如果在应用 组策略 强制备份之前在驱动器上启用了 BitLocker，则当计算机加入域或随后应用组策略时，恢复信息不会自动备份到 AD DS。 但是，组策略设置 选择如何恢复受 BitLocker 保护的操作系统驱动器，选择如何恢复受 BitLocker 保护的固定驱动器，并选择如何恢复受 BitLocker 保护的可移动驱动器，以要求在启用 BitLocker 之前将计算机连接到域，以帮助确保组织中受 BitLocker 保护的驱动器的恢复信息备份到 AD Ds。

有关详细信息，请参阅 BitLocker 组策略设置。

BitLocker Windows Management Instrumentation (WMI) 接口允许管理员编写脚本来备份或同步联机客户端的现有恢复信息。 但是，BitLocker 不会自动管理此过程。 manage-bde.exe命令行工具还可用于手动将恢复信息备份到 AD DS。 例如，若要将 的所有 $env:SystemDrive 恢复信息备份到 AD DS，可以从提升的命令提示符使用以下命令脚本：

重要提示

将计算机加入域应该是组织内新计算机的第一步。 在计算机加入到域之后，BitLocker 恢复密钥将自动存储到 AD DS（如果组策略中已启用）。

是，在客户端计算机上，会记录指示 Active Directory 备份是成功还是失败的事件日志条目。 但是，即使事件日志条目显示“成功”，该信息可能随后已从 AD DS 中删除，或者可能通过 Active Directory 信息不再解锁驱动器（例如，通过删除恢复密码密钥保护程序）的方式已对 BitLocker 进行了配置。 此外，日志条目也可能受到欺骗。

最后，确定 AD DS 中是否存在合法备份需要通过使用 BitLocker 密码查看器工具并借助域管理员凭据来查询 AD DS。

否。 根据设计，BitLocker 恢复密码条目不会从 AD DS 中删除。 因此，可能会为每个驱动器看到多个密码。 若要标识最新的密码，请检查对象上的日期。

如果备份最初失败，例如在运行 BitLocker 安装向导时无法访问域控制器时，BitLocker 不会再次尝试将恢复信息备份到 AD DS。

当管理员选择“需要将 BitLocker 备份到 AD DS 检查”框时，Active Directory 域 Service (Windows 2008 和 Windows Vista) 策略设置中的“存储 BitLocker 恢复信息”框，或者等效的“在恢复信息存储在 AD DS 中之前不要启用 BitLocker”，以便 (操作系统 | 固定数据 | 可移动数据) 驱动器检查 “选择如何恢复受 BitLocker 保护的操作系统驱动器”、“选择恢复 BitLocker 保护的固定数据驱动器的方式”和“选择恢复 BitLocker 保护的可移动数据驱动器的方式”策略设置中的任一框中，用户无法启用 BitLocker，除非计算机已连接到域并将 BitLocker 恢复信息备份到 AD DS 成功。 如果备份失败，则配置了这些设置，无法启用 BitLocker，从而确保管理员能够在组织中恢复受 BitLocker 保护的驱动器。

有关详细信息，请参阅 BitLocker 组策略设置。

当管理员清除这些检查框时，管理员允许驱动器受到 BitLocker 保护，而无需将恢复信息成功备份到 AD DS;但是，如果备份失败，BitLocker 不会自动重试备份。 相反，管理员可以创建备份脚本，如前面在 计算机加入域之前在计算机上启用 BitLocker 的情况中所述， 以在恢复连接后捕获信息。