manage-bde-Schutzvorrichtungenmanage-bde protectors

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2019, Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016

Verwaltet die Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden.Manages the protection methods used for the BitLocker encryption key.

SyntaxSyntax

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

ParameterParameters

ParameterParameter BESCHREIBUNGDescription
-Get-get Zeigt alle auf dem Laufwerk aktivierten Schlüsselschutz Methoden an und gibt ihren Typ und Bezeichner (ID) an.Displays all the key protection methods enabled on the drive and provides their type and identifier (ID).
-Hinzufügen-add Fügt mit zusätzlichen Add- Parametern Schlüsselschutz Methoden hinzu.Adds key protection methods as specified by using additional -add parameters.
-delete-delete Löscht Schlüsselschutz Methoden, die von BitLocker verwendet werden.Deletes key protection methods used by BitLocker. Alle Schlüssel Schutzvorrichtungen werden von einem Laufwerk entfernt, es sei denn, die Parameter " -Delete " werden verwendet, um anzugeben, welche Schutzvorrichtungen gelöscht werden sollen.All key protectors will be removed from a drive unless the optional -delete parameters are used to specify which protectors to delete. Wenn die letzte Schutzvorrichtung auf einem Laufwerk gelöscht wird, wird der BitLocker-Schutz des Laufwerks deaktiviert, um sicherzustellen, dass der Zugriff auf die Daten nicht versehentlich verloren geht.When the last protector on a drive is deleted, BitLocker protection of the drive is disabled to ensure that access to data is not lost inadvertently.
-disable-disable Deaktiviert den Schutz, mit dem jeder auf verschlüsselte Daten zugreifen kann, indem der Verschlüsselungsschlüssel auf dem Laufwerk nicht gesichert wird.Disables protection, which will allow anyone to access encrypted data by making the encryption key available unsecured on drive. Es werden keine Schlüssel Schutzvorrichtungen entfernt.No key protectors are removed. Der Schutz wird beim nächsten Start von Windows fortgesetzt, es sei denn, mit den optionalen Parametern " -Deaktivieren " können Sie die Neustart Anzahl angeben.Protection will be resumed the next time Windows is booted unless the optional -disable parameters are used to specify the reboot count.
-enable-enable Ermöglicht den Schutz, indem der unsichere Verschlüsselungsschlüssel vom Laufwerk entfernt wird.Enables protection by removing the unsecured encryption key from the drive. Alle konfigurierten Schlüssel Schutzvorrichtungen auf dem Laufwerk werden erzwungen.All configured key protectors on the drive will be enforced.
-adbackup-adbackup Sichert alle Wiederherstellungs Informationen für das angegebene Laufwerk Active Directory Domain Services (AD DS).Backs up all recovery information for the drive specified to Active Directory Domain Services (AD DS). Wenn Sie nur einen einzelnen Wiederherstellungs Schlüssel in AD DS sichern möchten, fügen Sie den Parameter -ID an, und geben Sie die ID eines bestimmten Wiederherstellungs Schlüssels an, der gesichert werden soll.To back up only a single recovery key to AD DS, append the -id parameter and specify the ID of a specific recovery key to back up.
-aadbackup-aadbackup Sichert alle Wiederherstellungs Informationen für das angegebene Laufwerk Azure Active Directory (Azure AD).Backs up all recovery information for the drive specified to Azure Active Directory (Azure AD). Wenn Sie nur einen einzelnen Wiederherstellungs Schlüssel in Azure AD sichern möchten, fügen Sie den Parameter -ID an, und geben Sie die ID eines bestimmten Wiederherstellungs Schlüssels an, der gesichert werden soll.To back up only a single recovery key to Azure AD, append the -id parameter and specify the ID of a specific recovery key to back up.
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.Represents a drive letter followed by a colon.
-Computername-computername Gibt an, dass manage-bde.exe zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird.Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. Sie können auch -CN als abgekürzte Version dieses Befehls verwenden.You can also use -cn as an abbreviated version of this command.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll.Represents the name of the computer on which to modify BitLocker protection. Akzeptierte Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers.Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? oder /?or /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.Displays brief help at the command prompt.
-Help oder-h-help or -h Zeigt die gesamte Hilfe an der Eingabeaufforderung an.Displays complete help at the command prompt.

