Зразок посібника з автоматизації безпечного завантаження E2E

Застосовується до
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Примітка.

Дата початкової публікації: 16 березня 2026 р.
Дата останнього оновлення: 12 травня 2026 р.
Ідентифікатор бази знань: 5084567

У цій статті

Огляд

У цьому посібнику описано систему автоматизованого розгортання для оновлення сертифікатів Windows Secure Boot DB за допомогою Групова політика та етапних хвиль розгортання.

Автоматизація розгортання сертифікатів безпечного завантаження – це система на основі PowerShell, яка контрольовано розгортає оновлення сертифіката Windows Secure Boot DB на комп'ютерах, приєднаних до домену.

догори

Основні функції

Функція Опис
Поетапне розгортання > 1 2 > 4 8>... Пристрої на ковш
Автоматичне блокування Виключаються відра з недосяжними пристроями
Автоматизоване розгортання об'єкта групової політики Сценарій одинарного оркестровщика обробляє все
Виконання запланованого завдання Інтерактивні підказки не потрібні
Моніторинг у реальному часі Засіб перегляду стану з індикатором перебігу

догори

Довідник із параметрів Оновлення сертифікатів

У цьому розділі

Доступна політика оновлень групової політики

Розташування реєстру. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ім’я AvailableUpdatesPolicy (ДоступністьUpdatesPolicy)
Value (Значення) 0x5944 (DWORD)

Це клавіша, керована GPO/ADMX, яка:

  • Зберігається після перезавантаження
  • Задається Групова політика / MDM
  • Не викликає повторних циклів (очищено за допомогою ClearRolloutFlags)
  • правильний ключ для розгортання на основі політики;

Reference: Group PolicyГрупова політика Метод безпечного завантаження об'єктів (GPO) на пристроях Windows з оновленнями, керованими ІТ-фахівцями

назад до "Довідник із параметрів сертифіката Оновлення"

WinCSFlags – системні позначки конфігурації Windows

Адміністратори доменів можуть також використовувати систему конфігурації Windows (WinCS), випущену з оновленнями ОС Windows, щоб розгортати оновлення безпечного завантаження в клієнтах Windows і на серверах Windows, підключених до домену. Він складається з утиліти інтерфейсу командного рядка (CLI), яка запитує та застосовує конфігурації безпечного завантаження локально до комп'ютера.

Назва функції Ключ WinCS Опис
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Увімкнувши цей ключ, ви зможете інсталювати на пристрої такі нові сертифікати безпечного завантаження, як надані корпорацією Майкрософт.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Довідка: API системи конфігурації Windows (WinCS) для безпечного завантаження

назад до "Довідник із параметрів сертифіката Оновлення"

догори

Архітектура

Робочий цикл архітектури

догори

Етап 1. Виявлення та моніторинг стану на рівні підприємства

У цьому розділі

Сценарії, необхідні для Фази 1

Зразок сценаріїв збору даних інвентаризації безпечного завантаження

Примітка.

ВАЖЛИВО Наведені нижче статті зі зразками сценаріїв застаріли. Якщо ви інсталювали оновлення Windows, випущене 12 травня 2026 р. або пізніше, зразки сценаріїв можна знайти в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.

Приклад імені сценарію Мета Підтримувані ОС
Зразок сценарію Detect-SecureBootCertUpdateStatus.ps1 Збирає дані про стан пристрою Кожна кінцева точка (за допомогою GPO)
Зразок сценарію Aggregate-SecureBootData.ps1 Створює звіти та приладні дошки Admin workstation
Зразок сценарію Deploy-GPO-SecureBootCollection.ps1 Автоматизує створення об'єкта групової політики для збору даних Контролер домену
Зразок виводу з наведених вище сценаріїв Фази 1

Приладна дошка стану сертифіката безпечного завантаження

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

Локальне тестування

Перед розгортанням за допомогою GPO, протестуйте сценарій колекції на одному комп'ютері, щоб перевірити функціональність.

