BitLocker ist eine Festplattenverschlüsselung des Unternehmens Microsoft, die serverseitig ab Windows Server 2008 und clientseitig in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 enthalten ist.

BitLocker speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Verschlüsselungsprozesses im Klartext auf einem Datenträger und in gemanagten Umgebungen zusätzlich in das Active Directory.

Gelegentlich kommt es vor, dass das Bitlocker Kennwort nich in das AD übertragen wird. Besonders ärgerlich ist das, wenn es wirklich gebraucht wird. Um sicherzustellen, dass der BitlockerKey zur entschlüsselung auch im AD abgelegt wird, kann man das ADBackup auch Manuell starten. Dazu sind jedoch einige Schritte notwenig.

In einer mit administratorrechten gestarteten Kommandozeile muss dazu folgender Befehl eingegeben werden:

Anschließend erhält man eine Numerische ID, hier rot markiert

Numerische Bitlocker-ID

Diese muss nun in den nächsten Befehl integriert werden, um das AD-Backup des Schlüssels zu starten.

Eine automatisierung dieses Schritts war nicht einfach möglich, da die ID des ersten Befehls nicht als Wert, sondern eingebunden als ein String zurückgegeben wird.

Dieses Skript funktioniert mit Sicherheit nur auf einem Deutschen Windows, bei dem das Laufwerk C: mit dem Bitlocker Key verschlüsselt ist. Ich habe es bisher nicht auf einem englischen oder anderssprachigen Windows getestet, dort können aber zusätzliche Zeichen oder andere Strings vorhanden sein.

Ich habe mittels Powershell nun einige String-Umformungen gemacht, sodass ich das ganze als ein Powershell Script laufen lassen kann.

Diese kann nun per GPO verteilt werden oder in ein Logon Skript eingebettet werden um sicherzustellen, dass der aktuelle Bitlocker-Key im AD gespeichert wird. Um das Skript zu testen, unkommentiert einfach die #pause Zeile. Dann wird die ID geschrieben und ihr könnt sehen, ob diese passt oder abbrechen, falls nicht.