Áp dụng cho
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Ngày phát hành ban đầu: Ngày 16 tháng 3 năm 2026

ID KB: 5084567

Trong bài viết này

Tổng quan

Hướng dẫn này mô tả hệ thống triển khai tự động cho các bản cập nhật chứng chỉ Khởi động An toàn của Windows DB bằng cách sử chính sách nhóm sóng triển khai lũy tiến.

Tự động hóa Tự động phát hành Chứng chỉ Khởi động An toàn là một hệ thống dựa trên PowerShell triển khai các bản cập nhật chứng chỉ Windows Secure Boot DB cho các máy tham gia miền theo cách thức được kiểm soát tốt hơn.

quay lại đầu trang

Các tính năng Chính

Tính năng

Mô tả

Triển khai Tốt nghiệp

1 > 2 > 4 > 8... thiết bị cho mỗi bộ chứa

Tự động Chặn

Bộ chứa có thiết bị không truy cập được loại trừ

Triển khai GPO tự động

Kịch bản dàn nhạc đơn xử lý mọi thứ

Thực hiện Tác vụ đã lên lịch

Không yêu cầu lời nhắc tương tác

Giám sát trong thời gian thực

Trình xem trạng thái với thanh tiến độ

quay lại đầu trang 

Tham khảo Thiết Cập nhật Chứng chỉ

Trong phần này

Chính sách Nhóm Chính sách AvailableUpdatesPolicy

Vị trí đăng ký

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Tên

AvailableUpdatesPolicy

Giá trị

0x5944 (DWORD)

Đây là phím GPO/ADMX được kiểm soát:

  • Duy trì qua các lần khởi động lại

  • Được thiết lập bởi chính sách nhóm / MDM

  • Không gây ra vòng lặp lại (xóa thông qua ClearRolloutFlags)

  • Là chìa khóa chính xác cho việc triển khai theo chính sách

Tham khảo: Chính sách nhóm Đối tượng An toàn (GPO) của Khởi động An toàn cho các thiết bị Windows có bản cập nhật do bộ CNTT quản lý

quay lại "Certificate Cập nhật Settings Reference" 

WinCSFlags - Cờ Hệ thống Cấu hình Windows

Người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) được phát hành cùng với các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một tiện ích giao diện dòng lệnh (CLI) để truy vấn và áp dụng cấu hình Khởi động An toàn cục bộ cho một máy tính.

Tên tính năng

Khóa WinCS

Mô tả

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Bật khóa này cho phép cài đặt các chứng chỉ mới Khởi động An toàn do Microsoft cung cấp sau đây trên thiết bị của bạn.

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Tham khảo: API Hệ thống Cấu hình Windows (WinCS) để khởi động an toàn

quay lại "Certificate Cập nhật Settings Reference"

quay lại đầu trang

Kiến trúc

Dòng công việc kiến trúc

quay lại đầu trang 

Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp

Trong phần này

Tập lệnh cần thiết cho Giai đoạn 1

Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn

Tên Tập lệnh Mẫu

Mục đích 

Chạy Trên 

Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu 

Thu thập dữ liệu trạng thái thiết bị 

Mỗi điểm cuối (thông qua GPO) 

Tập lệnh Aggregate-SecureBootData.ps1 mẫu 

Tạo báo cáo và bảng điều khiển 

Quản trị việc 

Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu

Tự động tạo GPO cho việc thu thập dữ liệu 

Bộ điều khiển Miền 

Bảng điều khiển Trạng thái Chứng chỉ Khởi động An toàn

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Kiểm tra Cục bộ

Trước khi triển khai thông qua GPO, hãy kiểm tra tập lệnh tuyển tập trên một máy duy nhất để xác minh chức năng. 

  • Chạy Tập lệnh Bộ sưu tập cục bộ Mở lời nhắc PowerShell mức cao và thực thi:

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest" 

  • Xác minh Đầu ra JSON

    # View the collected data  Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Các trường Chính cần Xác minh  SecureBootEnabled – Nên là True hoặc False OverallStatus – Hoàn tất, ReadyForUpdate, NeedsData hoặc Lỗi BucketHash – Bộ chứa thiết bị để khớp dữ liệu tự tin SecureBootTaskEnabled - Hiển thị trạng thái của Tác vụ Cập nhật Khởi động An toàn.

