• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Bitlocker-Recovery Password mit PowerShell auslesen

Feb 3, 2022 (Letztes Update) | Posted by Susann Stenker Administration, PowerShell |

 

Bitlocker-Recovery Password mit PowerShell auslesen

In vielen Unternehmen wird die Verschlüsselung mit BitLocker genutzt. BitLocker ist eine von Microsoft in das Windows-Betriebssystem integrierte Lösung, mit der sich Festplatten, Systemlaufwerke oder Wechseldatenträger verschlüsseln lassen. Die Daten bleiben so bei Diebstahl oder beim physischen Entfernen einer Festplatte aus einem Rechner geschützt. Ohne den Schlüssel sind die Daten dann nicht mehr lesbar.

Befindet sich ein Computer (z.B. ein Notebook eines Mitarbeiters) in der Active Directory-Domäne, so wird von dem Computer der Bitlocker-Schlüssel im Active Directory gespeichert.
Die Verantwortlichen (z.B. Administratoren) haben nun Zugriff auf das Recovery Password und können im Fall, dass eine normale Entsperrung des Laufwerks nicht möglich ist, die Daten wiederherstellen.

Wollen Sie nun das Recovery Password eines Computers auslesen, haben Sie die Möglichkeit, dies über die ADUC (Active Directory Users and Computers) oder PowerShell zu machen.

Inhaltsverzeichnis

  • 1 Anzeige und Suche des Recovery Password über die ADUC
  • 2 Auslesen des Bitlocker-Recovery Passwords mit PowerShell
    • 2.1 Recovery Password einfach auslesen
  • 3 Auslesen der Recovery Passwords
  • 4 Auslesen des Bitlocker-Recovery Passwords anhand der Password ID
  • 5 Fazit

Anzeige und Suche des Recovery Password über die ADUC

Um sich das Bitlocker-Recovery Password eines BitLocker-verschlüsselten Computer in der ADUC anschauen zu können, müssen zunächst folgende Server Roles und Features installiert werden:

Anzeige Bitlocker-Recovery Password in der ADUC - Schritt 1
Anzeige Bitlocker-Recovery Password in der ADUC - Schritt 2
Anzeige Bitlocker-Recovery Password in der ADUC - Schritt 3

Danach erscheint in der ADUC bei den Properties eines Computers der Reiter „BitLocker Recovery“. Darin werden alle Password IDs aufgelistet. Für einen Computer können mehrere Password IDs angezeigt werden, da z.B. zwei Festplatten auf dem Computer verschlüsselt wurden. Die Password IDs stellen also die Zuordnung zu den jeweiligen Laufwerken sicher. In den Details wird dann das Recovery Password angezeigt.

Suche Bitlocker-Recovery Password in der ADUC

Neben der ADUC besteht auch in der ADSI Edit die Möglichkeit, das Recovery Password eines Computers anzeigen zu lassen. Dazu muss der Computer in der Domänenstruktur gesucht werden.

Passwort in der Domänenstruktur suchen
Passwort

In der Properties der Recovery-Informationen lassen sich nun ebenfalls das Bitlocker-Recovery Password auslesen.

Recovery Password in der Properties auslesen

Auslesen des Bitlocker-Recovery Passwords mit PowerShell

Auslesen aller Recovery-Informationen anhand des Computernamens

Zunächst sollte der Computer anhand seiner Identity (DistinguishedName, ObjectGuid, ObjectSid, SamAccountName) ausgelesen werden.

MS DOS
1
$computer = Get-ADComputer -Identity CRECOVERY01 <p></p>

Anschließend wird der DistinguishedName dafür verwendet, die Recovery-Informationen auszulesen.

MS DOS
1
2
3
4
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties *

Die Konsolen-Ausgabe zeigt nun alle Eigenschaften der RecoveryInformation (hier nur die RecoveryInformation eines verschlüsselten Laufwerkes). Im Attribut msFVE-Recovery Password ist das Recovery Password und in msFVE-recoveryGuid die Password ID enthalten.

Attribut msFVE-Recovery Password

PowerShell-Provider

Recovery Password einfach auslesen

Dank des PowerShell-Providers des IDM-Portals können Sie PS-Skripte schnell integrieren. Die leichte Oberfläche ermöglicht den zentralen Zugriff auf Identitäts- und Verzeichnisdienste. Außerdem basiert das IDM-Portal auf Active Directory, Azure AD und Hybrid.

Auslesen der Recovery Passwords

Wollen Sie nun nur die Bitlocker-Recovery Passwords auslesen, schränkt man die Properties im CmdLet ein:

MS DOS
1
2
3
4
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties msFVE-RecoveryPassword

In der Konsole werden alle Recovery Passwords der einzelnen Laufwerke (gekennzeichnet mit den Password-IDs) angezeigt.

