本文介绍可用于查找和查看 BitLocker 恢复密码的工具。
原始 KB 数: 928202
对未安装任何 Service Pack 的 Windows Vista 的支持已于 2010 年 4 月 13 日结束。 若要继续接收适用于 Windows 的安全更新,请确保运行具有 Service Pack 2(SP2)的 Windows Vista。 有关详细信息,请参阅此Microsoft网页: 某些版本的 Windows 支持即将结束。
总结
本文介绍如何使用适用于 Active Directory 用户和计算机 工具的 BitLocker 恢复密码查看器。 BitLocker 驱动器加密功能是以下版本的 Windows Vista 附带的数据保护功能:
- Windows Vista 旗舰版
- Windows Vista 企业版
注意
本文还提供了有关可选使用基于 XP 的计算机的 BitLocker 恢复密码查看器的信息。
如果要获取适用于 Windows XP/Windows Server 2003 的 BitLocker 恢复密码查看器工具,请联系 Microsoft 支持部门 Professional。
可以使用此工具帮助在 Active Directory 域服务(AD DS)中查找基于 Windows Vista 的计算机的 BitLocker 驱动器加密恢复密码。 必须通过远程服务器管理员工具(RSAT)安装Active Directory 用户和计算机Microsoft管理控制台(MMC)管理单元。
注意
若要使用此工具检索 BitLocker 驱动器加密密码,必须使用具有足够权限的帐户。 必须是域管理员,或者域管理员必须授予足够的权限。
概述
BitLocker 恢复密码查看器允许查找和查看 AD DS 中存储的 BitLocker 恢复密码。 可以使用此工具来帮助恢复使用 BitLocker 加密的卷上存储的数据。 BitLocker 恢复密码查看器工具是Active Directory 用户和计算机 MMC 管理单元的扩展。 安装此工具后,可以检查计算机对象的“属性”对话框以查看相应的 BitLocker 恢复密码。 此外,可以右键单击域容器,然后跨 Active Directory 林 (多个域)中的所有域搜索 BitLocker 恢复密码。
在使用 BitLocker 恢复密码查看器工具查看 BitLocker 恢复密码之前,必须满足以下条件:
- 域必须配置为存储 BitLocker 恢复信息。
- 基于 Windows Vista 的计算机必须加入域。
- 必须在基于 Windows Vista 的计算机上启用 BitLocker 驱动器加密。
如何获取适用于 Windows XP 的 BitLocker 恢复密码查看器工具
若要获取适用于 Windows XP/Windows Server 2003 的 BitLocker 恢复密码查看器工具,请联系 Microsoft 支持部门 Professional。
若要在基于 Windows XP 的计算机上安装 BitLocker 恢复密码查看器工具,必须先安装最新版本的 Windows Server 2003 管理工具。
BitLocker 恢复密码查看器工具的安装权限
若要成功安装 BitLocker 恢复密码查看器工具,安装程序必须更新 Active Directory 配置数据库。 如果这两个属性尚不存在,安装程序会将以下两个属性添加到 AD DS。
| 对象类型 | 对象值 |
|---|---|
| Object | CN=computer-Display |
| 容器 | CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com |
| 属性名 | adminPropertyPages |
| 属性值 | 密码查看器的 GUID |
| 对象类型 | 对象值 |
|---|---|
| Object | CN=domainDNS-Display |
| 容器 | CN=LanguageID,CN=DisplaySpecifier,CN=Configuration,DC=example,DC=com |
| 属性名 | adminContextMenu |
| 属性值 | 密码查看器的 GUID |
注意
这些表使用以下值:
- 密码查看器的 GUID 为 2FB1B669-59EA-4F64-B728-05309F2C11C8。
- 英语语言 ID 为 409。 安装程序会更新所有语言 ID,让你在所有可用语言下运行 BitLocker 恢复密码查看器工具。
这些对 AD DS 的更改会影响林中的每个域。 必须具有企业管理员权限才能修改 Active Directory 配置数据库。 但是,在林中安装了 BitLocker 恢复密码查看器工具后,只需对 Active Directory 配置数据库具有读取权限,以便以后安装 BitLocker 恢复密码查看器工具。 默认情况下,所有域用户都具有 Active Directory 配置数据库的读取权限。
