Active Directory組策略

當(dāng)確認(rèn)安裝了MBAM的代理程序，在每一部準(zhǔn)備要集中管理的Windows客戶端之后，接下來就是要想辦法通過Active Directory組策略，來管理這些已部署下去的代理程序執(zhí)行策略。

請(qǐng)先到Microsoft官方網(wǎng)站上，下載最新MDOP系統(tǒng)管理模板。

解壓縮后，請(qǐng)展開至MDOP_ADMX_TemplatesMicrosoft Desktop Optimization Pack路徑下。然后在這里可以看到很多不同程序包專用的組策略模板活頁夾，在開啟MBAM2.5SP1活頁夾后，先將BitLockerManagement.admx與BitLockerUser Management.admx這兩個(gè)模板檔，復(fù)制到域控制器（DC）的SYSVOL共享路徑下的DNS域名PolicuesPolicyDefinitions活頁夾中，然后再將位于zh-Hant子活頁夾中的BitLockerManagement.adml與BitLockerUser Management.adml兩個(gè)語言程序包，復(fù)制到相對(duì)的zh-Hant子活頁夾之中即可。

在完成了MBAM組策略模板文件的存放之后，就可以開啟“組策略管理編輯器”。請(qǐng)?jiān)凇坝?jì)算機(jī)設(shè)置→策略→系統(tǒng)管理模板”節(jié)點(diǎn)下，會(huì)看到多出了一個(gè)MDOP MBAM（BitLocker Management）節(jié)點(diǎn)，其下便有四大主要策略設(shè)置的分類活頁夾，其分別是：客戶端管理、操作系統(tǒng)磁盤、卸除式磁盤，以及固定磁盤。

請(qǐng)展開至“客戶端管理”節(jié)點(diǎn)下，然后找到“設(shè)置MBAM服務(wù)”并開啟，如圖3所示，此策略的設(shè)置與啟用，可協(xié)助管理人員將Windows客戶端的BitLocker加密修復(fù)信息的金要修復(fù)服務(wù)備分，有效避免因遺失密鑰信息導(dǎo)致加密數(shù)據(jù)遺失。

圖3 設(shè)置MBAM服務(wù)

請(qǐng)?jiān)谕瓿伞癕BAM修復(fù)服務(wù)端點(diǎn)”與“MBAM狀態(tài)報(bào)告服務(wù)端點(diǎn)”網(wǎng)址設(shè)置，以及選取要存儲(chǔ)的BitLocker修復(fù)信息類型之后，選取“已啟用”并點(diǎn)擊“確定”即可。關(guān)于其中兩個(gè)默認(rèn)網(wǎng)址字段的輸入，只要從“說明”字段之中復(fù)制過來即可。