  • Kiểm tra Tập lệnh Tổng hợp

    # Generate reports from collected data  & .\Aggregate-SecureBootCertStatus.ps1" '     -InputPath "C:\Temp\SecureBootTest" '     -OutputPath "C:\Temp\SecureBootReports" # Mở bảng điều khiển HTML   

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp" 

Thiết lập Chia sẻ Mạng

  • Tạo Chia sẻ Mạng Trên máy chủ tệp của bạn, tạo một chia sẻ chuyên dụng cho dữ liệu thu thập:

    # Run on file server as Administrator  $SharePath = "D:\SecureBootCollection" $ShareName = "SecureBootData$" # Tạo thư mục New-Item -ItemType Directory -Path $SharePath -Force # Tạo chia sẻ ẩn (hậu tố$ ẩn khỏi danh sách duyệt) New-SmbShare -Name $ShareName -Path $SharePath '     -Mô tả "Secure Boot Certificate Status Collection" '     -FullAccess "Quản trị viên miền" '     -ChangeAccess "Người dùng đã Xác thực"    

  • Đặt cấu hình Quyền NTFS

    # Get current ACL  $Acl = Get-Acl $SharePath # Cho phép Người dùng Đã xác thực viết tệp $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(     "Người dùng được Xác thực",     "CreateFiles,AppendData,WriteAttributes,WriteExtendedAttributes",     "ContainerInherit,ObjectInherit",     "Không có",     "Cho phép" ) $Acl.AddAccessRule($WriteRule) # Cho phép Người quản trị Miền toàn quyền kiểm soát (để tổng hợp) $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(     "Quản trị viên Miền",     "FullControl",     "ContainerInherit,ObjectInherit",     "Không có",     "Cho phép" ) $Acl.AddAccessRule($AdminRule) # Áp dụng quyền Set-Acl -Path $SharePath -AclObject $Acl       

  • Xác minh Quyền truy nhập Chia sẻ

    # Test from a domain-joined workstation  Test-Path "\\fileserver\SecureBootData$" # Nên trả về: True

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp" 

Triển khai GPO

Sử dụng tập lệnh tự động được cung cấp từ bộ điều khiển miền:

# Chạy trên Bộ điều khiển Miền dưới dạng Vùng Quản trị cho Phần OU tương tác – Được đề xuất # Thay thế "Contoso.com", "Contoso" bằng tên miền # Thay thế FILESERVER bằng tên máy chủ tệp.  Tập lệnh hiển thị danh sách các OU để triển khai GPO trên .\Deploy-GPO-SecureBootCollection.ps1 '     -DomainName "contoso.com" '     -AutoDetectOU '     -CollectionSharePath "\\FILESERVER\SecureBootLogs$" '     -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '     -Lên lịch "Hàng ngày" '     -ScheduleTime "14:00" '     -RandomDelayHours 4 

Tập lệnh này sẽ thực hiện các thao tác sau:

  • Tạo GPO mới với tên đã xác định

  • Sao chép tập lệnh tuyển tập sang SYSVOL để có độ khả dụng cao

  • Cấu hình Tập lệnh Khởi động Máy tính

  • Nối kết GPO để nhắm mục tiêu OU

  • Tùy chọn tạo tác vụ đã lên lịch cho tuyển tập định kỳ

Bảng sau đây cung cấp hướng dẫn về khoảng thời gian trì hoãn sẽ dựa trên quy mô đội tàu của bạn.

Kích thước hạm đội 

Khoảng thời gian trễ 

Thiết bị 1-10K 

4 giờ 

Thiết bị 10K-50K 

8 giờ 

Hơn 50K thiết bị 

12-24 giờ

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp" 

Tóm tắt Thiết đặt GPO

Cài đặt 

Vị trí 

Giá trị 

Tập lệnh Khởi động 

Tập lệnh Cấu → Máy tính 

Detect-SecureBootCertUpdateStatus.ps1 

Tham số Script 

(cùng) 

-OutputPath "\\server\share$" 

Chính sách Thực thi 

Cấu hình máy → Quản trị mẫu → PowerShell 

Cho phép ký cục bộ và từ xa 

Tác vụ đã lên lịch 

Tùy chọn Cấu hình → máy tính → tác vụ đã lên lịch 

Bộ sưu tập Hàng ngày/Hàng tuần

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp" 

Xác minh

  • Bắt buộc GPO Update trên Kiểm tra Machine

    ## On a test workstation  gpupdate /force # Khởi động lại máy khách để khởi động script nếu không sẽ kích hoạt theo lịch trình tiếp theo.  Restart-Computer -Force

  • Xác minh Thu thập Dữ liệu

    # Kiểm tra xem dữ liệu đã được thu thập (trên máy chủ tệp hoặc từ bất kỳ máy nào) Get-ChildItem "\\fileserver\SecureBootData$" |       Sort-Object-LastWriteTime -Giảm dần |       Select-Object -10 đầu tiên   # Xác minh nội dung JSON Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json 

  • Kiểm tra Ứng dụng GPO

    # Xác minh GPO được áp dụng cho máy tính gpresult /r /scope:computer | Select-String "SecureBoot" S Kịch bản cũng lưu một bản sao cục bộ cho dư thừa: Get-ChildItem "C:\ProgramData\SecureBootCollection\" 

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

quay lại đầu trang 

Giai đoạn 2: Bảo mật cập nhật chứng chỉ khởi động Orchestration Scripts

Quan trọng: Đảm bảo Phase1 được hoàn thành bao gồm thu thập dữ liệu trên mỗi điểm kết thúc để chia sẻ máy chủ từ xa.

