Примітка.
Дата початкової публікації: 16 березня 2026 р.
Дата останнього оновлення: 12 травня 2026 р.
Ідентифікатор бази знань: 5084567
У цій статті
- Огляд
- Основні функції
- Довідник із параметрів Оновлення сертифікатів
- Архітектура
- Етап 1. Виявлення та моніторинг стану на підприємстві
- Етап 2. Сценарій оркестрування оновлення сертифіката безпечного завантаження
- Етапи розгортання E2E (короткий посібник)
- Виправлення неполадок
- Журнал змін
Огляд
У цьому посібнику описано систему автоматизованого розгортання для оновлення сертифікатів Windows Secure Boot DB за допомогою Групова політика та етапних хвиль розгортання.
Автоматизація розгортання сертифікатів безпечного завантаження – це система на основі PowerShell, яка контрольовано розгортає оновлення сертифіката Windows Secure Boot DB на комп'ютерах, приєднаних до домену.
Основні функції
| Функція | Опис |
|---|---|
| Поетапне розгортання | > 1 2 > 4 8>... Пристрої на ковш |
| Автоматичне блокування | Виключаються відра з недосяжними пристроями |
| Автоматизоване розгортання об'єкта групової політики | Сценарій одинарного оркестровщика обробляє все |
| Виконання запланованого завдання | Інтерактивні підказки не потрібні |
| Моніторинг у реальному часі | Засіб перегляду стану з індикатором перебігу |
Довідник із параметрів Оновлення сертифікатів
У цьому розділі
Доступна політика оновлень групової політики
| Розташування реєстру. | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Ім’я | AvailableUpdatesPolicy (ДоступністьUpdatesPolicy) |
| Value (Значення) | 0x5944 (DWORD) |
Це клавіша, керована GPO/ADMX, яка:
- Зберігається після перезавантаження
- Задається Групова політика / MDM
- Не викликає повторних циклів (очищено за допомогою ClearRolloutFlags)
- правильний ключ для розгортання на основі політики;
назад до "Довідник із параметрів сертифіката Оновлення"
WinCSFlags – системні позначки конфігурації Windows
Адміністратори доменів можуть також використовувати систему конфігурації Windows (WinCS), випущену з оновленнями ОС Windows, щоб розгортати оновлення безпечного завантаження в клієнтах Windows і на серверах Windows, підключених до домену. Він складається з утиліти інтерфейсу командного рядка (CLI), яка запитує та застосовує конфігурації безпечного завантаження локально до комп'ютера.
| Назва функції | Ключ WinCS | Опис |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Увімкнувши цей ключ, ви зможете інсталювати на пристрої такі нові сертифікати безпечного завантаження, як надані корпорацією Майкрософт.
|
Довідка: API системи конфігурації Windows (WinCS) для безпечного завантаження
назад до "Довідник із параметрів сертифіката Оновлення"
Архітектура
Етап 1. Виявлення та моніторинг стану на рівні підприємства
У цьому розділі
- Сценарії, необхідні для Фази 1
- Локальне тестування
- Налаштування спільного доступу до мережі
- Розгортання об'єкта групової політики
- Зведення настройок об'єкта групової політики
- Перевірка
Сценарії, необхідні для Фази 1
Зразок сценаріїв збору даних інвентаризації безпечного завантаження
Примітка.
ВАЖЛИВО Наведені нижче статті зі зразками сценаріїв застаріли. Якщо ви інсталювали оновлення Windows, випущене 12 травня 2026 р. або пізніше, зразки сценаріїв можна знайти в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.
| Приклад імені сценарію | Мета | Підтримувані ОС |
|---|---|---|
| Зразок сценарію Detect-SecureBootCertUpdateStatus.ps1 | Збирає дані про стан пристрою | Кожна кінцева точка (за допомогою GPO) |
| Зразок сценарію Aggregate-SecureBootData.ps1 | Створює звіти та приладні дошки | Admin workstation |
| Зразок сценарію Deploy-GPO-SecureBootCollection.ps1 | Автоматизує створення об'єкта групової політики для збору даних | Контролер домену |
Зразок виводу з наведених вище сценаріїв Фази 1
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Локальне тестування
Перед розгортанням за допомогою GPO, протестуйте сценарій колекції на одному комп'ютері, щоб перевірити функціональність.
