Slt à toutes les biloutes ,)
 
Je viens vers vous car j'ai monté un LAB de test avec MBAM 2.0 pour tester BitLocker pour ma boite.
 
J'ai une question, après avoir intégré tout ce qu'il faut, cela fonctionne parfaitement, j'ai fait tout mes tests sans incidents.
 
Par contre, je vois dans un GPMC, et cela pour toutes les GPO computer ou quelles soient dans la ruche AD (haut ou bas par rapport aux GPO dédiés aux parametres Bitlockers), le paramètre suivant :
------------------------------------------------------------------------------------------------------------------------------
Modèles d’administration
...
Autres paramètres Registre  
...
Le nom convivial de certains paramètres est introuvable. Vous pourrez peut-être résoudre ce problème en mettant à jour vos fichiers .adm utilisés par GPMC.
 
Paramètre                                                                                                                                                         Statut  
Software\Policies\Microsoft\SystemCertificates\FVE\Certificates\5AFEC017F388A930145D1EB3BEBF8DB50B626253\Blob        Format de données inconnu
 
------------------------------------------------------------------------------------------------------------------------------
 
Sauriez vous si c'est à cause du certificat auto signé du serveur MBAM ?
 
Auriez vous une solution pour que ce paramêttre apparaisse en clair ?  
 
A savoir que les ADM et ADMX adéquats on été déposé dans les "policy definitions" du sysvol et sont bien répliqués. Mais les adm et admx sont non accessibles (Message d'erreur lors d'un RSOP : accès refusé) sur mes postes de tests win 8 Entreprise (nouvellement installé).
 
Les GPO bitlockers sont configurées sans "Authenticated users" dans les filtrages de sécurité, mais avec les 2 noms de postes pour quelles ne s'appliquent qu'a ses deux postes.  
Les paramètres des GPO descendes bien sur les postes pourtant.....
 
J'ai la tête dans le guidon aussi vous auriez peut être une idée ?
 
+++

Quelle est la version de l'OS utilisé pour la GPMC ?

Win 7 sp1 64 bit Pro

dsl pour le dernier post incomplet
 
pour mon poste : Win 7 sp1 64 bit Pro
Depuis le DC : Win 2008 R2 Standard.

Voilà c'est ça le soucis.
 
Version OS de GPMC = version d'OS la plus récente du parc.
 
Bascule tes OS en Windows 8, refais tes GPO et tout devrait rouler.

Ok je fais les 20 000 postes cet aprem )))))))
 
mdr , pourtant bitlocker et mbam sont compatible avec Win 7 Entreprise donc normalement les GPO associé devraient être lu, comprise etc.....
 
Comment je peux mettre à jour le GPMC ?

Je te dis pas de migrer tes postes de travail, je te dis de migrer tes machines d'admin en 8/2012, c'est pas pareil.

lol j'avai pas compris comme tu parlais de windows 8.
 
Le problème c'est que la c'est une autre histoire lol mais c'est prévu en effet ok c'est noté en tout cas.
 
Par contre, j'ai toujours une question en suspend:  
 
Pourquoi ce paramètre ce retrouve sur toutes mes GPOs computer sans que je l'ai configuré moi même.... sur les GPO ascendante et descendante.... ?  
Est ce un paramètre gpo automatique ? un peu comme lorsque l'on configure les parametres bitlocker (du poste local) et mbam dans la même gpo....(j'ai eu une  belle surprise se dit en passant au début lol )

ta configuré un certificat pour la récup bitlocker ? ça ressemble à ça.
 
et tes adm (pas les admx hein) faut pas les mettre dans policy definitions

Alors je n'ai pas de carte à puce avec certificat , mais il me semble que j'ai fait un certificat auto signé lors de la conf du serveur MBAM...je ne sais plus si c'est pour crypté les échanges entre client/serveur..
 
Pour les "adm": je n'en ai pas , j'ai les adml et admx seulement.... il me manque des fichiers as ton avis ?

oui tu dois avoir surement un certificat autosigné pour le serveur mbam mais là :
Software\Policies\Microsoft\SystemCertificates\FVE\Certificates\ c'est typiquement les certificats que tu pousses pour l'agent de récupération bitlocker sur les disques de données.
 