Trong phần này

Tập lệnh cần thiết cho Giai đoạn 2

Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn

Tên tập lệnh mẫu

Mục đích 

Chạy trên 

Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu  

Thu thập dữ liệu trạng thái thiết bị 

Mỗi điểm cuối (thông qua GPO) 

Tập lệnh Aggregate-SecureBootData.ps1 mẫu

Tạo báo cáo và bảng điều khiển 

Quản trị việc 

Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu

Tự động tạo GPO cho việc thu thập dữ liệu 

Bộ điều khiển Miền 

Tập lệnh Start-SecureBootRolloutOrchestrator.ps1 mẫu

Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động để cài đặt chứng chỉ

Quản trị việc 

Tập lệnh Deploy-OrchestratorTask.ps1 mẫu

Triển khai tập lệnh Orchestrator dưới dạng tác vụ đã lên lịch để triển khai tự động

Bộ điều khiển Miền

Tập lệnh Get-SecureBootRolloutStatus.ps1 mẫu

Xem Trạng thái Triển khai Chứng chỉ Khởi động An toàn từ bất kỳ máy trạm nào

Quản trị máy trạm

Tập lệnh Enable-SecureBootUpdateTask.ps1 mẫu

 Bật Tác vụ Cập nhật Khởi động An toàn

Trên Điểm cuối nơi tác vụ bị tắt (Chỉ chạy một lần để bật tác vụ nếu tắt)

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc" 

Start-SecureBootRolloutOrchestrator.ps1

  • Mục đích: Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động.

  • Tác dụng

    • Nhận cuộc Aggregate-SecureBootData.ps1 trạng thái thiết bị

    • Tạo sóng triển khai bằng cách sử dụng tăng gấp hai số lũy tiến

    • Tạo GPO cho triển khai chứng chỉ bằng cách sử dụng một trong các phương pháp sau đây

      • Chính sách Nhóm khởi động an toàn AvailableUpdatesPolicy = 0x5944 (Mặc định)

      • Phương pháp WinCS (Tham số –UseWinCS)

    • Tạo nhóm bảo mật AD để nhắm mục tiêu

    • Thêm tài khoản máy tính vào nhóm bảo mật

    • Cấu hình lọc bảo mật GPO

    • Nối kết GPO để nhắm mục tiêu OU

    • Màn hình cho bộ chứa bị chặn (thiết bị không thể truy cập)

    • Tự động bỏ chặn khi thiết bị khôi phục

  • Cách sử dụng

    # Interactive (testing) .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 30

    # Interactive (testing), leveraging WinCS method .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 1440 -UseWinCS

  • Quản trị lệnh

    # List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Vĩ độ5520|BIOS1.2"

    # Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Tham số

    Tham số

    Mặc định

    Mô tả

    Tổng hợpInputPath

    Yêu cầu

    Đường dẫn UNC đến tệp JSON điểm cuối

    ReportBasePath

    Yêu cầu

    Đường dẫn cục bộ cho báo cáo và tiểu bang

    TargetOU

    Tên miền gốc

    OU để liên kết GPO

    WavePrefix

    SecureBoot-Rollout

    Tiền tố đặt tên GPO/nhóm

    MaxWaitHours

    72

    Giờ trước khi kiểm tra khả năng tiếp cận thiết bị

    PollIntervalMinutes

    1440

    Phút giữa các lần kiểm tra trạng thái

    DryRun

    False

    Hiển thị những gì sẽ xảy ra mà không có thay đổi

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"  

Deploy-OrchestratorTask.ps1

  • Mục đích: Triển khai dàn nhạc như một Tác vụ đã lên lịch của Windows.

  • Lợi ích

    • Không có lời nhắc bảo mật PowerShell (ExecutionPolicy Bypass)

    • Chạy trong nền liên tục

    • Không yêu cầu tương tác của người dùng

    • Tồn tại khởi động lại

  • Cách sử dụng

    • Triển khai với tài khoản dịch vụ miền (được đề xuất)

      • Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot"

      • Sử dụng phương pháp WinCS

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Triển khai bằng tài khoản HỆ THỐNG

      • Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports"

      • Sử dụng ứng dụng WinCS method.\Deploy-OrchestratorTask.ps1

            -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Yêu cầu về Tài khoản Dịch vụ

        • Tên Quản trị (đối với New-GPO, New-ADGroup, Add-ADGroupMember)

        • Đọc quyền truy nhập vào chia sẻ tệp JSON

        • Ghi quyền truy nhập vào ReportBasePath

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"  

Get-SecureBootRolloutStatus.ps1

  • Mục đích: Xem tiến độ triển khai từ bất kỳ máy trạm nào.

