlar | 4 saat |
| 10K-50K cihazlar | 8 saat |
| 50K+ cihaz | 12-24 saat |
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
GPO Ayarları Özeti
| Ayar | Konum | Değer |
|---|---|---|
| Başlangıç Komut Dosyası | Bilgisayar Yapılandırma → Komut Dosyaları | Detect-SecureBootCertUpdateStatus.ps1 |
| Komut Dosyası Parametreleri | (aynı) | -OutputPath "\\server\share$" |
| Yürütme İlkesi | Bilgisayar Yapılandırması → Yönetici Şablonları → PowerShell | Yerel ve uzaktan imzalamaya izin ver |
| Zamanlanmış Görev | Bilgisayar Yapılandırması → Tercihler → Zamanlanmış Görevler | Günlük/Haftalık koleksiyon |
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
Doğrulama
Test Machin e'de GPO Güncelleştirmesini Zorla
Not
## On a test workstation
gpupdate /force
Başlangıç komut dosyası için istemci makineleri yeniden başlatın, aksi takdirde komut dosyası bir sonraki zamanlamada tetiklenir.
Restart-Computer -Kuvvet
Veri Toplamayı Doğrulama
Not
Verilerin toplanıp toplanmadığını kontrol etme (dosya sunucusundan veya herhangi bir makineden)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Azalan |
Select-Object -İlk 10
JSON içeriğini doğrulama
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
GPO Uygulamasını Denetle
Not
GPO'nun bilgisayara uygulandığını doğrulama
"SecureBoot" Select-String
Betik ayrıca yedeklilik için yerel bir kopya kaydeder:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön
Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirmesi Düzenleme Betikleri
Önemli
Uzak sunucu paylaşımlarına her uç noktada veri toplama da dahil olmak üzere Aşama1'in tamamlandığından emin olun.
Bu bölümde
- 2. Aşama için gereken betikler
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
2. Aşama için gereken betikler
Örnek Güvenli Önyükleme Envanteri Veri Toplama betikleri
Not
ÖNEMLİ Örnek betikleri içeren aşağıdaki makaleler kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.
| Örnek komut dosyası adı | Amaç | Çalıştığı cihazlar |
|---|---|---|
| Örnek Detect-SecureBootCertUpdateStatus.ps1 betiği | Cihaz durumu verilerini toplar | Her uç nokta (GPO aracılığıyla) |
| Örnek Aggregate-SecureBootData.ps1 betiği | Raporlar ve panolar oluşturur | AdminYönetici workstation |
| Örnek Deploy-GPO-SecureBootCollection.ps1 betiği | Veri toplama için GPO oluşturmayı otomatikleştirir | Etki Alanı Denetleyicisi |
| Örnek Start-SecureBootRolloutOrchestrator.ps1 betiği | Sertifika kurulumu için otomatik GPO dağıtımı ile tam otomatik, sürekli düzenleme | AdminYönetici workstation |
| Örnek Deploy-OrchestratorTask.ps1 betiği | Otomatik dağıtım için zamanlanmış görev olarak Orchestrator betiğini dağıtır | Etki Alanı Denetleyicisi |
| Örnek Get-SecureBootRolloutStatus.ps1 betiği | Güvenli Önyükleme Sertifikası'nın durumunu herhangi bir iş istasyonundan görüntüleyin | AdminYönetici Workstation |
| Örnek Enable-SecureBootUpdateTask.ps1 betiği | Güvenli Önyükleme Güncelleme Görevini etkinleştirir | Görevin devre dışı bırakıldığı Uç noktalarda (Devre dışı bırakılmışsa, görevi etkinleştirmek için yalnızca bir kez çalıştırın) |
"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün
Start-SecureBootRolloutOrchestrator.ps1
Amaç: Otomatik GPO dağıtımı ile tam otomatik, sürekli orkestrasyon.