Локальне виконання сценарію колекції
Відкрийте командний рядок PowerShell у режимі адміністратора та виконайте такі дії:
Примітка.
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Перевірка вихідних даних JSON
Примітка.
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListКлючові поля для перевірки
• SecureBootEnabled – має бути істинним або хибним
• OverallStatus – Complete, ReadyForUpdate, NeedsData або Error
• BucketHash – Блок пристрою для зіставлення довірчих даних
• SecureBootTaskEnabled - Показує статус завдання оновлення безпечного завантаження.Тестовий сценарій агрегації
Примітка.
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Відкрийте приладну дошку HTML
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Налаштування спільного доступу до мережі
Створення спільної мережевої папки
На файловому сервері створіть виділену спільну папку для збирання даних.
Примітка.
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Створити папку
New-Item -ItemType Directory -Path $SharePath -Force
Створити приховану спільну папку (суфікс $ приховує зі списку перегляду)
New-SmbShare -name $ShareName -path $SharePath '
-Опис "Колекція станів сертифікатів безпечного завантаження" '
-FullAccess "Domain Admins" '
-ChangeAccess "Domain Computers"Настроювання дозволів NTFS
Примітка.
# Get current ACL
$Acl = Get-Acl $SharePath
Дозволити автентифікованим користувачам записувати файли
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Комп'ютери домену" та
"Змінити",
"ContainerInherit,ObjectInherit",
"Немає",
"Allow" (Дозволити)
)
$Acl.AddAccessRule($WriteRule)
Надання адміністраторам домену повного доступу (для агрегації)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Адміністратори доменів",
"FullControl",
"ContainerInherit,ObjectInherit",
"Немає",
"Allow" (Дозволити)
)
$Acl.AddAccessRule($AdminRule)
Застосування дозволів
Set-Acl -path $SharePath -AclObject $Acl
Перевірка спільного доступу
Примітка.
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Має повернутися: True
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Розгортання об'єкта групової політики
Використовуйте сценарій автоматизації, отриманий від контролера домену:
Примітка.
Run on domain controller as domain Admin for interactive OU Section – Recommended
Замініть "Contoso.com", "Contoso" на ім'я домену
Замініть слово FILESERVER на ім'я файлового сервера. Сценарій показує список OU для розгортання GPO
.\Deploy-GPO-SecureBootCollection.ps1 '
-DomainName "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Графік "Щодня" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Цей сценарій виконує такі дії:
- Створює об'єкт групової політики із заданою назвою
- Копіює сценарій збірки до SYSVOL для високої доступності
- Настроює сценарій запуску комп'ютера.
- Пов'язує GPO з цільовим об'єктом OU
- Створює заплановане завдання для періодичного збирання
У таблиці нижче наведено вказівки щодо того, як довго триватиме затримка, виходячи з розміру вашого автопарку.
| Розмір автопарку | Діапазон затримки |
|---|---|
| Пристрої 1-10 тис. | 4 години |
| Пристрої 10К-50К | 8 годин |
| 50K+ пристроїв | 12-24 години |
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Зведення настройок об'єкта групової політики
| Параметр | Розташування | Value (Значення) |
|---|---|---|
| Сценарій запуску | Конфігурація комп'ютера → сценарії | Detect-SecureBootCertUpdateStatus.ps1 |
| Параметри сценарію | (те саме) | -OutputPath "\\server\share$" |
| Політика виконання | Шаблони → Admin конфігурації комп'ютера → PowerShell | Дозволити локальні та віддалені підписання |
| Заплановане завдання | Конфігурація комп'ютера → параметри → заплановані завдання | Щоденний/щотижневий збір |
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Перевірка
Примусове оновлення GPO на Test Machine
Примітка.
