Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer
Letzte Aktualisierung: November 2012
Betrifft: Microsoft BitLocker Administration and Monitoring 1.0
Mithilfe von Microsoft BitLocker-Administration und Überwachung (MBAM) können Benutzer, die eine Verschlüsselung ihrer Laufwerke nicht benötigen oder wünschen, gezielt vom BitLocker-Schutz ausgeschlossen werden.
Für das Ausschließen von Benutzern vom BitLocker-Schutz muss in einer Organisation zunächst eine Supportinfrastruktur für Ausnahmen dieser Art geschaffen werden. Dazu kann eine Telefonnummer, eine Webseite oder eine E-Mail-Adresse gehören, über die entsprechende Ausnahmen angefordert werden. Ausgeschlossene Benutzer müssen zudem zu einer Sicherheitsgruppe für die Gruppenrichtlinie hinzugefügt werden, die eigens für diese Benutzer erstellt wird. Wenn sich ein Mitglied dieser Sicherheitsgruppe bei einem Computer anmeldet, wird durch die Benutzergruppenrichtlinie angezeigt, dass für den Benutzer eine Ausnahme vom BitLocker-Schutz besteht. Die Computerrichtlinie wird durch die Benutzerrichtlinie überschrieben, und der Computer bleibt von der BitLocker-Verschlüsselung ausgeschlossen.
Hinweis
Wenn der Computer bereits durch BitLocker geschützt ist, ist die Richtlinie für die Benutzerausnahme wirkungslos.
In der folgenden Tabelle ist dargestellt, wie der BitLocker-Schutz abhängig von festgelegten Ausnahmen angewendet wird:
| Benutzerstatus | Keine Ausnahme für den Computer | Ausnahme für den Computer |
|---|---|---|
Keine Ausnahme für den Benutzer |
Der BitLocker-Schutz wird auf dem Computer erzwungen. |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
Ausnahme für den Benutzer |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
So schließen Sie einen Benutzer von der BitLocker-Verschlüsselung aus
Erstellen Sie in Active Directory-Domänendienste eine Sicherheitsgruppe zum Verwalten von Benutzerausnahmen von der BitLocker-Verschlüsselung.
Erstellen Sie mithilfe der MBAM-Gruppenrichtlinienvorlage eine Gruppenrichtlinienobjekteinstellung. Ordnen Sie das Gruppenrichtlinienobjekt der Active Directory-Gruppe zu, die Sie im vorherigen Schritt erstellt haben. Weitere Informationen zu den Richtlinieneinstellungen, die für das Anfordern von Benutzerausnahmen von der BitLocker-Verschlüsselung erforderlich sind, finden Sie im Abschnitt „Richtlinie für Benutzerausnahme konfigurieren“ unter Planen der Gruppenrichtlinienanforderungen für MBAM 1.0.
Fügen Sie der erstellten Sicherheitsgruppe für Benutzer mit BitLocker-Ausnahme die Namen der Benutzer hinzu, die eine Ausnahme beantragt haben. Wenn sich ein Benutzer bei einem Computer anmeldet, der von BitLocker geschützt wird, wird vom MBAM-Client die Einstellung der Benutzerausnahmerichtlinie überprüft und der Schutz aufgehoben, wenn der Benutzer zur Sicherheitsgruppe für BitLocker-Ausnahmen gehört.
Hinweis
Bei Szenarien mit gemeinsam genutzten Computern sind zu Benutzerausnahmen besondere Überlegungen erforderlich. Wenn sich ein nicht ausgeschlossener Benutzer bei einem Computer anmeldet, der mit einem ausgeschlossenen Benutzer gemeinsam genutzt wird, wird der Computer möglicherweise verschlüsselt.
So ermöglichen Sie Benutzern das Anfordern einer Ausnahme von der BitLocker-Verschlüsselung
Nachdem Sie die Benutzerausnahmerichtlinien mithilfe der MBAM-Richtlinienvorlage konfiguriert haben, können Benutzer Ausnahmen vom BitLocker-Schutz über den MBAM-Client anfordern.
Wenn sich ein Benutzer bei einem Computer anmeldet, der in der MBAM-Hardwarekompatibilitätsliste als Kompatibel gekennzeichnet ist, wird der Benutzer vom System darüber benachrichtigt, dass der Computer verschlüsselt wird. Der Benutzer kann Ausnahme anfordern auswählen und die Verschlüsselung verschieben, indem er Später auswählt, oder er kann Starten auswählen, um die BitLocker-Verschlüsselung zuzulassen.
Hinweis
Durch Auswählen von Ausnahme anfordern wird der BitLocker-Schutz um den maximalen Zeitraum verschoben, der in der Benutzerausnahmerichtlinie festgelegt ist.
Wenn ein Benutzer Ausnahme anfordern auswählt, wird er aufgefordert, sich an die BitLocker-Verwaltungsgruppe der Organisation zu wenden. Je nach Konfiguration von „Richtlinie für Benutzerausnahme konfigurieren“ wird dem Benutzer mindestens eine der folgenden Kontaktmethoden angezeigt:
Telefonnummer
URL einer Webseite
E-Mail-Adresse
Nach dem Absenden der Anforderung kann der MBAM-Administrator entscheiden, ob das Hinzufügen des Benutzers zur Active Directory-Gruppe für BitLocker-Ausnahmen legitim ist.
Hinweis
Wenn der maximale Zeitraum abgelaufen ist, der in der Benutzerausnahmerichtlinie für das Verschieben der Verschlüsselung festgelegt ist, wird den Benutzern die Option zum Anfordern einer Ausnahme von der Verschlüsselungsrichtlinie nicht mehr angezeigt. Die Benutzer müssen sich nun direkt an den MBAM-Administrator wenden, um eine Ausnahme vom BitLocker-Schutz zu erhalten.
Siehe auch
Andere Ressourcen
Verwalten von Funktionen von MBAM 1.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----