次の方法で共有

Active Directory ユーザーとコンピューター ツール用の BitLocker 回復パスワード ビューアーを使用して Windows Vista の回復パスワードを表示する方法

この記事では、BitLocker 回復パスワードの検索と表示に使用できるツールについて説明します。

元の KB 番号: 928202

サービス パックがインストールされていない Windows Vista のサポートは、2010 年 4 月 13 日に終了しました。 Windows のセキュリティ更新プログラムを引き続き受け取る場合は、Windows Vista Service Pack 2 (SP2) を実行していることを確認してください。 詳細については、次の Microsoft Web ページを参照してください。 Support は一部のバージョンの Windows で終了します

まとめ

この記事では、Active Directory ユーザーとコンピューター ツールの BitLocker 回復パスワード ビューアーを使用する方法について説明します。 BitLocker ドライブ暗号化機能は、次のバージョンの Windows Vista に含まれるデータ保護機能です。

  • Windows Vista Ultimate
  • Windows Vista Enterprise

Note

この記事では、XP ベースのコンピューターでの BitLocker 回復パスワード ビューアーのオプションの使用に関する情報も提供します。
Windows XP/Windows Server 2003 の BitLocker 回復パスワード ビューアー ツールを入手する場合は、Microsoft サポート Professional にお問い合わせください。

このツールを使用すると、Active Directory ドメイン Services (AD DS) で Windows Vista ベースのコンピューターの BitLocker ドライブ暗号化回復パスワードを見つけることができます。 Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) スナップインは、リモート サーバー管理者ツール (RSAT) を使用してインストールする必要があります。

Note

このツールを使用して BitLocker ドライブ暗号化パスワードを取得するには、十分な権限を持つアカウントを使用する必要があります。 ドメイン管理者であるか、ドメイン管理者から十分な権限を付与されている必要があります。

概要

BitLocker 回復パスワード ビューアーを使用すると、AD DS に格納されている BitLocker 回復パスワードを見つけて表示できます。 このツールを使用すると、BitLocker を使用して暗号化されたボリュームに格納されているデータを回復できます。 BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター MMC スナップインの拡張機能です。 このツールをインストールしたら、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスを調べて、対応する BitLocker 回復パスワードを表示できます。 さらに、ドメイン コンテナーを右クリックし、Active Directory forest (複数のドメイン) 内のすべてのドメインで BitLocker 回復パスワードを検索できます。

BitLocker 回復パスワード ビューアー ツールを使用して BitLocker 回復パスワードを表示するには、次の条件が満たされている必要があります。

  • BitLocker 回復情報を格納するようにドメインを構成する必要があります。
  • Windows Vista ベースのコンピューターをドメインに参加させる必要があります。
  • Windows Vista ベースのコンピューターで BitLocker ドライブ暗号化が有効になっている必要があります。

Windows XP 用 BitLocker 回復パスワード ビューアー ツールを取得する方法

Windows XP/Windows Server 2003 の BitLocker 回復パスワード ビューアー ツールを入手するには、Microsoft サポート Professional にお問い合わせください。

BitLocker 回復パスワード ビューアー ツールを Windows XP ベースのコンピューターにインストールするには、最初に最新バージョンの Windows Server 2003 管理ツールをインストールする必要があります。

BitLocker 回復パスワード ビューアー ツールのインストール権限

BitLocker 回復パスワード ビューアー ツールを正常にインストールするには、インストール プログラムで Active Directory 構成データベースを更新する必要があります。 インストール プログラムは、これら 2 つの属性がまだ存在しない場合に、次の 2 つの属性を AD DS に追加します。

オブジェクトの種類 オブジェクト値
Object CN=computer-Display
コンテナー CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Attribute name adminPropertyPages
属性値 パスワード ビューアーの GUID
オブジェクトの種類 オブジェクト値
Object CN=domainDNS-Display
コンテナー CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com
Attribute name adminContextMenu
属性値 パスワード ビューアーの GUID