Zusätzliche Parameter hinzufügenAdditional -add parameters

Der Parameter-Add kann auch diese gültigen zusätzlichen Parameter verwenden.The -add parameter can also use these valid additional parameters.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
ParameterParameter BESCHREIBUNGDescription
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.Represents a drive letter followed by a colon.
-wiederherstellungkennwort-recoverypassword Fügt eine numerische Kennwort-Schutzvorrichtung hinzu.Adds a numerical password protector. Sie können auch -RP als abgekürzte Version dieses Befehls verwenden.You can also use -rp as an abbreviated version of this command.
<numericalpassword> Stellt das Wiederherstellungs Kennwort dar.Represents the recovery password.
-Wiederherstellungsschlüssel-recoverykey Fügt eine externe Schlüssel Schutzvorrichtung für die Wiederherstellung hinzu.Adds an external key protector for recovery. Sie können " -RK " auch als abgekürzte Version dieses Befehls verwenden.You can also use -rk as an abbreviated version of this command.
<pathtoexternalkeydirectory> Stellt den Verzeichnispfad zum Wiederherstellungs Schlüssel dar.Represents the directory path to the recovery key.
-startupkey-startupkey Fügt eine externe Schlüssel Schutzvorrichtung zum Starten hinzu.Adds an external key protector for startup. Sie können auch -SK als abgekürzte Version dieses Befehls verwenden.You can also use -sk as an abbreviated version of this command.
<pathtoexternalkeydirectory> Stellt den Verzeichnispfad zum Systemstart Schlüssel dar.Represents the directory path to the startup key.
-Zertifikat-certificate Fügt eine Schutzvorrichtung für ein öffentliches Schlüssel für ein Daten Laufwerk hinzu.Adds a public key protector for a data drive. Sie können auch -CERT als abgekürzte Version dieses Befehls verwenden.You can also use -cert as an abbreviated version of this command.
-cf-cf Gibt an, dass eine Zertifikatsdatei verwendet wird, um das Zertifikat für öffentliche Schlüssel bereitzustellen.Specifies that a certificate file will be used to provide the public key certificate.
Stellt den Verzeichnispfad zur Zertifikatsdatei dar.Represents the directory path to the certificate file.
-CT-ct Gibt an, dass ein Zertifikat Fingerabdruck verwendet wird, um das Zertifikat für öffentliche Schlüssel zu identifizieren.Specifies that a certificate thumbprint will be used to identify the public key certificate
<certificatethumbprint> Gibt den Wert der Eigenschaft "Fingerabdruck" des Zertifikats an, das Sie verwenden möchten.Specifies the value of the thumbprint property of the certificate you want to use. Beispielsweise sollte der Wert des Zertifikat Fingerabdrucks A9 09 50 2D D8 2a E4 14 33 E6 F8 38 86 B0 0d 42 77 a3 2a 7B als a909502dd82ae41433e6f83886b00d4277a32a7b angegeben werden.For example, a certificate thumbprint value of a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b should be specified as a909502dd82ae41433e6f83886b00d4277a32a7b.
-TPMAndPIN-tpmandpin Fügt ein Trusted Platform Module (TPM) und eine PIN-Schutzvorrichtung (Personal Identification Number) für das Betriebssystem Laufwerk hinzu.Adds a Trusted Platform Module (TPM) and personal identification number (PIN) protector for the operating system drive. Sie können auch -tp als abgekürzte Version dieses Befehls verwenden.You can also use -tp as an abbreviated version of this command.
-TPMAndStartupKey-tpmandstartupkey Fügt ein TPM und eine Systemstart Schlüssel-Schutzvorrichtung für das Betriebssystem Laufwerk hinzu.Adds a TPM and startup key protector for the operating system drive. Sie können auch -TSK als abgekürzte Version dieses Befehls verwenden.You can also use -tsk as an abbreviated version of this command.
-tpmandpinandstartupkey-tpmandpinandstartupkey Fügt ein TPM, eine PIN und eine Start Schlüsselschutzvorrichtung für das Betriebssystem Laufwerk hinzu.Adds a TPM, PIN, and startup key protector for the operating system drive. Sie können auch -tpsk als abgekürzte Version dieses Befehls verwenden.You can also use -tpsk as an abbreviated version of this command.
-password-password Fügt eine Kenn Wort Schlüssel-Schutzvorrichtung für das Daten Laufwerk hinzu.Adds a password key protector for the data drive. Sie können auch -PW als abgekürzte Version dieses Befehls verwenden.You can also use -pw as an abbreviated version of this command.
-adaccountorgroup-adaccountorgroup Fügt eine Sicherheits-ID (SID)-basierte Identitäts Schutzvorrichtung für das Volume hinzu.Adds a security identifier(SID)-based identity protector for the volume. Sie können auch -sid als abgekürzte Version dieses Befehls verwenden.You can also use -sid as an abbreviated version of this command. Wichtig: Standardmäßig können Sie eine adaccountorgroup-Schutzvorrichtung nicht remote mithilfe von WMI oder manage-bde hinzufügen.IMPORTANT: By default, you can't add an ADaccountorgroup protector remotely using either WMI or manage-bde. Wenn Ihre Bereitstellung die Möglichkeit erfordert, diese Schutzvorrichtung Remote hinzuzufügen, müssen Sie die eingeschränkte Delegierung aktivieren.If your deployment requires the ability to add this protector remotely, you must enable constrained delegation.
-Computername-computername Gibt an, dass "Manage-BDE" verwendet wird, um den BitLocker-Schutz auf einem anderen Computer zu ändern.Specifies that manage-bde is being used to modify BitLocker protection on a different computer. Sie können auch -CN als abgekürzte Version dieses Befehls verwenden.You can also use -cn as an abbreviated version of this command.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll.Represents the name of the computer on which to modify BitLocker protection. Akzeptierte Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers.Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? oder /?or /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.Displays brief help at the command prompt.
-Help oder-h-help or -h Zeigt die gesamte Hilfe an der Eingabeaufforderung an.Displays complete help at the command prompt.