## On a test workstation
gpupdate /force
Перезавантажте клієнтські комп'ютери, щоб виконати сценарій запуску, інакше він запуститься за наступного розкладу.
Restart-Computer - Сила
Перевірка збирання даних
Примітка.
Перевірте, чи було зібрано дані (на файловому сервері або на будь-якому комп'ютері)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Descending |
Select-Object -Перші 10
Перевірка вмісту JSON
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Перевірити програму GPO
Примітка.
Перевірка застосування об'єкта групової політики до комп'ютера
Select-String "SecureBoot" (Безпечне завантаження)
Сценарій також зберігає локальну копію для резервування:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"
Етап 2. Сценарії оркестрації оновлення сертифіката безпечного завантаження
Важливо
Переконайтеся, що етап 1 завершено, включно зі збором даних про кожну кінцеву точку для спільних ресурсів віддаленого сервера.
У цьому розділі
- Сценарії, потрібні для Фази 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Сценарії, потрібні для Фази 2
Зразок сценаріїв збору даних інвентаризації безпечного завантаження
Примітка.
ВАЖЛИВО Наведені нижче статті зі зразками сценаріїв застаріли. Якщо ви інсталювали оновлення Windows, випущене 12 травня 2026 р. або пізніше, зразки сценаріїв можна знайти в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.
| Sample script name | Мета | Пристрої, що підтримуються |
|---|---|---|
| Зразок сценарію Detect-SecureBootCertUpdateStatus.ps1 | Збирає дані про стан пристрою | Кожна кінцева точка (за допомогою GPO) |
| Зразок сценарію Aggregate-SecureBootData.ps1 | Створює звіти та приладні дошки | Admin workstation |
| Зразок сценарію Deploy-GPO-SecureBootCollection.ps1 | Автоматизує створення об'єкта групової політики для збору даних | Контролер домену |
| Зразок сценарію Start-SecureBootRolloutOrchestrator.ps1 | Повністю автоматизована, безперервна оркестрація з автоматизованим розгортанням GPO для встановлення сертифікатів | Admin workstation |
| Зразок сценарію Deploy-OrchestratorTask.ps1 | Розгортає сценарій Orchestrator як заплановане завдання для автоматичного розгортання | Контролер домену |
| Зразок сценарію Get-SecureBootRolloutStatus.ps1 | Перегляд сертифіката безпечного завантаження Стан розгортання з будь-якої робочої станції | AdminAdmin Workstation |
| Зразок сценарію Enable-SecureBootUpdateTask.ps1 | Вмикає завдання оновлення безпечного завантаження | У кінцевих точках, у яких завдання вимкнуто (щоб увімкнути завдання, якщо його вимкнуто, виконайте лише один раз) |
назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"
Start-SecureBootRolloutOrchestrator.ps1
Мета: Повністю автоматизована, безперервна оркестрація з автоматизованим розгортанням GPO.
Результат
Виклики Aggregate-SecureBootData.ps1 для стану пристрою
Генерує хвилі розгортання з використанням поступового подвоєння.
Створює об'єкт групової політики для розгортання сертифіката одним із таких методів
- Безпечне завантаження Групова політика AvailableUpdatesPolicy = 0x5944 (За замовчуванням)
- Метод WinCS (параметр –UseWinCS)
Створює групи безпеки AD для націлювання
Додає облікові записи комп'ютерів до груп безпеки
налаштовує фільтрування системи безпеки (GPO).
Пов'язує GPO з цільовим об'єктом OU
Монітори заблокованих сегментів (недоступних пристроїв)
Автоматично розблоковується після відновлення пристроїв
Використання
Примітка.
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Примітка.
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSAdminAdmin commands
Примітка.
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsПримітка.
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Широта 5520|BIOS1.2"Примітка.