Note

これらのテーブルでは、次の値を使用します。

  • パスワード ビューアーの GUID は 2FB1B669-59EA-4F64-B728-05309F2C11C8 です。
  • 英語の LanguageID は 409 です。 インストール プログラムは、すべての言語 ID を更新して、使用可能なすべての言語で BitLocker 回復パスワード ビューアー ツールを実行できるようにします。

AD DS に対するこれらの変更は、フォレスト内のすべてのドメインに影響します。 Active Directory 構成データベースを変更するには、エンタープライズ管理者権限が必要です。 ただし、BitLocker 回復パスワード ビューアー ツールがフォレストにインストールされた後は、後で BitLocker 回復パスワード ビューアー ツールをインストールするために Active Directory 構成データベースに対する読み取りアクセス許可のみを持つ必要があります。 既定では、すべてのドメイン ユーザーに Active Directory 構成データベースの読み取りアクセス許可があります。

要約すると、BitLocker 回復パスワード ビューアー ツールをインストールするには、次の権限が必要です。

  • BitLocker 回復パスワード ビューアー ツールを初めてインストールするときは、エンタープライズ管理者権限が必要です。 これらの権限を使用すると、Active Directory 構成データベースを変更できます。
  • 次に BitLocker 回復パスワード ビューアー ツールをインストールするときは、BitLocker 回復パスワード ビューアー ツールをインストールするコンピューターに対するローカル管理者権限と共に、ドメイン ユーザーの権限が必要です。

レジストリ情報

ドメインでこのツールを初めて実行する前に、エンタープライズ管理者として Windows システム フォルダーから次のコマンドを実行します。

regsvr32.exe BdeAducExt.dll

後でドメインでツールを使用する場合、Regsvr32.exeを実行する必要はありません。

インストールのトラブルシューティング情報

インストール権限は、Windows XP と Windows Vista で同じです。 BitLocker 回復パスワード ビューアー ツールのインストール時に表示される可能性があるインストール エラー メッセージのトラブルシューティングに役立つ情報を次に示します。

エラー メッセージ 1

このコマンドを処理するのに十分なストレージがありません。

Windows Vista ベースのコンピューターに Windows XP バージョンの BitLocker 回復パスワード ビューアー ツールをインストールした場合、このエラー メッセージが表示されます。 Windows Vista ベースのコンピューターに Windows Vista ベースのバージョンのツールをインストールする必要があります。

エラー メッセージ 2

Windows XP を更新する権限がありません。 システム管理者に連絡してください。

Windows XP ベースのコンピューターに BitLocker 回復パスワード ビューアー ツールをインストールするための十分な権限がない場合は、このエラー メッセージが表示されます。 このツールをインストールするには、ローカル管理者権限が必要です。

エラー メッセージ 3

ドメイン コントローラーに接続できません。 ネットワークに接続されているドメイン ユーザーとしてログインする必要があります。

次のいずれかの条件に該当する場合、このエラー メッセージが表示されます。

  • コンピューターがネットワークに接続されていないか、コンピューターがドメインと通信できません。
  • ドメイン ユーザーとしてコンピューターにログオンしていません。

エラー メッセージ 4

このインストールを実行するためのアクセス許可がありません。 エンタープライズ管理者権限が必要です。

BitLocker 回復パスワード ビューアー ツールの最初のインスタンスをフォレストにインストールしようとすると、このエラー メッセージが表示されることがあります。 このツールを初めてインストールする場合は、computer-Display オブジェクトと AD DS の domainDNS-Display オブジェクトに対する読み取りおよび書き込みアクセス許可が必要です。 また、Active Directory 構成データベース内のこれらのオブジェクトの親コンテナーに対する読み取りと書き込みのアクセス許可が必要です。 既定では、エンタープライズ管理者グループのメンバーには、これらのオブジェクトに対する読み取りと書き込みのアクセス許可があります。

