Forum

Domain kullanıcılar...
 
Bildirimler
Hepsini Temizle

Domain kullanıcıları için BitLocker başlatma sorunu

16 Yazılar
2 Üyeler
0 Reactions
2,059 Görüntüleme
(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Herkese Merhaba,

Uzun bir süredir takipçisi olduğum ÇözümPark sitesi için ilk defa bir kayıt oluşturmaya karar verdim. Umarım sizlerin desteğiyle sorunumu en kısa zamanda çözebilirim.

Yaklaşık 50 kullanıcısı olan yurtdışı merkezli bir organizasyonun IT yapısını yönetiyorum. Sunucum Server 2008R2 (local domain) ve kullanıcılarım Windows 7, 8.1 ve 10 üzerinde çalışıyorlar. Tüm lisanslamalarım OEM. Merkezden gelen talep üzerine tüm bilgisayarların BitLocker ile şifrelenmesini sağlamak istiyorum. Ancak henüz kendi test bilgisayarımı (Windows 10) şifrelemeye çalışırken sorunla karşılaştım.

Öncelikle, bilgisayarımın ilk kurulumunu yaptıktan sonra BitLocker'ı çalıştırdığımda hiçbir sorun yaşamadığımı belirtmek isterim. Aynı zamanda GPO üzerinde BitLocker ile ilgili tüm ayarlar "not configured" şeklindeydi. Ne zaman ki cihazımı domain içine ekledim, o anda BitLocker'ı kurmaya çalıştığımda aşağıdaki hata ile karşılaştım.

 [url= https://image.ibb.co/caWghv/Start.pn g" target="_blank">https://image.ibb.co/caWghv/Start.pn g"/> [/img][/url]

İlk başlarda bu sorunun giriş yaptığım kullanıcıyla ilgili olduğunu düşündüm. Fakat DomainAdmin ile denediğimde de aynı hatayı aldım (kendi kullanıcım administrator grubunun içinde). Sorunu ilk araştırmaya başladığımda kullanıcı yetkisinden kaynaklanabileceğine odaklandım. CMD (run as administrator) üzerinden "manage-bde -on c: -used -rp" komutunu koşturduğumda aşağıdaki özeti gördüm.

PS C:\WINDOWS\system32> manage-bde -on c:  -used -rp
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [OS]
[OS Volume]
Key Protectors Added:

    Numerical Password:
      ID: {**-*-**-*****}
      Password:
        **-**-**-**-**-*****

ERROR: An error occurred (code 0x80070522):
A required privilege is not held by the client.

Yetkilerimin tam olduğundan emin olduktan sonra GroupPolicy (GPO) ve TPM tarafını biraz daha kurcalamaya başladım. BIOS üzerinden "Secure Boot" ayarlarını kapattım ve bilgisayarı domain üzerinden çıkardım. Bu şartlar altında BitLocker sorunsuz çalıştı. Tekrar bilgisayarı domain içine ekleyince aynı hatayı aldım. Ben de son aşamada GPO üzerindeki ayarları biraz kurcalamaya başladım. Öncelikle "Require additional authentication at startup" seçeneğini aktif hale getirdim ancak bir şey değişmedi.

[url= https://preview.ibb.co/mNpv9a/GPO.pn g" target="_blank">https://preview.ibb.co/mNpv9a/GPO.pn g"/> [/img][/url]
[url= https://tr.imgbb.com/ ]upload image[/url]

Daha sonra aşağıdaki link üzerinde anlatıldığı gibi GPO ayarlarımı güncelledim. 

https://4sysops.com/archives/active-directory-and-bitlocker-part-3-group-policy-settings/  

 

Bu aşamadan sonra biraz gelişme kaydedebildim. "Starting Bitlocker" bölümü geçti ve bana yeni PIN oluşturmam için izin verdi. Ancak yeni PIN oluşturduğum anda yine bir önceki uyarı mesajıyla karşı karşıya geldim "A required privilege is not held by the client".

[url= https://image.ibb.co/nxHkaF/Capture.pn g" target="_blank">https://image.ibb.co/nxHkaF/Capture.pn g"/> [/img][/url]
[url= https://tr.imgbb.com/ ]image hosting[/url]

Buradan benim çıkarımım; "BitLocker üzerined bir yetki sınırlamam yok ancak TPM kullanımında bir sınırlamam olabilir". Çünkü GPO üzerinden TPM yetkisini "Do not allow TPM" şeklinde ayarladığımda ilk aşamayı geçebildim.

Not: Windows Server 2008R2 için en güncel Windows 10 GPO verilerine indirip sunucumu güncelledim.  https://www.microsoft.com/en-us/download/details.aspx?id=48257

Not2: Kayıt için social.technet.microsoft üzerinde açtığım çağrı;  https://social.technet.microsoft.com/Forums/en-US/ac4ec5e1-db90-4b7a-a4af-303391b4c0ae/bitlocker-cannot-start?forum=win10itprosecurity

 

 
Gönderildi : 03/07/2017 18:49

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

Sanki dosya sistemi ile ilgili bir sorun var gibi, bu hata generic bir hata ve daha çok User Account Control ve folder permission sorunlarında karşımıza çıkıyor. İlgili disk üzerinde domain admin olan hesabınızın tam yetkisi olmayabilir mi?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/07/2017 21:27

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Merhaba,

Dönüşünüz için teşekkürler. Aslında yetkileri atadığımı sanıyorum. Kullanıcım disk üzerinde "Full Control" haklarına sahip gözüküyor. Bunun dışında BitLocker için ayrıca bir yetki mi var acaba?