  • Локальне виконання сценарію колекції

    Відкрийте командний рядок PowerShell у режимі адміністратора та виконайте такі дії:

    Примітка.

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Перевірка вихідних даних JSON

    Примітка.

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Ключові поля для перевірки  
    SecureBootEnabled – має бути істинним або хибним
    OverallStatus – Complete, ReadyForUpdate, NeedsData або Error
    BucketHash – Блок пристрою для зіставлення довірчих даних
    SecureBootTaskEnabled - Показує статус завдання оновлення безпечного завантаження.

  • Тестовий сценарій агрегації

    Примітка.

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Відкрийте приладну дошку HTML

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

Налаштування спільного доступу до мережі

  • Створення спільної мережевої папки

    На файловому сервері створіть виділену спільну папку для збирання даних.

    Примітка.

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Створити папку

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Створити приховану спільну папку (суфікс $ приховує зі списку перегляду)

    New-SmbShare -name $ShareName -path $SharePath '
        -Опис "Колекція станів сертифікатів безпечного завантаження" '
        -FullAccess "Domain Admins" '
        -ChangeAccess "Domain Computers"

  • Настроювання дозволів NTFS

    Примітка.

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Дозволити автентифікованим користувачам записувати файли

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Комп'ютери домену" та
    "Змінити",
        "ContainerInherit,ObjectInherit",
        "Немає",
        "Allow" (Дозволити)
    )
    $Acl.AddAccessRule($WriteRule)
     

    Надання адміністраторам домену повного доступу (для агрегації)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Адміністратори доменів",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Немає",
        "Allow" (Дозволити)
    )
    $Acl.AddAccessRule($AdminRule)
     

    Застосування дозволів

    Set-Acl -path $SharePath -AclObject $Acl

  • Перевірка спільного доступу

    Примітка.

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Має повернутися: True

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

Розгортання об'єкта групової політики

Використовуйте сценарій автоматизації, отриманий від контролера домену:

Примітка.

Run on domain controller as domain Admin for interactive OU Section – Recommended

Замініть "Contoso.com", "Contoso" на ім'я домену

Замініть слово FILESERVER на ім'я файлового сервера.  Сценарій показує список OU для розгортання GPO

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Графік "Щодня" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Цей сценарій виконує такі дії:

  • Створює об'єкт групової політики із заданою назвою
  • Копіює сценарій збірки до SYSVOL для високої доступності
  • Настроює сценарій запуску комп'ютера.
  • Пов'язує GPO з цільовим об'єктом OU
  • Створює заплановане завдання для періодичного збирання

У таблиці нижче наведено вказівки щодо того, як довго триватиме затримка, виходячи з розміру вашого автопарку.

Розмір автопарку Діапазон затримки
Пристрої 1-10 тис. 4 години
Пристрої 10К-50К 8 годин
50K+ пристроїв 12-24 години

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

Зведення настройок об'єкта групової політики

Параметр Розташування Value (Значення)
Сценарій запуску Конфігурація комп'ютера → сценарії Detect-SecureBootCertUpdateStatus.ps1
Параметри сценарію (те саме) -OutputPath "\\server\share$"
Політика виконання Шаблони → Admin конфігурації комп'ютера → PowerShell Дозволити локальні та віддалені підписання
Заплановане завдання Конфігурація комп'ютера → параметри → заплановані завдання Щоденний/щотижневий збір

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

Перевірка

  • Примусове оновлення GPO на Test Machine

    Примітка.

    ## On a test workstation 
    gpupdate /force
     

    Перезавантажте клієнтські комп'ютери, щоб виконати сценарій запуску, інакше він запуститься за наступного розкладу.

    Restart-Computer - Сила

  • Перевірка збирання даних

    Примітка.

    Перевірте, чи було зібрано дані (на файловому сервері або на будь-якому комп'ютері)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Descending |
        Select-Object -Перші 10
     

    Перевірка вмісту JSON

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Перевірити програму GPO

    Примітка.

