ProtectKeyWithAdSid-Methode der Win32 _ EncryptableVolume-Klasse

Die ProtectKeyWithAdSid-Methode der Win32 _ EncryptableVolume-Klasse schützt den Verschlüsselungsschlüssel des Volumes mithilfe einer Active Directory-Sicherheits-ID (SID).

Syntax

uint32 ProtectKeyWithAdSid(
  [in, optional] string FriendlyName,
  [in]           string SidString,
  [in]           uint32 Flags,
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [ in, optional]

Eine Zeichenfolge, die einen vom Benutzer zugewiesenen Bezeichner für diese Schlüsselschutzvorrichtung angibt. Wenn dieser Parameter nicht angegeben ist, wird ein leerer Wert verwendet.

SidString [ In]

Zeichenfolge, die die Active Directory-SID enthält, die zum Schützen des Verschlüsselungsschlüssels verwendet wird.

Flags [ In]

Flags, die das Funktionsverhalten ändern. Dies kann einer der folgenden Werte sein.

Wert Bedeutung
FVE _ DPAPI _ NG _ FLAG _ NONE
0x0000
Keine Auswirkung.
FVE _ DPAPI _ NG _ FLAG UNLOCK AS SERVICE _ _ _ _ ACCOUNT
0x0001
Gibt an, dass die SID-basierte Schutzvorrichtung für ein Dienstkonto geschützt wurde. Wenn dieses Flag angegeben ist, sollte der Aufrufer sicherstellen, dass es als das entsprechende Dienstkonto ausgeführt wird, bevor UnlockWithAdSid aufgerufen wird (z. B. durch vorübergehendes Löschen des Identitätswechsels).

VolumeKeyProtectorID [ out]

Ein eindeutiger Bezeichner, der der erstellten Schutzvorrichtung zugeordnet ist. Sie können diese Zeichenfolge verwenden, um die Schlüsselschutzvorrichtung zu verwalten.

Wenn das Laufwerk Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und die Schlüsselschutzvorrichtung wird pro Bandmetadaten in geschrieben.

Rückgabewert

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn er fehlschlägt.

Rückgabecode/-wert BESCHREIBUNG
S _ OK
0 (0x0)
Die Methode war erfolgreich.

Hinweise

Managed Object Format -Dateien (MOF) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Standardmäßig können Sie kein Active Directory-Konto oder eine Gruppenschutzvorrichtung remote hinzufügen. Sie müssen die eingeschränkte Delegierung auf dem Domänencontroller und dem Quellcomputer aktivieren. Führen Sie auf dem Domänencontroller die folgenden Schritte aus:

  1. Server-Manager öffnen
  2. Auswählen von Computern in Active Directory-Rollen
  3. Wählen Sie den Zielclientcomputer aus, und klicken Sie mit der rechten Maustaste.
  4. Wählen Sie die Registerkarte Delegierung aus.
  5. Aktivieren Sie das Optionsfeld "Diesem Computer nur für die Delegierung angegebener Dienste vertrauen".
  6. Aktivieren Sie das Optionsfeld "Nur Kerberos verwenden".
  7. Klicken Sie auf "Hinzufügen".
  8. Wählen Sie "Benutzer oder Computer" aus.
  9. Wählen Sie host/ als Dienstprinzipalnamen aus.

Führen Sie die Schritte 3 bis 9 auf dem Quellcomputer aus.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows 8 Enterprise, nur Windows 8 Pro [ Desktop-Apps]
Unterstützte Mindestversion (Server)
[Windows Server 2012 Nur Desktop-Apps]
Namespace
\CIMV2-Stammsicherheit \ \ MicrosoftVolumeEncryption
MOF
Win32 _ encryptablevolume.mof

Siehe auch

Win32 _ EncryptableVolume