  • Nội dung hiển thị

    • Trạng thái tác vụ đã lên lịch (Đang chạy/Sẵn sàng/Đã dừng)

    • Số sóng hiện tại

    • Thiết bị được nhắm mục tiêu so với cập nhật

    • Thanh tiến trình trực quan

    • Tóm tắt bộ chứa bị chặn

    • Nối kết đến bảng điều khiển HTML mới nhất

  • Cách sử dụng

    # Quick status check .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    # Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    # View blocked buckets .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    # View wave history .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    # View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    # Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Đầu ra mẫu

    ==============================================================    TRẠNG THÁI TRIỂN KHAI KHỞI ĐỘNG AN TOÀN    2026-02-17 19:30:00 ======================================================

    Scheduled Task: Running

    ROLLOUT PROGRESS ---------------------------------------- Trạng thái: InProgress Sóng hiện tại: 5 Tổng mục tiêu: 1250 Tổng số Cập nhật: 847

    Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%

    BLOCKED BUCKETS: 2 buckets need attention   Chạy với -ShowBlocked để biết chi tiết

    LATEST DASHBOARD C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"

quay lại đầu trang 

Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)

Trong phần này

Giai đoạn 1: Cơ sở hạ tầng Phát hiện

  • Bước 1: Tạo Chia sẻ Bộ sưu tập

    # On file server $sharePath = "D:\SecureBootData" New-Item -ItemType Directory -Path $sharePath -Force New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    # Set NTFS permissions $acl = Get-Acl $sharePath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Máy tính Miền","Sửa đổi","Cho phép") $acl. AddAccessRule($rule) Set-Acl $sharePath $acl

  • Bước 2: Triển khai GPO Phát hiện

    .\Deploy-GPO-SecureBootCollection.ps1 `     -DomainName "contoso.com" '     -OUPath "OU=Workstations,DC=contoso,DC=com" '     -CollectionSharePath "\\server\SecureBootData$"

  • Bước 3: Chờ Điểm cuối Báo cáo (24-48 giờ)

    # Kiểm tra tiến độ thu thập (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Đếm

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)" 

Giai đoạn 2: Triển khai dàn nhạc

  • Bước 4: Điều kiện tiên quyết Kiểm tra

    • Phát hiện GPO đã triển khai (Bước 2)

    • Báo cáo điểm cuối JSON tối thiểu 50 điểm cuối

    • Tài khoản dịch vụ có quyền Quản trị Miền

    • Máy chủ quản lý với PowerShell 5.1+

  • Bước 5: Triển khai Orchestrator dưới dạng Tác vụ đã lên lịch

    .\Deploy-OrchestratorTask.ps1 `     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot"

  • Bước 6: Theo dõi Tiến độ

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Bước 7: Xem Bảng điều khiển

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Bước 8: Quản lý Bộ chứa bị Chặn

    # List blocked .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Mô hình|BIOS"

  • Bước 9: Xác minh hoàn thành

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Trạng thái sẽ hiển thị "Đã hoàn thành"

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"  

Tiểu bang Files

Orchestrator duy trì trạng thái trong ReportBasePath\RolloutState\:

Tệp

Mô tả

RolloutState.json

Lịch sử sóng, thiết bị được nhắm mục tiêu, trạng thái

BlockedBuckets.json

Buckets cần điều tra

DeviceHistory.json

Theo dõi thiết bị theo tên máy chủ

Orchestrator_YYYYMMDD.log

Nhật ký hoạt động hàng ngày

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)" 

quay lại đầu trang 

Khắc phục sự cố

Trong phần này

Orchestrator Not Progressing

  1. Kiểm tra tác vụ đã lên lịch

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Kiểm tra nhật ký

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Xác minh tính năng làm mới dữ liệu JSON

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

quay lại "Khắc phục sự cố" 

Bộ chứa Bị chặn

  1. Danh sách bị chặn.

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Điều tra khả năng tiếp cận thiết bị.

  3. Kiểm tra sự cố vi chương trình.

  4. Bỏ chặn sau khi điều tra.

quay lại "Khắc phục sự cố"  

GPO Không Áp dụng

  1. Xác minh GPO tồn tại.

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Kiểm tra bộ lọc bảo mật.

    Get-GPPermission -Name "GPO-Name" -All

  3. Xác minh máy tính nằm trong nhóm bảo mật.

  4. Áp dụng GPO cho mục tiêu.

    gpupdate /force

quay lại "Khắc phục sự cố"

quay lại đầu trang 

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng