如何使用適用於 Active Directory 使用者和電腦工具的 BitLocker 修復密碼查看器來檢視 Windows Vista 的修復密碼

2025-01-15

本文說明可用來尋找及檢視 BitLocker 修復密碼的工具。

原始 KB 編號： 928202

未安裝任何 Service Pack 的 Windows Vista 支援已於 2010 年 4 月 13 日終止。若要繼續接收 Windows 的安全性更新，請確定您執行的是 Windows Vista Service Pack 2 （SP2）。如需詳細資訊，請參閱此Microsoft網頁：某些 Windows 版本的支持即將結束。

摘要

本文說明如何使用 BitLocker 修復密碼查看器進行 Active Directory 使用者和電腦工具。 BitLocker 磁碟驅動器加密功能是下列 Windows Vista 版本隨附的數據保護功能：

Windows Vista Ultimate
Windows Vista Enterprise

注意

本文也提供 XP 電腦之 BitLocker 修復密碼查看器的選擇性使用相關信息。
如果您想要取得適用於 Windows XP/Windows Server 2003 的 BitLocker 修復密碼查看器工具，請連絡 Microsoft 支援服務 Professional。

您可以使用此工具，協助在 Active Directory 網域服務（AD DS）中尋找 Windows Vista 型電腦的 BitLocker 磁碟驅動器加密修復密碼。 Active Directory 使用者和電腦 Microsoft管理主控台（MMC）嵌入式管理單元必須透過遠端伺服器系統管理員工具（RSAT）安裝。

注意

若要使用此工具來擷取 BitLocker 磁碟驅動器加密密碼，您必須使用具有足夠許可權的帳戶。您必須是網域系統管理員，或必須由網域管理員授與足夠的許可權。

概觀

BitLocker 修復密碼查看器可讓您找出並檢視儲存在 AD DS 中的 BitLocker 修復密碼。您可以使用此工具來協助復原儲存在已使用 BitLocker 加密之磁碟區上的數據。 BitLocker 修復密碼查看器工具是 #DCD92537C86814234B3EA9CB3882F4E05 MMC 嵌入式管理單元的延伸模組。安裝此工具之後，您可以檢查計算機物件的 [屬性] 對話方塊，以檢視對應的 BitLocker 修復密碼。此外，您可以以滑鼠右鍵按兩下網域容器，然後搜尋 Active Directory 樹系中所有網域的 BitLocker 修復密碼（多個網域）。

您必須先符合下列條件，才能使用 BitLocker 修復密碼查看器工具來檢視 BitLocker 修復密碼：

網域必須設定為儲存 BitLocker 修復資訊。
Windows Vista 型電腦必須加入網域。
Windows Vista 型電腦上必須啟用 BitLocker 磁碟驅動器加密。

如何取得 Windows XP 的 BitLocker 修復密碼查看器工具

若要取得 Windows XP/Windows Server 2003 的 BitLocker 修復密碼查看器工具，請連絡 Microsoft 支援服務 Professional。

若要在 Windows XP 型電腦上安裝 BitLocker 修復密碼查看器工具，您必須先安裝最新版本的 Windows Server 2003 管理工具。

BitLocker 修復密碼查看器工具的安裝許可權

若要成功安裝 BitLocker 修復密碼查看器工具，安裝程式必須更新 Active Directory 組態資料庫。如果這兩個屬性尚未存在，安裝程式會將下列兩個屬性新增至 AD DS。

Object type	物件值
Object	CN=computer-Display
容器	CN=LanguageID，CN=DisplaySpecifier，CN=Configuration，DC=example，DC=com
Attribute name	adminPropertyPages
屬性值	密碼查看器的 GUID

Object type	物件值
Object	CN=domainDNS-Display
容器	CN=LanguageID，CN=DisplaySpecifier，CN=Configuration，DC=example，DC=com
Attribute name	adminContextMenu
屬性值	密碼查看器的 GUID

注意

這些資料表會使用下列值：

密碼查看器的 GUID 是 2FB1B669-59EA-4F64-B728-05309F2C11C8。
英文語言標識碼 為 409。安裝程式會更新所有語言識別碼，讓您在所有可用的語言下執行 BitLocker 修復密碼查看器工具。

AD DS 的這些變更會影響樹系中的每個網域。您必須具有企業系統管理員許可權，才能修改 Active Directory 組態資料庫。不過，在樹系中安裝 BitLocker 修復密碼查看器工具之後，您只需要擁有 Active Directory 組態資料庫的讀取許可權，才能稍後安裝 BitLocker 修復密碼查看器工具。根據預設，所有網域使用者都有 Active Directory 組態資料庫的讀取許可權。