エラー メッセージ 5

エラー コードでインストールに失敗しました: 0x8007200A

BitLocker 回復パスワード ビューアー ツールの 2 回目以降のインストールをドメインで実行しようとすると、このエラー メッセージが表示されることがあります。 このツールの 2 回目以降のインストールを実行するには、少なくとも、コンピューター表示オブジェクトと AD DS の domainDNS-Display オブジェクトに対する読み取りアクセス許可が必要です。 また、少なくとも Active Directory 構成データベース内のこれらのオブジェクトの親コンテナーに対する読み取りアクセス許可が必要です。

BitLocker 回復パスワード ビューアー ツールを削除するには

BitLocker 回復ツールを削除するには、次の手順に従います。

  1. Start>Run をクリックし、「appwiz.cpl」と入力して、[OK] をクリック
  2. [ プログラムの追加と削除 ] ダイアログ ボックスで、[ 更新プログラムの表示 ] チェック ボックスをオンにします。
  3. 現在インストールされているプログラム一覧で、[BitLocker 回復パスワード ビューアー ( Active Directory ユーザーとコンピューター)][>Remove をクリックします。
  4. この更新プログラムを削除すると、他のプログラムが正しく実行されない可能性があることを示すメッセージが表示された場合は、[ Yes をクリックして、この更新プログラムの削除を確認します。

    Note

    BitLocker 回復パスワード ビューアー ツールを削除しても、他のプログラムが正しく実行されません。

  5. ウィザードの残りの手順に従って、BitLocker 回復パスワード ビューアー ツールを削除します。

使用状況に関する情報

BitLocker 回復パスワード ビューアー ツールは、MMC スナップインActive Directory ユーザーとコンピューターを拡張します。 Active Directory ユーザーとコンピューターを開始するには、Start>Run をクリックし、「dsa.msc」と入力して、[OK] をクリック

次の情報では、BitLocker 回復パスワード ビューアー ツールの使用方法について説明します。

コンピューターの回復パスワードを表示するには

  1. Active Directory ユーザーとコンピューターで、コンピューターが配置されているコンテナーを見つけてクリックします。 たとえば、 Computers コンテナーをクリックします。

    保存されたクエリを作成する方法の詳細については、次の Microsoft Web サイトを参照してください。

    保存されたクエリを作成する

  2. コンピューター オブジェクトを右クリックし、 Properties をクリックします。

  3. [ ComputerName のプロパティ ] ダイアログ ボックスで、[ BitLocker 回復 ] タブをクリックして、特定のコンピューターに関連付けられている BitLocker 回復パスワードを表示します。

コンピューターの回復パスワードをコピーするには

  1. BitLocker 回復パスワードを表示するには、「コンピューターの回復パスワードを表示するには」セクションの手順に従います。
  2. [ComputerName のプロパティ] ダイアログ ボックスの [BitLocker 回復] タブで、コピーする BitLocker 回復パスワードを右クリックし、[Copy の詳細をクリックします。
  3. コピーしたテキストをコピー先の場所に貼り付けます。

回復パスワードを見つけるには

  1. Active Directory ユーザーとコンピューターで、ドメイン コンテナーを右クリックし、[Find BitLocker 回復パスワードをクリックします。

  2. [BitLocker 回復パスワードの] ダイアログ ボックスで、[パスワード ID (最初の 8 文字)] ボックスに回復パスワードの最初の 8 文字入力し、[検索] をクリックします。

    [BitLocker 回復パスワードの検索] が選択されている [Active Directory ユーザーとコンピューター] ウィンドウのスクリーンショット。

BitLocker 回復パスワード ビューアー ツールについてよく寄せられる質問

Q1: BitLocker 回復パスワード ビューアー ツールは、暗号化されたボリュームのロック解除にどのように役立ちますか?