İşlevi
Cihaz durumunu arama Aggregate-SecureBootData.ps1
Aşamalı ikiye katlamayı kullanarak dağıtım dalgaları oluşturur
Aşağıdaki yöntemlerden birini kullanarak sertifika dağıtımı için GPO oluşturur
- Güvenli önyükleme Grup ilkesi AvailableUpdatesPolicy = 0x5944 (Varsayılan)
- WinCS yöntemi (Parametre –UseWinCS)
Hedefleme için AD güvenlik grupları oluşturur
Güvenlik gruplarına bilgisayar hesapları ekler
GPO güvenlik filtrelemesini yapılandırır
GPO'yu hedef OU'ya bağlar
Engellenen kutular (ulaşılamayan cihazlar) için monitörler
Cihazlar kurtarıldığında otomatik engellemeleri kaldırma
Kullanım Şekli
Not
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Not
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-WinCS'yi kullanınAdminYönetici komutları
Not
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsNot
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Enlem5520|BIOS1.2"Not
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametreler
Parametre Varsayılan Açıklama AggregationInputPath Gerekli Uç nokta JSON dosyalarının UNC yolu RaporTemelYolu Gerekli Raporların ve eyaletin yerel yolu Hedef OU Etki alanı kökü GPO'ları bağlamak için OU WavePrefix (Dalga Öneki) SecureBoot-Rollout GPO/grup adlandırma öneki MaxBekleme Saati 72 Cihaz erişilebilirliğini kontrol etmeden saatler önce Anket Aralığı Dakikaları 1440 Durum denetimleri arasındaki dakika sayısı DryRun (Kuru Koşu) Yanlış Değişiklikler olmasaydı neler olacağını gösterme Not
PollIntervalMinutes hakkında not: Düzenleyici doğrudan çalıştırıldığında varsayılan süre 1440 dakikadır (24 saat). Deploy-OrchestratorTask.ps1 aracılığıyla dağıtıldığında varsayılan süre 30 dakikadır. Dağıtım betiği, düzenleyiciye kendi varsayılanını geçirir. Etkin dağıtım için 30 dakika, bakım izleme için 1440 dakika kullanın.
İsteğe Bağlı Parametreler
Parametre Varsayılan Açıklama UseWinCS Yanlış AvailableUpdatesPolicy GPO yerine WinCS yöntemini kullanma WinCSKey F33E0C8E002 Güvenli Önyükleme yapılandırması için WinCS anahtarı AllowListPath (yok) Hedeflenen/pilot dağıtım için İZİN VERİLECEK ana bilgisayar adlarına sahip dosyanın yolu. .txt veya .csv destekler. AllowADGroup (yok) İZİN VERİLECEK bilgisayar hesaplarının AD güvenlik grubu. Örnek: "SecureBoot-Pilot-Computers" Dışlama ListesiYolu (yok) Dağıtımdan HARİÇ TUTULACAK ana bilgisayar adlarına sahip dosyanın yolu (VIP/yönetici cihazları) ExcludeADGroup (yok) Dışlanacak bilgisayar hesaplarının AD güvenlik grubu. Örnek: "VIP Bilgisayarlar" ListBlockedBuckets Yanlış Şu anda engellenen cihaz demetlerini görüntüle Engellemeyi Kaldır (yok) Belirli bir demetin engellemesini kaldırın. Biçim: "Üretici|Modeli|BIOS" olarak adlandırılır. Tümünün Engellemesini Kaldır Yanlış Engellenen tüm cihaz demetlerinin engellemesini kaldır
"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün
Deploy-OrchestratorTask.ps1
Amaç: Düzenleyiciyi Windows Zamanlanmış Görevi olarak dağıtır.
Avantajlar
- PowerShell güvenlik istemi yok (ExecutionPolicy Bypass)
- Arka planda sürekli çalışır
- Kullanıcı etkileşimi gerekmez
- Yeniden başlatmalardan kurtulur
Kullanım Şekli
Etki alanı hizmet hesabıyla dağıtma (önerilen)
Use AvailableUpdates Grup İlkesigrup ilkesi (Varsayılan Yöntem)
Not
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"WinCS yöntemini kullanma
Not
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
SYSTEM hesabıyla dağıtma
Use AvailableUpdates Grup İlkesigrup ilkesi (Varsayılan Yöntem)
Not
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"WinCS method.\Deploy-OrchestratorTask.ps1kullanma
Not
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSHizmet Hesabı Gereksinimleri
- Domain AdminYönetici (for New-GPO, New-ADGroup, Add-ADGroupMember)
- JSON dosya paylaşımına okuma erişimi
- ReportBasePath'e yazma erişimi
"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün
Get-SecureBootRolloutStatus.ps1
Amaç: Herhangi bir iş istasyonundan dağıtım ilerlemesini görüntüleyin.
