none
Windows 10 Powershell Start-up Skript für BitLocker-Laufwerksverschlüsselung RRS feed

  • Frage

  • Hallo zusammen,


    ich habe derzeit ein Projekt in dem die Zielsetzung ist durch ein Powershell Skript dass als Startup Skript in einer GPO eingerichtet wurde automatisiert durch verschieben des Clients in entsprechende AD OU die Verschlüsselung zu starten. Gleiches Prinzip gilt für die Enttschlüsselung.


    Ich hätte zwar gerne mit Auszügen aus der Projektdokumentation und Bildern einen besseren Überblick verschafft aber dass würde den Rahmen dieser Forum Eintrags sprengen, daher ein kurzer Überblick was bisher gemacht wurde:


    Clients die Verschlüsselt werden sollen sind alle Windows 10. Der AD- Server läuft aktuell noch auf Windows Server 2012.


    - Einrichtung einer neuen OU Bitlocker mit den unter OUs Encryption und Decryption (Auf den Ordner Bitlocker wurde ein block inheritance gesetzt um die Vererbung anderer GPOs zu blockieren)

    - Einrichtung einer neuen GPO Bitlocker_Test die entsprechend verlinkt wurde (Bei den GPO Settings Verschlüsselungsstärke, Verschlüsselungsmethode, Speicherung der Wiederherstellungsinformationen im AD, TPM etc. habe ich mich an die Empfohlenen Microsoft Einstellungen gehalten)

    - Anpassung der Execution Policy -Allsigned (Skripte wurden entsprechend signiert und erfolgreich getestet)


    Die Skripte liegen auf dem AD- Server unter C:\Windows\SYSVOL\sysvol\domainname\scripts\startup (NETLOGON Ordner)


    Für Testzwecke habe ich in unserem TEST AD dass ganze nachgebaut wie es auch Produktiv zum Einsatz kommen soll. Dort habe ich bereits alle möglichen verschiedenen Varianten (Speicherort der Skripte, Execution Policy auf unrstricted, testen mit einfachen und unsignierten PS Skripten) versucht und stoße immer wieder auf den gleichen Fehler in den Windows Eventlogs. Siehe anbei:

    (Wird ergänzt sobald mein Konto hier geprüft wurde und ich Bilder und links einfügen kann)

    Die Skripte an sich funktionieren Einwandfrei und wurden bereits vielfach signiert und unsigniert getestet. Ich freue mich auf jede konstruktive Rückmeldung :-)


    Danke und viele Grüße,

    Lenard



    Freitag, 27. März 2020 12:01

Alle Antworten

  • Dort habe ich bereits alle möglichen verschiedenen Varianten (Speicherort der Skripte, Execution Policy auf unrstricted, testen mit einfachen und unsignierten PS Skripten) versucht und stoße immer wieder auf den gleichen Fehler in den Windows Eventlogs. Siehe anbei:

    (Wird ergänzt sobald mein Konto hier geprüft wurde und ich Bilder und links einfügen kann)



    Bis Du uns verrätst, mit welchem Fehler Du genau konfroniert wirst, wird es schwierig, hier konstruktives Feedback zu geben ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 27. März 2020 14:20
  • Hallo Evgenij,

    ich hoffe die Schriftliche Zusammenfassung hilft weiter.

    Level: error

    Source: Group Policy

    General: Logon script failed

    GPO Name: EU_EDC_Bitlocker_Encryption_TEST

    GPO File System Path: ...

    Script Name: .. domainname\netlogon\skriptname

    Event-ID 1130

    ErrorCode: 4294770688

    Sobald ich die Möglichkeit habe Bilder und Links zu posten werde ich diese noch nachreichen. Danke!

    Montag, 30. März 2020 11:23
  • Moin,

    also:

    1. Wenn Du das Skript durch eine Zeile ersetzt, die immer klappen sollte (z.B. Get-Process explorer), funktioniert es dann?

    2. Hätte der User, der sich da einloggt, theoretisch die Rechte, diese Aktionen durchzuführen? Sollte das Skript nicht eher, wie in Deinem allerersten Satz auch richtig angedeutet, als Startup-Skript laufen?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 30. März 2020 12:29
  • Hallo Evgenij,

    1. auch einfache unsignierte funktionieren nicht und erzeugen den gleichen Fehler.

    2. getestet habe ich primär mit meinem Admin Account, dieser hat die benötigten Berechtigungen. Die Powershell Skripte sind als Start-up Skript eingerichtet.

    Viele Grüße,

    Lenard

    Dienstag, 31. März 2020 08:41
  • Hi Lenard,

    Um Probleme mit Startup Skripten und Berechtigungen zu vermeiden, wie wäre es die skripte als einmalige Geplante Aufgabe auszuführen? Die Startupskripte laufen jedes Mal an.

    Zum Thema Vererbungen Blockieren in GPOs, Tipp aus der Praxis und als Microsoft Trainer: Nicht gut... Lieber die Einstellungen überschreiben. Reduziert Probleme bei der Fehleranalyse und im Betrieb.


    Viele Grüße / Kind regards
    Fabian Niesen
    ---
    Infrastrukturhelden.de (German) - Infrastructureheroes.org (English)
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own
    My post are provided as they are. Usage is on your own risk.
    Please consider to mark this entry as helpful or solution if it helps or solved your issue.

    Sonntag, 5. April 2020 20:08