Zusätzliche Parameter löschenAdditional -delete parameters

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
ParameterParameter BESCHREIBUNGDescription
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.Represents a drive letter followed by a colon.
-Typ-type Identifiziert die zu löschende Schlüssel Schutzvorrichtung.Identifies the key protector to delete. Sie können auch -t als abgekürzte Version dieses Befehls verwenden.You can also use -t as an abbreviated version of this command.
RecoveryPasswordrecoverypassword Gibt an, dass alle Schutz Kennwort-Schlüssel Schutzvorrichtungen gelöscht werden sollen.Specifies that any recovery password key protectors should be deleted.
ExternalKeyexternalkey Gibt an, dass alle dem Laufwerk zugeordneten externen Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any external key protectors associated with the drive should be deleted.
Zertifikatcertificate Gibt an, dass alle dem Laufwerk zugeordneten Zertifikat Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any certificate key protectors associated with the drive should be deleted.
TPMtpm Gibt an, dass alle dem Laufwerk zugeordneten TPM-Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any TPM-only key protectors associated with the drive should be deleted.
TPMAndStartupKeytpmandstartupkey Gibt an, dass alle dem Laufwerk zugeordneten TPM-und systemeigenen Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any TPM and startup key based key protectors associated with the drive should be deleted.
TPMAndPINtpmandpin Gibt an, dass alle dem Laufwerk zugeordneten TPM-und PIN-basierten Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any TPM and PIN based key protectors associated with the drive should be deleted.
tpmandpinandstartupkeytpmandpinandstartupkey Gibt an, dass alle dem Laufwerk zugeordneten TPM-, PIN-und Start Schlüssel-Schlüssel Schutzvorrichtungen gelöscht werden sollen.Specifies that any TPM, PIN, and startup key based key protectors associated with the drive should be deleted.
passwordpassword Gibt an, dass alle dem Laufwerk zugeordneten Kennwort-Schlüsselschutz Vorrichtungen gelöscht werden sollen.Specifies that any password key protectors associated with the drive should be deleted.
identityidentity Gibt an, dass alle dem Laufwerk zugeordneten Identitätsschlüssel Schutzvorrichtungen gelöscht werden sollen.Specifies that any identity key protectors associated with the drive should be deleted.
-ID-ID Identifiziert die zu löschende Schlüssel Schutzvorrichtung mithilfe des Schlüssel Bezeichners.Identifies the key protector to delete by using the key identifier. Dieser Parameter ist eine alternative Option für den -Type- Parameter.This parameter is an alternative option to the -type parameter.
<keyprotectorID> Identifiziert eine einzelne Schlüssel Schutzvorrichtung auf dem zu löschenden Laufwerk.Identifies an individual key protector on the drive to delete. Schlüsselschutzschutzids können mithilfe des Befehls manage-bde-Protector-Get angezeigt werden.Key protector IDs can be displayed by using the manage-bde -protectors -get command.
-Computername-computername Gibt an, dass manage-bde.exe zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird.Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. Sie können auch -CN als abgekürzte Version dieses Befehls verwenden.You can also use -cn as an abbreviated version of this command.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll.Represents the name of the computer on which to modify BitLocker protection. Akzeptierte Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers.Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? oder /?or /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.Displays brief help at the command prompt.
-Help oder-h-help or -h Zeigt die gesamte Hilfe an der Eingabeaufforderung an.Displays complete help at the command prompt.