    Перевірка застосування об'єкта групової політики до комп'ютера

    Select-String "SecureBoot" (Безпечне завантаження)
    Сценарій також зберігає локальну копію для резервування:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

повернутися до "Етапу 1. Виявлення та моніторинг стану на рівні підприємства"

догори

Етап 2. Сценарії оркестрації оновлення сертифіката безпечного завантаження

Важливо

Переконайтеся, що етап 1 завершено, включно зі збором даних про кожну кінцеву точку для спільних ресурсів віддаленого сервера.

У цьому розділі

Сценарії, потрібні для Фази 2

Зразок сценаріїв збору даних інвентаризації безпечного завантаження

Примітка.

ВАЖЛИВО Наведені нижче статті зі зразками сценаріїв застаріли. Якщо ви інсталювали оновлення Windows, випущене 12 травня 2026 р. або пізніше, зразки сценаріїв можна знайти в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.

Sample script name Мета Пристрої, що підтримуються
Зразок сценарію Detect-SecureBootCertUpdateStatus.ps1 Збирає дані про стан пристрою Кожна кінцева точка (за допомогою GPO)
Зразок сценарію Aggregate-SecureBootData.ps1 Створює звіти та приладні дошки Admin workstation
Зразок сценарію Deploy-GPO-SecureBootCollection.ps1 Автоматизує створення об'єкта групової політики для збору даних Контролер домену
Зразок сценарію Start-SecureBootRolloutOrchestrator.ps1 Повністю автоматизована, безперервна оркестрація з автоматизованим розгортанням GPO для встановлення сертифікатів Admin workstation
Зразок сценарію Deploy-OrchestratorTask.ps1 Розгортає сценарій Orchestrator як заплановане завдання для автоматичного розгортання Контролер домену
Зразок сценарію Get-SecureBootRolloutStatus.ps1 Перегляд сертифіката безпечного завантаження Стан розгортання з будь-якої робочої станції AdminAdmin Workstation
Зразок сценарію Enable-SecureBootUpdateTask.ps1 Вмикає завдання оновлення безпечного завантаження У кінцевих точках, у яких завдання вимкнуто (щоб увімкнути завдання, якщо його вимкнуто, виконайте лише один раз)

назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"

Start-SecureBootRolloutOrchestrator.ps1

  • Мета: Повністю автоматизована, безперервна оркестрація з автоматизованим розгортанням GPO.

  • Результат

    • Виклики Aggregate-SecureBootData.ps1 для стану пристрою

    • Генерує хвилі розгортання з використанням поступового подвоєння.

    • Створює об'єкт групової політики для розгортання сертифіката одним із таких методів

      • Безпечне завантаження Групова політика AvailableUpdatesPolicy = 0x5944 (За замовчуванням)
      • Метод WinCS (параметр –UseWinCS)
    • Створює групи безпеки AD для націлювання

    • Додає облікові записи комп'ютерів до груп безпеки

    • налаштовує фільтрування системи безпеки (GPO).

    • Пов'язує GPO з цільовим об'єктом OU

    • Монітори заблокованих сегментів (недоступних пристроїв)

    • Автоматично розблоковується після відновлення пристроїв

  • Використання

    Примітка.

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Примітка.

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • AdminAdmin commands

    Примітка.

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Примітка.

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Широта 5520|BIOS1.2"

    Примітка.

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Параметри

    Параметр За замовчуванням Опис
    AggregationInputPath (Шлях збирання) Обов’язковий UNC-шлях до файлів JSON на кінцевій точці
    ReportBasePath (Базовий шлях звіту) Обов’язковий Local path for reports and state
    TargetOU (Цільовий_оу) Domain root (Корінь домену) Ou для зв'язування об'єктів групової політики
    WavePrefix (Префікс хвилі) SecureBoot-Rollout Префікс іменування груп (GPO/груп)
    MaxWaitHours (Максимальна кількість годин очікування) 72 Кількість годин до перевірки досяжності пристрою
    PollIntervalMinutes (Інтервал опитування) 1440 Кількість хвилин між перевірками стану
    Сухий запуск Хибність Показати, що було б без змін

    Примітка.