總而言之，您必須具備下列許可權，才能安裝 BitLocker 修復密碼查看器工具：

當您第一次安裝 BitLocker 修復密碼查看器工具時，您必須具有企業系統管理員許可權。這些許可權可讓您修改 Active Directory 組態資料庫。
當您下次安裝 BitLocker 修復密碼檢視器工具時，您必須擁有網域使用者的許可權，以及您要安裝 BitLocker 修復密碼檢視器工具之電腦的本機系統管理員許可權。

登錄資訊

第一次在網域上執行此工具之前，請以企業系統管理員身分從 Windows 系統資料夾執行下列命令：

regsvr32.exe BdeAducExt.dll

當您稍後在網域上使用此工具時，就不需要執行Regsvr32.exe。

安裝疑難解答資訊

Windows XP 和 Windows Vista 的安裝許可權相同。使用下列資訊來協助針對安裝 BitLocker 修復密碼查看器工具時可能收到的安裝錯誤訊息進行疑難解答：

錯誤訊息 1

沒有足夠的記憶體可用來處理此命令。

如果您在以 Windows Vista 為基礎的電腦上安裝 BitLocker 修復密碼查看器工具的 Windows XP 版本，就會收到此錯誤訊息。您必須在 Windows Vista 型電腦上安裝以 Windows Vista 為基礎的工具版本。

錯誤訊息 2

您沒有更新 Windows XP 的許可權。請連絡您的系統管理員。

如果您沒有足夠的許可權在 Windows XP 型電腦上安裝 BitLocker 修復密碼查看器工具，您會收到此錯誤訊息。您必須具有本機系統管理員許可權才能安裝此工具。

錯誤訊息 3

無法連線到域控制器。您必須以具有網路連線的網域使用者身分登入。

如果下列其中一個條件成立，您會收到此錯誤訊息：

計算機未連線到網路，或計算機無法與網域通訊。
您未以網域使用者身分登入電腦。

錯誤訊息 4

您沒有執行此安裝的許可權。需要企業系統管理許可權。

當您嘗試在樹系中安裝 BitLocker 修復密碼查看器工具的第一個實例時，可能會收到此錯誤訊息。針對此工具的第一次安裝，您必須具有計算機顯示對象的讀取和寫入許可權，以及 AD DS 中的 domainDNS-Display 物件。此外，您必須具有 Active Directory 組態資料庫中這些物件的父容器的讀取和寫入許可權。根據預設，Enterprise Administrators 群組的成員具有這些對象的讀取和寫入許可權。

錯誤訊息 5

安裝失敗，錯誤碼為：0x8007200A

當您嘗試在網域中執行 BitLocker 修復密碼查看器工具的第二個或更新版本安裝時，可能會收到此錯誤訊息。若要執行此工具的第二個或更新版本安裝，您必須至少具有計算機顯示物件和 AD DS 中 domainDNS-Display 物件的讀取許可權。此外，您至少必須具有 Active Directory 組態資料庫中這些物件的父容器讀取許可權。

拿掉 BitLocker 修復密碼查看器工具

若要移除 BitLocker Recovery 工具，請遵循下列步驟：

按兩下 [啟動>執行]，輸入appwiz.cpl，然後按兩下 [確定]。
在 [ 新增或移除程式] 對話框中，按下以選取 [ 顯示更新] 複選框。
在 [目前已安裝的程式] 清單中，按兩下 [BitLocker 修復密碼查看器] [Active Directory 使用者和電腦][>移除]。
如果您收到訊息指出如果您移除此更新，其他程式可能無法正確執行，請按兩下 [ 是 ] 以確認移除此更新。

注意

拿掉 BitLocker 修復密碼查看器工具並不會防止其他程式正確執行。
請遵循精靈中的其餘步驟來移除 BitLocker 修復密碼查看器工具。

使用方式資訊

BitLocker 修復密碼查看器工具會擴充 Active Directory 使用者和電腦 MMC 嵌入式管理單元。若要啟動 Active Directory 使用者和電腦，請按兩下 [啟動>執行]，輸入 dsa.msc，然後按兩下 [確定]。

下列資訊說明如何使用 BitLocker 修復密碼查看器工具。

若要檢視計算機的修復密碼

在 Active Directory 使用者和電腦中，找出並按兩下電腦所在的容器。例如，按兩下 [ 計算機] 容器。

如需如何建立已儲存查詢的詳細資訊，請流覽下列Microsoft網站：

建立已儲存的查詢
以滑鼠右鍵按兩下電腦物件，然後按下 [ 屬性]。
在 [ ComputerName 屬性 ] 對話框中，按兩下 [BitLocker 復原 ] 索引標籤，以檢視與特定電腦相關聯的 BitLocker 修復密碼。

