BitLocker Recovery Key nachträglich ins AD speichern

Falls der Schritt in der SCCM Task Sequence mal nicht funktioniert gibt es verschiedene Möglichkeiten den BitLocker Recovery Key nachträglich ins AD zu speichern.
Zum einen könnte man dies über den klassischen manage-bde Befehl machen, oder der einfachere Weg ist über PowerShell.
Sowohl der manage-bde als auch die interne SCCM Funktion haben in den Test nicht immer 100% funktioniert.

Deswegen kann man das folgende “Script” einfach per Package oder per Application auf den Clients als Required Deployment im Anschluss verteilen.

1
2
3
4
$drive = Get-BitLockerVolume | ?{$_.KeyProtector | ?{$_.KeyProtectorType -eq 'RecoveryPassword'}} | select -f 1
$key = $drive | select -exp KeyProtector | ?{$_.KeyProtectorType -eq 'RecoveryPassword'} | select -f 1
Backup-BitLockerKeyProtector $drive.MountPoint $key.KeyProtectorId
Write-Host "Backing up drive $drive, key $($key.KeyProtectorId), password $($key.RecoveryPassword)"

Dieses “Script” hat in der Praxis eine deutlich höhere Erfolgsrate gezeigt als die beiden anderen Methoden.

Posted in BitLocker, PowerShell and tagged , .

Leave a Reply