    Примітка щодо PollIntervalMinutes: При безпосередньому запуску оркестратора значення за замовчуванням становить 1440 хвилин (24 години). Якщо використовується Deploy-OrchestratorTask.ps1, значення за замовчуванням складає 30 хвилин. Сценарій розгортання передає власне значення за замовчуванням організатору. Використовуйте 30 хвилин для активного розгортання, 1440 для моніторингу технічного обслуговування.

    Необов'язкові параметри

    Параметр За замовчуванням Опис
    UseWinCS Хибність Використовуйте метод WinCS замість об'єкта групової політики AvailableUpdatesPolicy
    WinCSKey F33E0C8E002 Ключ WinCS для конфігурації безпечного завантаження
    AllowListPath (Шлях до списку) Немає Шлях до файлу з іменами хостів, які потрібно ДОЗВОЛИТИ для цільового або пілотного розгортання. Підтримує .txt або .csv.
    AllowADGroup Немає Група безпеки AD облікових записів комп'ютера ДОЗВОЛИТИ. Приклад: "SecureBoot-Pilot-Computers"
    ExclusionListPath (Шлях списку виключення) Немає Шлях до файлу з іменами хостів, які потрібно ВИКЛЮЧИТИ з розгортання (пристрої VIP або керівники)
    ExcludeADGroup Немає Групи безпеки AD облікових записів комп'ютерів, які слід виключити. Приклад: "VIP-комп'ютери"
    ListBlockedBuckets (Заблоковані сегменти) Хибність Відображення заблокованих блоків пристрою
    UnblockBucket (Розблокуватикове поле) Немає Розблокування певного блоку. Формат: "Виробник|Модель|BIOS"
    Unblock All (Розблокувати все) Хибність Розблокування всіх блоків пристрою

назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"

Deploy-OrchestratorTask.ps1

  • Мета: Розгортає організатора як заплановане завдання Windows.

  • Переваги

    • Відсутність запитів системи безпеки PowerShell (обхід ExecutionPolicy)
    • Безперервно працює у фоновому режимі
    • Взаємодія з користувачем не потрібна
    • Переживає перезавантаження
  • Використання

    • Розгортання з обліковим записом служби домену (рекомендовано)

      • Use AvailableUpdates Group PolicyГрупова політика (Default Method)

        Примітка.

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Використання методу WinCS

        Примітка.

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Розгортання з обліковим записом SYSTEM

      • Use AvailableUpdates Group PolicyГрупова політика (Default Method)

        Примітка.

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Використання method.\Deploy-OrchestratorTask.ps1WinCS

        Примітка.

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Вимоги до службового облікового запису

        • Domain AdminAdmin (для New-GPO, New-ADGroup, Add-ADGroupMember)
        • Читання доступу до спільної папки файлів JSON
        • Доступ access до ReportBasePath

назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"

Get-SecureBootRolloutStatus.ps1

  • Мета: Переглядайте перебіг виконання розгортання з будь-якої робочої станції.

  • Результат

    • Стан запланованого завдання (виконується, готово, або зупинено)
    • Число поточної хвилі
    • Пристрої, на які призначено чи оновлено
    • Індикатор візуального перебігу
    • Зведення про заблоковані блоки
    • Посилання на найновішу приладну дошку HTML
  • Використання

    Примітка.

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Примітка.

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Примітка.

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Примітка.

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Примітка.

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Примітка.

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Параметри

    Параметр Обов'язково? За замовчуванням Опис
    ReportBasePath (Базовий шлях звіту) Обов'язковий Локальний шлях до звітів і файлів станів
    ShowLog (Журнал показу) Необов'язковий Хибність Відображення останніх записів журналу організатора
    ShowBlocked (Показатизаблоковано) Необов'язковий Хибність Відображення відомостей про заблоковані блоки
    ShowWaves Необов'язковий Хибність Журнал відображення хвиль
    Перегляд Необов'язковий 0 (вимкнуто) Інтервал автоматичного оновлення в секундах. Приклад: -Watch 30 оновлюється кожні 30 секунд.
    OpenDashboard (Відкрити приладну дошку); Необов'язковий Хибність Відкриття найновішої приладної дошки HTML у стандартному браузері
  • Приклад виводу

    Примітка.

