Bonjour à tous,  
 
J’ai récemment eu pour projet de chiffrer le disque système (C:) des pc de mon entreprise via Bitlocker pour Windows 10.  
J’ai donc créé une GPO. Dans celle-ci j’ai configuré le mode de chiffrement, ainsi qu’un paramètre qui oblige le client à stocker la clé de recouvrement dans l’Active Directory. J’ai aussi ajouté un script de démarrage powershell qui permet de lancer le chiffrement si le disque n’est pas chiffré.
 
Mon script powershell :
if((Get-BitLockerVolume -MountPoint $env:SystemDrive).VolumeStatus -eq "FullyDecrypted" ){
   Initialize-Tpm
   Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -TpmProtector
   Enable-BitLocker -MountPoint $env:SystemDrive -RecoveryPasswordProtector -SkipHardwareTest
}
 
Je suis rapidement tombé face à un problème : Mon script powershell s’exécute bien, mais j’ai une popup qui me sort ce message d’erreur.  
"Bitlocker could not be enabled. The Bitlocker encryption key cannot be obtained. Verify that the TPM Module is enabled and ownership has been taken. If this computer does not have a TPM, verify that the USB drive is inserted".
 
J’ai donc mené ma propre enquête :  
-Le TMP est bien activé
-Mon pc a bien accès au dossier où est stocké le script
-Aucune erreur dans l'observateur d'évènements
-Si j’exécute mon script powershell directement sur le pc, connecté avec un compte admin du domaine, le chiffrement se fait correctement et la clé est bien dans l’AD.  
-J’ai donc essayé d’enregistrer la sortie de mon script powershell dans un fichier texte avec Start-Transcript, mais rien.  
-Dans un élan de désespoir, j’ai fini par essayer de lancer le chiffrement via un script de démarrage batch et la commande manage-bde. J’ai ici aussi récupéré la sortie de mon script dans un fichier texte et j’ai enfin obtenu une erreur !  
 
Mon "script" batch :
whoami
manage-bde –on C: -skiphardwaretest >> C:\Windows\Temp\BitLocker-TEST.txt
 
Sortie de mon script :
autorite nt\système
Chiffrement de lecteur BitLocker : outil de configuration version 10.0.19041
Copyright (C) 2012 Microsoft Corporation. Tous droits réservés.
 
Volume C: []
[Volume du système d'exploitation]
Protecteurs de clés ajoutés :  
 
ERREUR : une erreur s'est produite (code 0x80070522) :  
Le client ne dispose pas d'un privilège nécessaire.
 
Cette erreur semble me dire tout simplement que le profil autorité nt\Système n’a pas assez de permissions (ce qui me semble curieux).
J’ai donc essayé de chiffrer un autre disque que le disque système (Ici E:), et tout a très bien fonctionné. Le problème ne se produit donc que pour le disque système.  
 
Avez-vous déjà rencontré ce genre de problème, ou auriez-vous des idées pour le résoudre ?  
Merci d’avance pour votre aide:)  
 
Angelo

je te conseille une bon tuto
https://www.it-connect.fr/bitlocker [...] uperation/

Salut !  
Merci de ta réponse.  
 
Malheureusement j'ai déjà suivi ce tuto, mais malheureusement le problème rencontré n'est pas mentionné dedans .

tu peux faire sur un des poste impactés la mise a jour du bios ?
et tester de nouveau

Au hasard, ton compte autorite nt\système qui n'a pas le droit d'aller écrire la clé de déchiffrement dans le compte ordinateur de l'AD ?

effectivement le systéme n'a pas autorité pour modifier l'ad
mais bizarre rien n'est indiqué sur ce howto https://www.it-connect.fr/bitlocker [...] uperation/
sur le lancement via GPO /computeur/script powershell, je ne vois pas qui pourrait envoyer ceci

nous, on s'est rendu compte (mais c'était bien indiqué sur le site microsoft) que le chiffrement bitlocker nécessite une connexion physique. en fait si un user est en session RDP, le chiffrement ne se lancera pas.
Pour pallier au souci, il faut mstsc.exe /admin
info que je passe au cas où

Du coup, ce n'est pas une connexion physique mais console

 
"SYSTEM" c'est le contexte du compte machine dans l'AD. Donc tu as les privilèges associés à SELF sur le compte machine.

si self = system ok
donc j'aurai besoin de connaitre l'attribut pour voir les droits sur l'ad
 
J'ai manuellement lancé le script powershell poour crypter avec bitlocker via un compte admin du domaine, sur l'ad sur le computer j'ai bien dans l'onglet "recuperation bitlocker" les clef de dechiffrement.
mais je n'arrive pas a voir l'attribut ad utilisé  
je n'ai rien dedans
msTPM-TpmInformationForComputer
msTPM-OwnerInformation

les attributs sont du type ms-FVE-*
 
Surement mieux lisible en ADSIEDIT qu'avec l'ADUC (l'ADUC te présente une petite UI dédiée associée au compte machine)

C'est surtout que les clés Bitlocker c'est pas des attributs sur l'objet computer mais des "sous objets" du computer vu que tu peux avoir plusieurs clés par machines.
La class de ces objets est ms-FVE-RecoveryInformation et oui il faut les droits pour les voir, sinon bah c'est un peu une passoire... Donc mettre en place les délégations qui vont bien et si utilisation d'aduc, le configurer pour tout afficher.

merci pour ces informations
 effectivement, je vois mes clef sur les attribut ms-FVE-RecoveryInformation qui sont des sous objet du computer
qu'avez vous comme droit sur self ou systéme ?