Zusätzliche Parameter deaktivierenAdditional -disable parameters

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
ParameterParameter BESCHREIBUNGDescription
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.Represents a drive letter followed by a colon.
rebootcountrebootcount Gibt an, dass der Schutz für das Betriebssystem Volume angehalten wurde und fortgesetzt wird, sobald Windows neu gestartet wurde, und zwar so oft wie im Parameter " rebootcount " angegeben.Specifies that protection of the operating system volume has been suspended and will resume after Windows has been restarted the number of times specified in the rebootcount parameter. Geben Sie 0 an, um den Schutz unbegrenzt anzuhalten.Specify 0 to suspend protection indefinitely. Wenn dieser Parameter nicht angegeben wird, wird der BitLocker-Schutz nach dem Neustart von Windows automatisch fortgesetzt.If this parameter isn't specified, BitLocker protection automatically resumes after Windows is restarted. Sie können auch -RC als abgekürzte Version dieses Befehls verwenden.You can also use -rc as an abbreviated version of this command.
-Computername-computername Gibt an, dass manage-bde.exe zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird.Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. Sie können auch -CN als abgekürzte Version dieses Befehls verwenden.You can also use -cn as an abbreviated version of this command.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll.Represents the name of the computer on which to modify BitLocker protection. Akzeptierte Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers.Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? oder /?or /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.Displays brief help at the command prompt.
-Help oder-h-help or -h Zeigt die gesamte Hilfe an der Eingabeaufforderung an.Displays complete help at the command prompt.

BeispieleExamples

Geben Sie Folgendes ein, um eine durch eine Zertifikatsdatei identifizierte Zertifikat Schlüssel Schutzvorrichtung hinzuzufügen:To add a certificate key protector, identified by a certificate file, to drive E, type:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Geben Sie Folgendes ein, um eine adaccountorgroup -Schlüssel Schutzvorrichtung hinzuzufügen, die von Domäne und Benutzername identifiziert wird:To add an adaccountorgroup key protector, identified by domain and user name, to drive E, type:

manage-bde -protectors -add E: -sid DOMAIN\user

Um den Schutz zu deaktivieren, bis der Computer dreimal neu gestartet wurde, geben Sie Folgendes ein:To disable protection until the computer has rebooted 3 times, type:

manage-bde -protectors -disable C: -rc 3

Geben Sie Folgendes ein, um alle TPM-und Start Schlüssel-basierten Schlüssel Schutzvorrichtungen auf Laufwerk C zu löschen:To delete all TPM and startup keys-based key protectors on drive C, type:

manage-bde -protectors -delete C: -type tpmandstartupkey

Geben Sie Folgendes ein, um alle Wiederherstellungs Informationen für das Laufwerk C in AD DS zu sichern:To back up all recovery information for drive C to AD DS, type:

manage-bde -protectors -adbackup C:

Weitere VerweiseAdditional References