总之,必须具有以下权限才能安装 BitLocker 恢复密码查看器工具:
- 首次安装 BitLocker 恢复密码查看器工具时,必须具有企业管理员权限。 通过这些权限,可以修改 Active Directory 配置数据库。
- 下次安装 BitLocker 恢复密码查看器工具时,必须拥有域用户以及要安装 BitLocker 恢复密码查看器工具的计算机的本地管理员权限。
注册表信息
首次在域上运行此工具之前,请以企业管理员身份从 Windows 系统文件夹中运行以下命令:
regsvr32.exe BdeAducExt.dll
稍后在域中使用该工具时,无需运行Regsvr32.exe。
安装故障排除信息
Windows XP 和 Windows Vista 的安装权限相同。 使用以下信息帮助排查安装 BitLocker 恢复密码查看器工具时可能收到的安装错误消息:
错误消息 1
没有足够的存储可用于处理此命令。
如果在基于 Windows Vista 的计算机上安装了 BitLocker 恢复密码查看器工具的 Windows XP 版本,则会收到此错误消息。 必须在基于 Windows Vista 的计算机上安装基于 Windows Vista 的工具版本。
错误消息 2
你无权更新 Windows XP。 请联系你的系统管理员。
如果没有足够的权限在基于 Windows XP 的计算机上安装 BitLocker 恢复密码查看器工具,则会收到此错误消息。 必须具有本地管理员权限才能安装此工具。
错误消息 3
无法连接到域控制器。 必须以与网络建立连接的域用户身份登录。
如果满足以下条件之一,则会收到此错误消息:
- 计算机未连接到网络,或者计算机无法与域通信。
- 未以域用户身份登录到计算机。
错误消息 4
您没有执行此安装的权限。 需要企业管理权限。
尝试在林中安装 BitLocker 恢复密码查看器工具的第一个实例时,可能会收到此错误消息。 对于此工具的第一次安装,你必须对计算机显示对象和 AD DS 中的 domainDNS-Display 对象具有读取和写入权限。 此外,还必须对 Active Directory 配置数据库中这些对象的父容器具有读取和写入权限。 默认情况下,企业管理员组的成员对这些对象具有读取和写入权限。
错误消息 5
安装失败并出现错误代码:0x8007200A
尝试在域中执行 BitLocker 恢复密码查看器工具的第二个或更高版本安装时,可能会收到此错误消息。 若要执行此工具的第二个或更高版本的安装,必须至少对计算机显示对象和 AD DS 中的 domainDNS-Display 对象具有读取权限。 此外,还必须对 Active Directory 配置数据库中这些对象的父容器具有至少读取权限。
删除 BitLocker 恢复密码查看器工具
若要删除 BitLocker 恢复工具,请执行以下步骤:
- 单击“开始>运行”,键入appwiz.cpl,然后单击“确定”。
- 在 “添加或删除程序 ”对话框中,单击以选中“ 显示更新 ”复选框。
- 在“当前安装的程序”列表中,单击“BitLocker 恢复密码查看器”(对于Active Directory 用户和计算机)>“删除”。
- 如果收到一条消息,指出删除此更新时其他程序可能无法正常运行,请单击“是”以确认删除此更新。
注意
删除 BitLocker 恢复密码查看器工具不会阻止其他程序正常运行。
- 按照向导中的剩余步骤删除 BitLocker 恢复密码查看器工具。
使用信息
BitLocker 恢复密码查看器工具扩展了 Active Directory 用户和计算机 MMC 管理单元。 若要开始Active Directory 用户和计算机,请单击“启动>运行”,键入 dsa.msc,然后单击“确定”。
以下信息介绍如何使用 BitLocker 恢复密码查看器工具。
查看计算机的恢复密码
在Active Directory 用户和计算机中,找到并单击计算机所在的容器。 例如,单击“ 计算机” 容器。
有关如何创建保存的查询的详细信息,请访问以下Microsoft网站:
右键单击计算机对象,然后单击“ 属性”。
在 “ComputerName 属性 ”对话框中,单击“ BitLocker 恢复 ”选项卡以查看与特定计算机关联的 BitLocker 恢复密码。
复制计算机的恢复密码
- 按照“查看计算机的恢复密码”部分中的步骤查看 BitLocker 恢复密码。
- 在“ComputerName 属性”对话框的“BitLocker 恢复”选项卡上,右键单击要复制的 BitLocker 恢复密码,然后单击“复制详细信息”。
- 将复制的文本粘贴到目标位置。
查找恢复密码
在Active Directory 用户和计算机中,右键单击域容器,然后单击“查找 BitLocker 恢复密码”。
在“查找 BitLocker 恢复密码”对话框中,在“密码 ID”(前 8 个字符)框中键入恢复密码的前八个字符,然后单击“搜索”。
有关 BitLocker 恢复密码查看器工具的常见问题
问 1:BitLocker 恢复密码查看器工具如何帮助解锁加密卷?