複製電腦的修復密碼

請遵循一節中的步驟來檢視 BitLocker 修復密碼。
在 [ComputerName 屬性] 對話方塊的 [BitLocker 修復] 索引標籤上，以滑鼠右鍵按下您要複製的 BitLocker 修復密碼，然後按兩下 [複製詳細數據]。
將複製的文字貼到目的地位置。

尋找修復密碼

在 Active Directory 使用者和電腦中，以滑鼠右鍵按兩下網域容器，然後按兩下 [尋找 BitLocker 修復密碼]。
在 [尋找 BitLocker 修復密碼] 對話框中，在 [密碼標識符]（前 8 個字元）方塊中輸入修復密碼的前八個字元，然後按兩下 [搜尋]。

BitLocker 修復密碼查看器工具的常見問題

問1：BitLocker 修復密碼查看器工具如何協助解除鎖定加密的磁碟區？

A1：當您啟動計算機到 BitLocker 修復畫面時，Windows Vista 會提供磁碟驅動器卷標和密碼識別符。您可以使用這項資訊與 BitLocker 修復密碼查看器工具，找出儲存在 AD DS 中的相符 BitLocker 修復密碼。

問2：是否有人可以使用 BitLocker 修復密碼查看器工具來找出修復密碼？

A2：否。若要檢視修復密碼，您必須是網域系統管理員，或是網域系統管理員已委派給您權限。

如果沒有足夠的許可權的用戶會安裝 BitLocker 修復密碼查看器工具，該使用者就無法找到任何電腦的修復密碼。此外，如果您使用 BitLocker 修復密碼查看器工具來搜尋樹系中所有網域之間的復原密碼，結果只會從您擁有足夠許可權的網域傳回。

注意

BitLocker 修復密碼查看器工具無法區分特定電腦沒有修復密碼的情況，以及您沒有足夠的許可權可檢視特定計算機的修復密碼的情況。

問3：如果儲存的修復密碼未出現在計算機的 [ComputerName 屬性] 對話方塊的 [BitLocker Recovery] 索引卷標上，該怎麼辦？

A3：通常，特定計算機的 BitLocker 修復密碼會出現在該計算機的 [ComputerName 屬性] 對話方塊的 [BitLocker 修復] 索引卷標上。不過，如果計算機已重新命名，您可能找不到正確的計算機。這是因為磁碟驅動器標籤資訊仍然包含原始電腦名稱。在此情況下，您必須使用密碼識別碼資訊來搜尋修復密碼。

問4：為什麼只有用來搜尋修復密碼位置的密碼標識碼前八個字元？

A4：這是一項設計決策，旨在協助簡化搜尋密碼的搜尋，而不犧牲搜尋作業的正確性。隨機產生超過 100 萬個密碼識別碼的測試，通常只會針對密碼標識碼的前八個字元產生 100 個重複專案。因此，即使您在搜尋網域中有 100 萬個修復密碼，單一搜尋作業不太可能傳回兩個修復密碼。此外，在相同的搜尋中，將傳回兩個以上的修復密碼的可能性更大。

注意

建議您檢查傳回的修復密碼，以確定它符合您用來執行搜尋的完整密碼識別碼。這是為了確認您已取得唯一的修復密碼。

問 5：搜尋所有網域的復原密碼需要多久時間？

A5：一般而言，搜尋樹系所有網域的密碼標識碼所需時間不超過數秒。不過，如果下列條件成立，您可能會遇到效能降低的情況：

全域編錄伺服器會在網域中找到復原密碼。
全域編錄伺服器無法連線到該特定網域。

問 6：如何? 使用 BitLocker 修復密碼查看器工具時可能會遇到的問題進行疑難解答？

A6：使用下列資訊可協助您針對使用 BitLocker 修復密碼查看器工具時遇到的問題進行疑難解答：

如果您預期找不到修復密碼，請確認您有足夠的許可權可檢視修復密碼。
如果您在搜尋修復密碼時收到「無法擷取修復密碼資訊」錯誤訊息，請確認全域編錄伺服器和其他域控制器可以正確通訊。

如需 BitLocker 修復工具的詳細資訊，請流覽下列Microsoft網站：

928201如何使用 BitLocker 修復工具，協助從 Windows Vista 或 Windows Server 2008 中的加密磁碟區復原數據

共用方式為

如何使用適用於 Active Directory 使用者和電腦 工具的 BitLocker 修復密碼查看器來檢視 Windows Vista 的修復密碼

摘要

概觀