Emin olabilmek için başka nereyi kontrol edebilirim?

 
Gönderildi : 04/07/2017 10:45

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Full yetki yeterli, peki başka bir bilgisayarda deneme şansınız var mı?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 04/07/2017 13:29

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Daha önce başka bir Windows10 bilgisayarda deneyip aynı hatayı almıştım. Şimdi siz söyleyince 3. bir Windows 10 bilgisayarda daha denedim ve yine hata devam ediyor.

Ancak bir de Windows 8.1'de çalışan kullanıcım var. Onda da denedim ve sorun çıkmadı!!!

Bu durumda Windows10 özelinde bir sorunum var demektir. Windows 10 için en güncel GroupPolicy ayarlarını kurmuştum aslında. Başka nereden kaynaklı olabilir?

 

 
Gönderildi : 04/07/2017 13:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Windows 10 ADMX indirdiniz yani değil mi?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2017 03:44

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Aynen...  https://www.microsoft.com/en-us/download/details.aspx?id=48257

 

 
Gönderildi : 05/07/2017 10:40

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

2016 DC nin yok değil mi?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2017 16:53

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Maalesef hayır...

 
Gönderildi : 05/07/2017 19:45

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Anlıyorum, aslında 2016 şart değil ama bu durumda 2008 r2 yi gerekli şekilde yapılandırmamış olabilirsiniz çünkü gpo ları düzgün bir şekilde almıyor aslında.

GPO ları tamamen devde dışı bıraksanız yani nopolicy isminde bir ou yapın makine ve user ı ilgili bölüme alıp ilgili ou da block inheritence derseniz bakalım ne olacak.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2017 23:18

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Günaydın,

Evet, dediğiniz şekilde yapınca çalıştı. GPO tarafında bir sıkıntı olduğu kesin.

Ancak mevcut kurallara baktığımda "Default Domain Policy" ve "Sophos" ayarları etkin sadece. 

"Security Settings > Public Key Policies > Encrypting File System" altında bir kural var. Acaba bu etkiliyor olabilir mi?

 

[url= https://preview.ibb.co/kL1xaF/2.pn g" target="_blank">https://preview.ibb.co/kL1xaF/2.pn g"/> [/img][/url]
[url= https://tr.imgbb.com/ ]upload image[/url]

 

 
Gönderildi : 06/07/2017 11:10

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Hayır, bu EFS ile ilgili bir durum bitlocker ile ilgili değil.

GPO dan olduğu biraz belliydi o yüzden bu şekilde deneyin dedim, bundan sonra GPO incelemeye kalıyor biraz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/07/2017 15:48

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Hayır, bu EFS ile ilgili bir durum bitlocker ile ilgili değil.

GPO dan olduğu biraz belliydi o yüzden bu şekilde deneyin dedim, bundan sonra GPO incelemeye kalıyor biraz.

 

Merhaba, 

Sorun çözüldü!!

Bahsettiğiniz gibi GPO üzerindeki ayarları tek tek kontrol edince (test ortamında sırayla kapatarak) sorunun kaynağını buldum. Zamanında Acronis için oluşturulan kullanıcı aşağıdaki roller için atanmış.

 

Computer Configuration>Windows Settings>Security Settings>Local Policies>User Rights Assignment;

Adjust memory quotas for a process

Log on as a service

Modify firmware environment values

Replace a process level token

 

Bu rolleri "disable" olarak ayarladığımda sorunum çözülmüş oldu. Yönlendirme için teşekkür ederim...

Tabi bir sorun başka bir soruyu da beraberinde getiriyor haliyle. Tüm kullanıcılarıma bir yönerge gönderip BitLocker ile disklerini şifrelemelerini isteyeceğim. Ancak BitLocker çalıştırırken "admin rights" istiyor. Kullanıcılarıma sadece BitLocker için hak verme şansım var mıdır?

 

 
Gönderildi : 14/07/2017 19:07

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Öncelikle geri dönüş için teşekkürler,

Bu kullanıcı derken o kısmı tam anlamadım?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/07/2017 00:12

(@oguzkaanonculer)
Gönderiler: 25
Eminent Member
Konu başlatıcı
 

Merhaba,

Öncelikle geri dönüş için teşekkürler,

Bu kullanıcı derken o kısmı tam anlamadım?

 

Domain içinde bulunan standard users. Şirketteki çalışanlar..

 
Gönderildi : 15/07/2017 01:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bu hangi gpo içerisindeydi?

Evet normalde bu ilgili ayarlarda domain users yoktur, ama bu aslında ek olarak izin verir. Yani bu default domain gpo da yoktur, olmaması lazım, sadece default domain gpo da olmalıdır ve adminler.

Eğer default domain policy içerisinde ise ve bu yetkiler için sadece domain users grubu seçili ise yine sorun olmamalı çünkü dediğim gibi bu ek bir yetki verir domain users' a. Ancak bu normalde verilen bir yetkilendirme olmadığı için belki W10 için bilinmeyen bir bug olabilir.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/07/2017 16:13

Paylaş: