Stockage des mots de passe de récupération chiffrement bitlocker dans AD Samba4 ?

Venez ici partager vos astuces et aides autour de Samba4
ee68
Messages : 11
Inscription : 08 févr. 2017 - 13:24

13 mars 2019 - 15:52

Bonjour,

Quelqu'un d'entre vous à t'il réussi à stocker les mots de passe de récupération de chiffrement BitLocker des PC dans son AD Samba4 ?

De mon côté j'ai l'impression qu'il manque le schéma BitLocker dans mon AD Samba4 :
Je suis en Samba version 4.8.5 et en Domaine fonctionnel 2008 R2

Pourtant je n'ai pas de message d'erreur quand j'essaye de sauvegarder la clé dans l'AD :

manage-bde.exe -protectors -adbackup C: -id {xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}
Chiffrement de lecteur BitLocker : outil de configuration version 10.0.17134
Copyright (C) 2013 Microsoft Corporation. Tous droits réservés.

Les informations de récupération ont été sauvegardées avec succès dans Active Directory.


Mais aucun onglet "Récupération BitLocker" ne s'affiche dans "Utilisateurs et Ordinateurs de l'AD" depuis Windows pour la machine en question et rien de plus également avec ldbedit de la machine

Pour info mon AD est en Samba depuis la version 4.1 et mis à jour au fil du temps, ce qui peut expliquer peut-être l'absence du schéma Bitlocker ? avec aussi un Domaine fonctionnel 2003 de base élevé en 2008R2

Côté AD Microsoft le schéma Bitlocker pouvait être ajouté :
https://docs.microsoft.com/en-us/previo ... 5(v=ws.10)
Mais impossible de télécharger le schéma "BitLockerTPMSchemaExtension.ldf" pour essayer de l'ajouter à mon AD
https://kidcartouche.blogspot.com/2013/ ... amba4.html

Merci d'avance pour vos futurs réponses
Eric
ee68
Messages : 11
Inscription : 08 févr. 2017 - 13:24

26 mars 2019 - 10:46

Bonjour,

Du nouveau :
=> Je dispose bien du schema Bitlocker pour mon AD !

AD-samba4-bitlocker-schema.png
AD-samba4-bitlocker-schema.png (2.73 Kio) Consulté 7208 fois

=> Les mot de passe Bitlocker des volumes chiffrées des machines sont bien stockés ( à condition d'appliquer la GPO qui active le stockage des mot de passes Bitlocker sur l'AD)

bitlocker-password.png
bitlocker-password.png (2.6 Kio) Consulté 7208 fois
bitlocker-password2.png
bitlocker-password2.png (6 Kio) Consulté 7208 fois
=> Je peux aussi lister tous les mots de passe Bitlocker depuis le serveur

# ldbsearch -H /var/lib/samba/private/sam.ldb '(objectclass=msFVE-RecoveryInformation)' msFVE-RecoveryPassword

Les nouveaux mots de passe sont donc bien automatiquement stockés dans l'AD dès qu'un nouveau volume d'un PC du domaine est chiffré
Aussi bien depuis la machine en faisant clic droit Activer Bitlocker qu'en ligne de commande à distance : manage-bde -on C: -RecoveryPassword -SkipHardwareTest -Cn ComputerName

Par contre je n'ai toujours pas l'onglet "Récupération BitLocker" dans les propriétés de la machine avec les outils ADUC que ce soit windows 10 ou windows7 (fonctionnalités avancées cochées)
Verrouillé