如何配置AD集成的Windows工作站通过TPM 2.0实现BitLocker无密码加密系统盘与固定数据SSD？

阿华AIGC实验室

2026-4-21

我刚好处理过和你一模一样的场景——20台AD域内的Win10工作站，TPM2.0都到位，要给系统盘和固定数据SSD做无密码BitLocker加密，系统盘顺利搞定，但数据盘总弹密码/智能卡要求对吧？给你梳理下亲测有效的解决步骤：

一、先确认TPM基础状态

先确保所有工作站的TPM 2.0是启用且激活的：可以让用户本地打开tpm.msc检查状态，或者用域GPO推送脚本批量验证，命令是：
```
tpmtool getdeviceinformation | findstr /i "Activated Enabled"
```
返回结果里这两项必须为True才行。
如果TPM未启用，需要在BIOS的Security选项卡下开启（不同品牌机器路径略有差异），域内也可以通过GPO的计算机配置>管理模板>系统>TPM服务策略强制启用TPM。

二、域组策略核心配置（关键！）

你说的没错，GPO不能直接开启BitLocker，但可以强制加密规则，让数据盘自动用TPM作为唯一保护器，不再弹密码提示：

1. 系统盘的TPM保护（确保基础配置正确）

打开组策略管理编辑器，定位到：
计算机配置>管理模板>Windows组件>BitLocker驱动器加密>操作系统驱动器
启用**「启用BitLocker操作系统驱动器的TPM保护」**策略，保持默认设置（仅勾选TPM，不选PIN/密码等额外验证），确保系统盘始终用TPM无密码解锁。

2. 固定数据盘的TPM保护（解决核心问题）

这部分是重点，需要调整两个关键策略：

策略1：配置固定数据驱动器的BitLocker保护方法
定位到：计算机配置>管理模板>Windows组件>BitLocker驱动器加密>固定数据驱动器
启用该策略，在「保护方法」下拉菜单选择**「TPM」**，同时取消勾选「允许软件加密」（如果你的SSD支持硬件加密可保留，但TPM密钥保护和硬件加密是独立功能，这里我们只需要TPM作为密钥载体）。
这个策略的作用是强制固定数据盘加密时只能用TPM，禁止使用密码或智能卡。
策略2：要求固定数据驱动器的额外身份验证
同样在固定数据驱动器的策略节点下，启用该策略，在「固定数据驱动器」区域选择**「不需要额外身份验证」**（确保「需要密码」「需要智能卡」等选项都不勾选）。
这个策略是告诉系统：加密数据盘时不需要用户输入额外凭证，直接通过TPM验证。

三、加密数据盘的两种方式

配置完GPO后，工作站重启生效，接下来有两种加密方式：

手动向导方式：打开BitLocker管理器，选择数据盘后点击「启用BitLocker」，此时向导不会再提示设置密码/智能卡，直接跳到恢复密钥配置步骤（建议把恢复密钥备份到AD，GPO也能配置强制备份到域）。

批量PowerShell脚本：如果不想逐台手动操作，域内可以推送以下脚本批量处理：

# 遍历所有未加密的固定数据盘，启用BitLocker并仅用TPM保护
Get-BitLockerVolume | Where-Object {$_.VolumeType -eq "Fixed" -and $_.ProtectionStatus -eq "Off"} | ForEach-Object {
    Enable-BitLocker -MountPoint $_.MountPoint -TpmProtector
    # 可选：自动备份恢复密钥到AD域
    $recoveryKey = (Get-BitLockerVolume -MountPoint $_.MountPoint).KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}
    if ($recoveryKey) {
        Backup-BitLockerKeyProtector -MountPoint $_.MountPoint -KeyProtectorId $recoveryKey.KeyProtectorId
    }
}

四、澄清你之前的误解

你提到的**「Configure use of hardware-based encryption for fixed data drives」**（配置固定数据驱动器的硬件加密使用）策略，其实是针对SSD自身的硬件加密功能（比如SED自加密驱动器），和用TPM存储BitLocker密钥是完全独立的两个功能，和你的需求无关，不用特意配置它。