    • ==============================================================
         СТАН РОЗГОРТАННЯ БЕЗПЕЧНОГО ЗАВАНТАЖЕННЯ
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Стан: виконується
    Поточна хвиля: 5
    Всього заплановано: 1250
    Всього оновлено: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Run with -ShowBlocked для отримання подробиць
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

назад до "Етапу 2: сценарії оркестрації оновлення сертифіката безпечного завантаження"

догори

Етапи розгортання E2E (короткий посібник)

У цьому розділі

Етап 1. Інфраструктура виявлення

  • Крок 1. Створення спільного доступу до колекції

    Примітка.

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Примітка.

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Комп'ютери домену","Змінити","Дозволити")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Крок 2. Розгортання об'єкта групової політики виявлення

    Примітка.

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Крок 3. Зачекайте, доки кінцеві точки не надішлють звіт (24–48 годин)

    Примітка.

    Перевірка перебігу колекціонування

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Кількість

повернутися до "Кроки розгортання E2E (короткий посібник)"

Етап 2. Організоване розгортання

  • Крок 4. Перевірка передумов

    • Розгорнуто об'єкт групової політики виявлення (крок 2)
    • Щонайменше 50+ звітів JSON для кінцевих точок
    • Сервісний обліковий запис із правами Admin домену
    • Сервер керування за допомогою PowerShell 5.1+
  • Крок 5. Розгортання Orchestrator як запланованого завдання

    Примітка.

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Крок 6. Моніторинг перебігу виконання

    Примітка.

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Крок 7. Перегляньте приладну дошку

    Примітка.

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Крок 8. Керування заблокованими блоками

    Примітка.

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Примітка.

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Виробник|Модель|BIOS"

  • Крок 9. Перевірка виконання

    Примітка.

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Стан має відображатися "Завершено"

повернутися до "Кроки розгортання E2E (короткий посібник)"

State FilesFiles

Організатор підтримує стан у ReportBasePath\RolloutState\:

Файл Опис
RolloutState.json Історія хвиль, цільові пристрої, стан
BlockedBuckets.json Відра, які потребують дослідження
DeviceHistory.json Відстеження пристрою за іменем хоста
Orchestrator_YYYYMMDD.log Журнали щоденних дій

повернутися до "Кроки розгортання E2E (короткий посібник)"

догори

Виправлення неполадок

У цьому розділі

Orchestrator Not Progressing

  1. Перевірка запланованого завдання

    Примітка.

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Перевірка журналів

    Примітка.

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Перевірка актуальності даних JSON

    Примітка.

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

назад до розділу "Виправлення неполадок"

Заблоковані сегменти

  1. Список заблоковано.

    Примітка.

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Перевірте досяжність пристрою.

  3. Перевірте наявність проблем із мікропрограмою.

  4. Розблокування після розслідування.

назад до розділу "Виправлення неполадок"

GPO не застосовується

  1. Перевірте, чи існує об'єкт групової політики.

    Примітка.

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Перевірте фільтрування даних.

    Примітка.

    Get-GPPermission -Name "GPO-Name" -All

  3. Переконайтеся, що комп'ютер належить до групи безпеки.

  4. Застосуйте GPO до цілі.

    Примітка.

    gpupdate /force

назад до розділу "Виправлення неполадок"

догори

Журнал змін

Змінення дати Змінити опис
12 травня 2026 р. Раніше кожен файл зі зразком сценарію публікувався у вигляді окремих статей, з яких можна було скопіювати та вставити сценарій. Починаючи з оновлень Windows від 12 травня 2026 р. і пізніше, зразки сценаріїв розташовано в папці %systemroot%\SecureBoot\ExampleRolloutScripts на вашому пристрої.