Recovery Passwords der einzelnen Laufwerke in der Konsole zeigen

Um nun auch das die zugehörige Password ID mit auslesen zu können, erweitern Sie das Get-ADObject-CmdLet um das Attribut msFVE-recoveryGuid und wandeln den Wert vom Type byte[] in eine Guid um.

1
2
3
4
5
6
7
8
9
&lt;pre class="wp-block-preformatted lang:batch decode:true"&gt;$computer = Get-ADComputer -Identity CRECOVERY01
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties msFVE-RecoveryPassword, msFVE-RecoveryGuid
$recoveryInformation | ForEach-Object {
$recoveryPassword = $_.'msFVE-RecoveryPassword' $passwordId = New-Object Guid @(,$_.'msFVE-RecoveryGuid') Write-Host("`nRecovery Password ") -ForegroundColor Yellow $recoveryPassword Write-Host("for Password ID") -ForegroundColor Yellow $passwordId.ToString()
}
&lt;/pre&gt;

Konsolen-Ausgabe:

Passwort Reset - Konsole Ausgabe

Auslesen des Bitlocker-Recovery Passwords anhand der Password ID

Um gezielt das Bitlocker-Recovery Password eines bestimmten Laufwerkes auslesen zu können, benötigen Sie die Password ID. Diese kann nun im DistinguishedName der RecoveryInformation gesucht werden:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
&lt;pre class="wp-block-preformatted lang:batch decode:true"&gt;$computer = Get-ADComputer -Identity CRECOVERY01
 
$recoveryInformation = Get-ADObject
-Filter {objectClass -eq 'msFVE-RecoveryInformation'}
-SearchBase $computer.DistinguishedName
-Properties msFVE-RecoveryPassword, msFVE-RecoveryGuid
 
$id = "1ab8xxxxxxx"
 
$recoveryInformationWithId = $recoveryInformation |
Where {$_.DistinguishedName -like "*{$id}*"} | Select-Object
 
$recoveryPassword = $recoveryInformationWithId.'msFVE-RecoveryPassword'
$passwordId = New-Object Guid @(,$recoveryInformationWithId.'msFVE-RecoveryGuid')
    
Write-Host("`nRecovery Password ") -ForegroundColor Yellow
$recoveryPassword
Write-Host("for Password ID") -ForegroundColor Yellow
$passwordId.ToString()
&lt;/pre&gt;

Alternativ kann die ID direkt mit der Password ID in der RecoveryInformation verglichen werden:

MS DOS
1
$recoveryInformationWithId = $recoveryInformation | Where {[GUID]$id -eq (New-Object Guid @(,$_.'msFVE-RecoveryGuid'))} | Select-Object

Konsolen-Ausgabe:

Recovery Passwort for Password ID

Wie oben schon beschrieben, gibt es auch die Möglichkeit über die ADUC das Recovery Password auszulesen. Auch eine Suche mittels der Password ID ist möglich. Hierzu muss mit Rechtsklick auf die Domäne in der ADUC und auf „Find Bitlocker recovery password“ geklickt werden.

Bitlockedr recovery password finden

Nun geben Sie die ersten 8 Zeichen der Password ID ein und bekommen das Ergebnis in einer Liste angezeigt. In den Details ist dann das Recovery Password zu sehen.

Find BitLocker recovery password

Fazit

Wenn ein mit BitLocker verschlüsseltes Laufwerk nicht normal entsperrt werden kann, ist es hilfreich, wenn das Recovery Password im Active Directory hinterlegt ist. So ist es möglich, die Administration eines Unternehmens um Hilfe zu bitten. Das Auslesen des Passwords ist ganz einfach über die ADUC bzw. ADSI Edit und PowerShell möglich.

Bitlocker-Recovery Password mit IDM-Portal

Die Anzeige des Recovery Passwords lässt sich ebenfalls ganz einfach in das IDM-Portal integrieren. Hier können Sie den gewünschten Computer über die benutzerfreundliche Oberfläche suchen und sich in den Details das Password anzeigen lassen. Die Integration erfolgt über ein PowerShell-Skript, welches kundenspezifisch angepasst werden kann.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 02.11.2020
Tags: Exchange-OrdnerExchange-PostfachGet-MailboxPowerShell
1

You also might be interested in

OUs exportieren und importieren

OUs einfach exportieren und importieren

Okt 8, 2018

Wer kennt es nicht? Man braucht eine Kopie der Struktur[...]

Powershell-zufaelliges-passwort

PowerShell – Zufälliges Passwort nach eigenen Vorgaben generieren

Mai 18, 2016

Passwörter sind immer Diskussionsthema in der IT-Sicherheit. Wie sind die[...]

Pester

Pester: Test-Framework für PowerShell

Feb 27, 2018

Neulich hat mich ein Kollege auf ein nettes kleines Tool[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD
  • Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren
  • Authentifizierung für MS Teams in hybriden Netzwerken


FirstAttribute

Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
  • Microsoft Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2022 · Active-Directory-FAQ by firstattribute.com

Prev Next