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllПараметри
Параметр За замовчуванням Опис AggregationInputPath (Шлях збирання) Обов’язковий UNC-шлях до файлів JSON на кінцевій точці ReportBasePath (Базовий шлях звіту) Обов’язковий Local path for reports and state TargetOU (Цільовий_оу) Domain root (Корінь домену) Ou для зв'язування об'єктів групової політики WavePrefix (Префікс хвилі) SecureBoot-Rollout Префікс іменування груп (GPO/груп) MaxWaitHours (Максимальна кількість годин очікування) 72 Кількість годин до перевірки досяжності пристрою PollIntervalMinutes (Інтервал опитування) 1440 Кількість хвилин між перевірками стану Сухий запуск Хибність Показати, що було б без змін Примітка.
Примітка щодо PollIntervalMinutes: При безпосередньому запуску оркестратора значення за замовчуванням становить 1440 хвилин (24 години). Якщо використовується Deploy-OrchestratorTask.ps1, значення за замовчуванням складає 30 хвилин. Сценарій розгортання передає власне значення за замовчуванням організатору. Використовуйте 30 хвилин для активного розгортання, 1440 для моніторингу технічного обслуговування.
Необов'язкові параметри
Параметр За замовчуванням Опис UseWinCS Хибність Використовуйте метод WinCS замість об'єкта групової політики AvailableUpdatesPolicy WinCSKey F33E0C8E002 Ключ WinCS для конфігурації безпечного завантаження AllowListPath (Шлях до списку) Немає Шлях до файлу з іменами хостів, які потрібно ДОЗВОЛИТИ для цільового або пілотного розгортання. Підтримує .txt або .csv. AllowADGroup Немає Група безпеки AD облікових записів комп'ютера ДОЗВОЛИТИ. Приклад: "SecureBoot-Pilot-Computers" ExclusionListPath (Шлях списку виключення) Немає Шлях до файлу з іменами хостів, які потрібно ВИКЛЮЧИТИ з розгортання (пристрої VIP або керівники) ExcludeADGroup Немає Групи безпеки AD облікових записів комп'ютерів, які слід виключити. Приклад: "VIP-комп'ютери" ListBlockedBuckets (Заблоковані сегменти) Хибність Відображення заблокованих блоків пристрою UnblockBucket (Розблокуватикове поле) Немає Розблокування певного блоку. Формат: "Виробник|Модель|BIOS" Unblock All (Розблокувати все) Хибність Розблокування всіх блоків пристрою
назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"
Deploy-OrchestratorTask.ps1
Мета: Розгортає організатора як заплановане завдання Windows.
Переваги
- Відсутність запитів системи безпеки PowerShell (обхід ExecutionPolicy)
- Безперервно працює у фоновому режимі
- Взаємодія з користувачем не потрібна
- Переживає перезавантаження
Використання
Розгортання з обліковим записом служби домену (рекомендовано)
Use AvailableUpdates Group PolicyГрупова політика (Default Method)
Примітка.
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Використання методу WinCS
Примітка.
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Розгортання з обліковим записом SYSTEM
Use AvailableUpdates Group PolicyГрупова політика (Default Method)
Примітка.
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Використання method.\Deploy-OrchestratorTask.ps1WinCS
Примітка.
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSВимоги до службового облікового запису
- Domain AdminAdmin (для New-GPO, New-ADGroup, Add-ADGroupMember)
- Читання доступу до спільної папки файлів JSON
- Доступ access до ReportBasePath
назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"
Get-SecureBootRolloutStatus.ps1
Мета: Переглядайте перебіг виконання розгортання з будь-якої робочої станції.
Результат
- Стан запланованого завдання (виконується, готово, або зупинено)
- Число поточної хвилі
- Пристрої, на які призначено чи оновлено
- Індикатор візуального перебігу
- Зведення про заблоковані блоки
- Посилання на найновішу приладну дошку HTML
Використання
Примітка.
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Примітка.
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Примітка.
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedПримітка.
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesПримітка.
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogПримітка.