Ton central store d'admx a été populé avec les admx de windows 7 ou il a été créé à l'époque de vista/2008 ? Sinon met les à jour en recopiant ceux de windows 7/2008 R2 ou ceux de 8/2012

oui tu dois avoir surement un certificat autosigné pour le serveur mbam mais là :
Software\Policies\Microsoft\SystemCertificates\FVE\Certificates\ c'est typiquement les certificats que tu pousses pour l'agent de récupération bitlocker sur les disques de données.  
 
---> OK, du coup les postes WIN 8 verront les paramètres, et les OS non compatibles comme win 7 pro ne les interpréterons pas tout simplement ?  
Cela explique les erreurs de lecture dans GPMC. Il a une version inférieur aux paramètres que j'essaie de lui faire voir.  
Solution : MAJ GPMC et avoir un poste win 8/2012 pour faire la gestion des GPO 2008/2012 et une autre machine win 7 ou 2008 R2 pour la gestion des GPO propre à 7 et win xp.
Je me trompe pas ?
 
Ton central store d'admx a été populé avec les admx de windows 7 ou il a été créé à l'époque de vista/2008 ? Sinon met les à jour en recopiant ceux de windows 7/2008 R2 ou ceux de 8/2012
--->Il a été monté en même temps que le montage de l'ad 2008 R2 tout neuf (pas de migration).
Le fait de mettre à jour les ADMX, avec une version supérieure n'engendre aucune incidence ? la mise à jour du schéma ne le fait pas automatiquement ?

Hmmm ces paramètres existent sur win 7 c'est pour ça que je capte pas l'erreur. Active le logging d'application de gpo sur un client pour voir plus d'infos peut être, et regarde dans quelle gpo se trouve ce certificat poussé
 
pour la gestion des gpo, faut toujours utiliser la version correspondant a la plus haute version du client ou serveur que tu as sur ton parc. Tu peux gérer toutes les gpo avec.
 
non mettre à jour les admx ne fait aucune incidence (si tu utilises bien la gpmc associée), la mise à jour du schéma ne le fait pas (la mise àjour du schéma met à jour ... le schéma )

Lis ce que j'ai mis au-dessus, une machine d'admin en 8/2012 te permettra de gérer tous les OS équivalents ou antérieurs à 8.
 
Et mettre à jour les admx et le schéma sont deux choses distinctes.
 
Pour la GPO vérifie que tu utilises bien les paramètres MBAM et pas Bitlocker.
 

OKi, je vais utiliser une machine d'admin en 8/2012.
 
NB: pour mbam et bitlocker, il n'y a bien que 2 admx/adml a ajouter ? BitLockerManagement.admx et BitLockerUserManagement.admx
Il ne me manque pas un admx par zazar ?
 
 
@je@nb :  
Active le logging d'application de gpo sur un client pour voir plus d'infos peut être, et regarde dans quelle gpo se trouve ce certificat poussé .
--> OK je vais essayer sa...
 
 
@nebulios :
Pour la GPO vérifie que tu utilises bien les paramètres MBAM et pas Bitlocker.  
--> Après vérification, j'utilise bien les paramètres MBAM et non Bitlocker.

Il me semble oui, en tout cas sous 2008, regarde les admx contenus dans le MDOP 2013 pour vérifier.

Ceux sont les mêmes après vérifications.

certaines ouais.
En plus tu as les options de management du client MBAM.
 
Après faut voir plusieurs choses avec MBAM:
- Bitlocker est une fonctionnalité de Windows
- Le recovery AD/File est intégré à Windows
MBAM est une surcouche à la gestion intégrée de Bitlocker et à partir de là ça peut rentrer en conflit avec Windows. En particulier les options de ne pas autoriser le chiffrement si aucune méthode de récupération est disponible vu que c'est une fonctionnalité de Bitlocker et il n'a donc aucune connaissance de MBAM.

OK, donc Je vais voir coté de la MAJ de mon GPMC vers win 8/2012 et puis après je vous dirai ce qu'il en ai du coup.
 
merki
 
la suite au prochain épisode..... LOL

Détérage de l'extrem de sujet
 
C'est bon, je vois en clair maintenant, c'est le certificat déployé par le serveur MBAM, donc tout est ok.
 
Merci encore, sujet clos.