Gösterilen
- Zamanlanmış görev durumu (Çalışıyor/Hazır/Durduruldu)
- Geçerli dalga numarası
- Hedeflenen ve güncelleştirilen cihazlar
- Görsel ilerleme çubuğu
- Engellenen demetler özeti
- En son HTML panosuna bağlantı
Kullanım Şekli
Not
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Not
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Not
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedNot
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesNot
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogNot
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametreler
Parametre Gerekli mi? Varsayılan Açıklama RaporTemelYolu Gereklidir — Raporların ve durum dosyalarının yerel yolu Gösteri Günlüğü İsteğe Bağlı Yanlış Son düzenleyici günlük girişlerini görüntüleme Gösteri Engellendi İsteğe Bağlı Yanlış Engellenen demetlerin ayrıntılarını görüntüleme Gösteri Dalgaları İsteğe Bağlı Yanlış Dalga geçmişini görüntüle İzle İsteğe Bağlı 0 (devre dışı) Saniye cinsinden otomatik yenileme aralığı. Örnek: -Her 30 saniyede bir 30 yenileme izleyin. OpenDashboard İsteğe Bağlı Yanlış Varsayılan tarayıcıda en son HTML panosunu açın Örnek çıkış
Not
==============================================================
GÜVENLI ÖNYÜKLEME DAĞITIM DURUMU
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Durum: Devam Ediyor
Akım Dalgası: 5
Toplam Hedeflenen: 1250
Güncelleştirme Tarihi: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Ayrıntılar için -ShowBlocked ile çalıştırınLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün
E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)
Bu bölümde
Aşama 1: Tespit Altyapısı
1. Adım: Koleksiyon Paylaşımı Oluşturun
Not
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"Not
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Etki Alanı Bilgisayarları","Değiştir","İzin Ver")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclAdım 2: Algılama GPO'sunu dağıtma
Not
.\Deploy-GPO-SecureBootCollection.ps1 `
-DomainName "contoso.com" '
-OUPath "OU=İş İstasyonları,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"3. Adım: Uç Noktaların Raporlanmasını Bekleme (24-48 saat)
Not
Koleksiyon ilerlemesini denetleme
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Sayım
"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün
2. Aşama: Düzenlenmiş Dağıtım
4. Adım: Önkoşullar Kontrolü
- Dağıtılan GPO algılama (Adım 2)
- JSON bildiren en az 50+ uç nokta
- Service account with Domain AdminYönetici rights
- PowerShell 5.1+ ile yönetim sunucusu
5. Adım: Düzenleyiciyi Zamanlanmış Görev Olarak Dağıtma
Not
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"6. Adım: İlerlemeyi izleme
Not
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"7. Adım: Panoyu Görüntüleme
Not
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard8. Adım: Engellenen demetleri yönetme
Not
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsNot
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Üretici|Modeli|BIOS" olarak adlandırılır.9. Adım: Tamamlandığını doğrulayın
Not
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Durum bilgisi "Tamamlandı" olarak gösterilmelidir
"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün
State FilesFiles
Düzenleyici, durumu ReportBasePath\RolloutState\ içinde tutar:
| Dosya | Açıklama |
|---|---|
| RolloutState.json | Dalga geçmişi, hedeflenen cihazlar, durum |
| BlockedBuckets.json | Araştırılması gereken kovalar |
| DeviceHistory.json | Ana bilgisayar adına göre cihaz izleme |
| Orchestrator_YYYYMMDD.log | Günlük etkinlik günlükleri |
"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün
Sorun Giderme
Bu bölümde
Düzenleyici ilerlemiyor
Zamanlanmış görevi denetleme
Not
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Günlükleri denetle
Not
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50JSON verilerinin güncelliğini doğrulama
Not
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
"Sorun Giderme" konusuna geri dön
Engellenen Demetler
Liste engellendi.
Not
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsCihaz erişilebilirliğini araştırın.
Üretici yazılımı sorunlarını kontrol edin.
İncelemeden sonra engeli kaldırın.
"Sorun Giderme" konusuna geri dön
GPO Uygulanmıyor
GPO'nun var olduğunu doğrulayın.
Not
Get-GPO -Name "SecureBoot-Rollout-Wave*"Güvenlik filtresini denetleyin.
Not
Get-GPPermission -Name "GPO-Name" -AllBilgisayarın güvenlik grubunda olduğunu doğrulayın.
GPO'yu hedefe uygulayın.
Not
gpupdate /force
"Sorun Giderme" konusuna geri dön
Değişiklik günlüğü
| Tarihi değiştir | Açıklamayı değiştir |
|---|---|
| Mayıs 12, 2026 | Daha önce, her örnek betik dosyası, betiği kopyalayıp yapıştırdığınız ayrı makaleler olarak yayımlanıyordu. 12 Mayıs 2026 ve sonrasında yayımlanan Windows güncelleştirmelerinden itibaren örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunur. |