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardПараметри
Параметр Обов'язково? За замовчуванням Опис ReportBasePath (Базовий шлях звіту) Обов'язковий — Локальний шлях до звітів і файлів станів ShowLog (Журнал показу) Необов'язковий Хибність Відображення останніх записів журналу організатора ShowBlocked (Показатизаблоковано) Необов'язковий Хибність Відображення відомостей про заблоковані блоки ShowWaves Необов'язковий Хибність Журнал відображення хвиль Перегляд Необов'язковий 0 (вимкнуто) Інтервал автоматичного оновлення в секундах. Приклад: -Watch 30 оновлюється кожні 30 секунд. OpenDashboard (Відкрити приладну дошку); Необов'язковий Хибність Відкриття найновішої приладної дошки HTML у стандартному браузері Приклад виводу
Примітка.
==============================================================
СТАН РОЗГОРТАННЯ БЕЗПЕЧНОГО ЗАВАНТАЖЕННЯ
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Стан: виконується
Поточна хвиля: 5
Всього заплановано: 1250
Всього оновлено: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Run with -ShowBlocked для отримання подробицьLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"
Етапи розгортання E2E (короткий посібник)
У цьому розділі
Етап 1. Інфраструктура виявлення
Крок 1. Створення спільного доступу до колекції
Примітка.
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"Примітка.
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Комп'ютери домену","Змінити","Дозволити")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclКрок 2. Розгортання об'єкта групової політики виявлення
Примітка.
.\Deploy-GPO-SecureBootCollection.ps1 `
-DomainName "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Крок 3. Зачекайте, доки кінцеві точки не надішлють звіт (24–48 годин)
Примітка.
Перевірка перебігу колекціонування
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Кількість
повернутися до "Кроки розгортання E2E (короткий посібник)"
Етап 2. Організоване розгортання
Крок 4. Перевірка передумов
- Розгорнуто об'єкт групової політики виявлення (крок 2)
- Щонайменше 50+ звітів JSON для кінцевих точок
- Сервісний обліковий запис із правами Admin домену
- Сервер керування за допомогою PowerShell 5.1+
Крок 5. Розгортання Orchestrator як запланованого завдання
Примітка.
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Крок 6. Моніторинг перебігу виконання
Примітка.
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Крок 7. Перегляньте приладну дошку
Примітка.
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardКрок 8. Керування заблокованими блоками
Примітка.
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsПримітка.
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Виробник|Модель|BIOS"Крок 9. Перевірка виконання
Примітка.
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Стан має відображатися "Завершено"
повернутися до "Кроки розгортання E2E (короткий посібник)"
State FilesFiles
Організатор підтримує стан у ReportBasePath\RolloutState\:
| Файл | Опис |
|---|---|
| RolloutState.json | Історія хвиль, цільові пристрої, стан |
| BlockedBuckets.json | Відра, які потребують дослідження |
| DeviceHistory.json | Відстеження пристрою за іменем хоста |
| Orchestrator_YYYYMMDD.log | Журнали щоденних дій |
повернутися до "Кроки розгортання E2E (короткий посібник)"
Виправлення неполадок
У цьому розділі
Orchestrator Not Progressing
Перевірка запланованого завдання
Примітка.
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Перевірка журналів
Примітка.
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Перевірка актуальності даних JSON
Примітка.
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
назад до розділу "Виправлення неполадок"
Заблоковані сегменти
Список заблоковано.
Примітка.
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsПеревірте досяжність пристрою.
Перевірте наявність проблем із мікропрограмою.
Розблокування після розслідування.
назад до розділу "Виправлення неполадок"
GPO не застосовується
Перевірте, чи існує об'єкт групової політики.
Примітка.
Get-GPO -Name "SecureBoot-Rollout-Wave*"Перевірте фільтрування даних.
Примітка.
Get-GPPermission -Name "GPO-Name" -AllПереконайтеся, що комп'ютер належить до групи безпеки.
Застосуйте GPO до цілі.
Примітка.
gpupdate /force
назад до розділу "Виправлення неполадок"
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 12 травня 2026 р. | Раніше кожен файл зі зразком сценарію публікувався у вигляді окремих статей, з яких можна було скопіювати та вставити сценарій. Починаючи з оновлень Windows від 12 травня 2026 р. і пізніше, зразки сценаріїв розташовано в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої. |