BitLockerを有効化した際,暗号化を解除するためのパスワードをActiveDirectoryに保存することができます。
ここで気になるのが,ActiveDirectoryに保存したBitLockerのバスワードを削除することができるのか,ということです。
例えば,RAIDボリュームにHDDを追加するなど,物理的にボリュームを拡張する場合,一度,BitLockerを解除してから増設作業を行うでしょう。そしてBitLockerを最有効化すると,パスワードは別のものに変わります。
そして,その新しいパスワードがActiveDirectoryに保存されても,古いBitLockerパスワードが自動的に消えてくれるわけではありません。
ですので,時とともに,古いパスワードがActiveDirectoryのコンピューターオブジェクト内に残り続けてしまうということが起こります。
BitLockerのパスワードをADから削除するための権限
では,BitLockerのパスワードをActiveDirectoryから削除するためには,どのような権限が必要なのでしょうか。
デフォルトでは,Domain Adminsグループに所属するユーザーのみ,パスワードを削除することが可能です。
権限が委譲されている場合もありますので,以下の方法で削除が可能かどうか試してみるのもよいでしょう。
BitLockerパスワードをADから削除する方法
adsiedit.mscを立ち上げます。
Connect to…からデフォルト設定のままで接続します。
adsiedit.mscを立ち上げて,Connect toからデフォルト設定で接続する
すると,ADUCと同じような画面が立ち上がりますので,コンピューターオブジェクトが存在するOUまで遷移します。
そして,パスワードに対応したレコードが見つかりますので,日付などから判断して,不要なパスワード情報を削除します。
該当のBitLockerパスワードを日付などから特定し,右クリックから削除する。
これで,不要になったBitLockerのパスワードをActiveDirectoryから削除することができました。
ご質問がある方は,コメント欄からどうぞ。
コメント