A1: BitLocker 回復画面にコンピューターを起動すると、Windows Vista にはドライブ ラベルとパスワード ID が表示されます。 この情報を BitLocker 回復パスワード ビューアー ツールと共に使用して、AD DS に格納されている一致する BitLocker 回復パスワードを見つけることができます。

Q2: 誰でも BitLocker 回復パスワード ビューアー ツールを使用して回復パスワードを見つけることができますか?

A2: いいえ。 回復パスワードを表示するには、ドメイン管理者であるか、ドメイン管理者によってアクセス許可を委任されている必要があります。

十分な権限を持たないユーザーが BitLocker 回復パスワード ビューアー ツールをインストールした場合、そのユーザーはコンピューターの回復パスワードを見つけることができません。 また、BitLocker 回復パスワード ビューアー ツールを使用してフォレスト内のすべてのドメインの回復パスワードを検索する場合、十分な権限を持つドメインからのみ結果が返されます。

Note

BitLocker 回復パスワード ビューアー ツールでは、特定のコンピューターに回復パスワードが存在しない状況と、特定のコンピューターの回復パスワードを表示するための十分な権限がない状況を区別できません。

Q3: コンピューターの [ComputerName プロパティ] ダイアログ ボックスの [BitLocker 回復] タブに保存されている回復パスワードが表示されない場合はどうなりますか?

A3: 通常、特定のコンピューターの BitLocker 回復パスワードは、そのコンピューターの [ComputerName プロパティ] ダイアログ ボックスの [BitLocker 回復] タブに表示されます。 ただし、コンピューターの名前が変更されると、正しいコンピューターが見つからない可能性があります。 これは、ドライブ ラベル情報に元のコンピューター名がまだ含まれているためです。 このような場合は、パスワード ID 情報を使用して回復パスワードを検索する必要があります。

Q4: 回復パスワードの場所の検索に使用されるパスワード ID の最初の 8 文字だけがなぜですか?

A4: これは、検索操作の精度を損なうことなく回復パスワードの検索を簡略化することを目的とした設計上の決定です。 100 万を超えるパスワード ID をランダムに生成したテストでは、通常、パスワード ID の最初の 8 文字に対して 100 個の重複しか生成されません。 そのため、検索ドメインに 100 万の回復パスワードがある場合でも、1 回の検索操作で 2 つの回復パスワードが返される可能性は低くなります。 さらに、同じ検索で複数の回復パスワードが返される可能性はさらに低くなります。

Note

返された回復パスワードを調べて、検索の実行に使用したパスワード ID 全体と一致していることを確認することをお勧めします。 これは、一意の回復パスワードを取得したことを確認するためです。

Q5: すべてのドメインで回復パスワードを検索するのにどのくらいの時間がかかりますか?

A5: 一般に、フォレストのすべてのドメインでパスワード ID を検索するのに数秒以上かかります。 ただし、次の条件に該当する場合は、パフォーマンスが低下する可能性があります。

  • グローバル カタログ サーバーは、ドメイン内の回復パスワードを検索します。
  • グローバル カタログ サーバーは、その特定のドメインに接続できません。

Q6: 操作方法 BitLocker 回復パスワード ビューアー ツールを使用するときに発生する可能性がある問題のトラブルシューティングを行いますか。

A6: BitLocker 回復パスワード ビューアー ツールを使用するときに発生する問題のトラブルシューティングに役立つ次の情報を使用します。

  • 回復パスワードが見つからない場合は、回復パスワードを表示するための十分な権限があることを確認してください。
  • 回復パスワードを検索するときに "回復パスワード情報を取得できません" というエラー メッセージが表示された場合は、グローバル カタログ サーバーとその他のドメイン コントローラーが正しく通信できることを確認します。

BitLocker 修復ツールの詳細については、次の Microsoft Web サイトを参照してください。

928201 BitLocker 修復ツールを使用して、Windows Vista または Windows Server 2008 で暗号化されたボリュームからデータを回復する方法