Sauvegarde des bitlocker dans un txt
kelux Messages postés 3074 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour
je voulais faire un script pour envoyer dans un fichier texte le nom du pc et la clé bitlocker de celui-ci
un petit script comme celui-ci fonctionne mais pas si je passe par une GPO
set host=%COMPUTERNAME%
if exist %serveur%\bitlocker\%COMPUTERNAME%.txt GOTO EXIT
Hostname > %serveur%\bitlocker\%COMPUTERNAME%.txt
manage-bde -protectors C: -get >> %serveur%\bitlocker\%COMPUTERNAME%.txt
:exit
exit /B
Alors quand je lance le script en local avec clic droit " exécuter en administrateur ça fonctionne
Sur un serveur sur je fais un raccourci vers le fichier avec dans les options " exécuter en administrateur", ça marche
Mais dans la GPO, ont ne sectionne pas le lnk mais directement le bat et donc ça ne marche pas
Quelqu'un a une idée ?
- Bitlocker le fichier spécifié est introuvable
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
4 réponses
Hello,
Certaines réponses pour faire ce qui est demandé ont été proposées.
Par contre j'alerte sur le fait de récupérer dans un fichier TXT, en clair donc, les infos des clefs Bitlocker... c'est chaud de faire ça, c'est le meilleur moyen de diffuser les clefs de recupération.
Par contre, je comprends qu'il y a de l'AD, puisque GPO mentionné, pourquoi ne pas les stocker dans AD ces clefs ?
Puis à la limite (avec les droits qui vont bien), interroger les objets computers et leurs clefs attachées depuis AD.
De même il est possible de déléguer à certains opérateurs la consultation des clefs bitlocker dans AD (en plus de l'historique des clefs ...)
Salut,
Pour ma part, je n'utilise plus que le powershell pour mes scripts.
Et aucun souci dans mes GPO.
Le Logon script doit être placé dans le répertorie Sysvol désigné par la GPO en question.
A aucun moment on ne fait appel à un .lnk.
Bon courage.
Bonjour
Ouaip mais nos admins "nationaux" nous ont bloqué l’accès en écriture au sysvol...
Et comme je le disais le lnk me sert pour l'option lancer en administrateur, sinon le revois du bitloker ne se fait pas...
Mais si un script pw de 10 klm de long mais qui fonctionne peut peut me remplacer mes 3 simple petites lignes je suis aussi preneur.
Merci
Bonjour,
Pour que ton script s'exécute avec des droits admin, il faut le placer dans une GPO "machine".
Les GPO "machine" s'exécutent avec le compte "AUTORITE NT\SYSTEM" qui est supérieur au compte Administrateur : https://www.malekal.com/utilisateur-autorite-nt/
Chaque GPO contient deux parties, ou nœuds : une configuration utilisateur et une configuration ordinateur.
Quand je parle de GPO "machine" je parle en fait de la configuration ordinateur.