A1:启动计算机到 BitLocker 恢复屏幕时,Windows Vista 会为你提供驱动器标签和密码 ID。 可以将此信息与 BitLocker 恢复密码查看器工具一起使用,以查找 AD DS 中存储的匹配 BitLocker 恢复密码。
问 2:是否有人可以使用 BitLocker 恢复密码查看器工具来查找恢复密码?
A2:否。 若要查看恢复密码,你必须是域管理员或者必须具有域管理员委派的权限。
如果某个用户没有足够的权限安装 BitLocker 恢复密码查看器工具,则该用户无法找到任何计算机的恢复密码。 此外,如果使用 BitLocker 恢复密码查看器工具搜索林中所有域之间的恢复密码,则结果仅从拥有足够权限的域返回。
注意
BitLocker 恢复密码查看器工具无法区分特定计算机不存在恢复密码的情况,以及您没有足够的权限查看特定计算机的恢复密码的情况。
问3:如果存储的恢复密码未显示在计算机的“ComputerName 属性”对话框的“BitLocker 恢复”选项卡上,该怎么办?
A3:通常,特定计算机的 BitLocker 恢复密码显示在该计算机的“ComputerName 属性”对话框的 BitLocker 恢复选项卡上。 但是,如果重命名了计算机,则可能无法找到正确的计算机。 这是因为驱动器标签信息仍包含原始计算机名称。 在这种情况下,必须使用密码 ID 信息来搜索恢复密码。
问 4:为什么只有用于搜索恢复密码位置的密码 ID 的前八个字符?
A4:这是一个设计决策,旨在帮助简化搜索密码的搜索,而不会牺牲搜索操作的准确性。 随机生成超过 100 万个密码 ID 的测试通常只为密码 ID 的前 8 个字符生成了 100 个重复项。 因此,即使搜索域中有 100 万个恢复密码,单个搜索操作也不太可能返回两个恢复密码。 此外,在同一搜索中将返回两个以上的恢复密码的可能性更大。
注意
建议检查返回的恢复密码,以确保它与用于执行搜索的整个密码 ID 匹配。 这是为了验证你是否获得了唯一的恢复密码。
问 5:跨所有域搜索恢复密码需要多长时间?
A5:通常,在林的所有域中搜索密码 ID 不需要超过几秒钟。 但是,如果满足以下条件,可能会遇到性能下降的情况:
- 全局目录服务器在域中找到恢复密码。
- 全局目录服务器无法连接到该特定域。
问 6:如何实现排查使用 BitLocker 恢复密码查看器工具时可能会遇到的问题?
A6:使用以下信息来帮助排查使用 BitLocker 恢复密码查看器工具时遇到的问题:
- 如果希望在找到恢复密码时找不到恢复密码,请验证是否有足够的权限查看恢复密码。
- 如果在搜索恢复密码时收到“无法检索恢复密码信息”错误消息,请验证全局目录服务器和其他域控制器是否可以正确通信。
有关 BitLocker 修复工具的详细信息,请访问以下Microsoft网站:
928201 如何使用 BitLocker 修复工具帮助从 Windows Vista 或 Windows Server 2008 中的加密卷恢复数据