home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 2010 April / PCWorld0410.iso / WindowsServerTrial / server.iso / sources / install.wim / 2 / Windows / PolicyDefinitions / en-US / TPM.adml < prev    next >
Extensible Markup Language  |  2008-01-19  |  7KB  |  68 lines
  1. <?xml version="1.0" encoding="utf-8"?>
  2. <!--  (c) 2006 Microsoft Corporation  -->
  3. <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
  4.   <displayName>enter display name here</displayName>
  5.   <description>enter description here</description>
  6.   <resources>
  7.     <stringTable>
  8.       <string id="ActiveDirectoryBackup_Help">This policy setting allows you to manage the Active Directory Domain Services (AD DS) backup of Trusted Platform Module (TPM) owner information. 
  9.  
  10. TPM owner information includes a cryptographic hash of the TPM owner password. Certain TPM commands can only be run by the TPM owner. This hash authorizes the TPM to run these commands. 
  11.  
  12. If you enable this policy setting, TPM owner information will be automatically and silently backed up to AD DS when you use Windows to set or change a TPM owner password. 
  13.  
  14. If you select the option to "Require TPM backup to AD DS", a TPM owner password cannot be set or changed unless the computer is connected to the domain and the AD DS backup succeeds. This option is selected by default to help ensure that TPM owner information is available. Otherwise, AD DS backup is attempted but network or other backup failures do not impact TPM management. Backup is not automatically retried and the TPM owner information may not have been stored in AD DS during BitLocker setup.
  15.  
  16. If you disable or do not configure this policy setting, TPM owner information will not be backed up to AD DS. 
  17.  
  18. Note: You must first set up appropriate schema extensions and access control settings on the domain before AD DS backup can succeed. Consult online documentation for more information about setting up Active Directory Domain Services for TPM.
  19.  
  20. Note: The TPM cannot be used to provide enhanced security features for BitLocker Drive Encryption and other applications without first setting an owner. To take ownership of the TPM with an owner password, run "tpm.msc" and select the action to "Initialize TPM".
  21.  
  22. Note: If the TPM owner information is lost or is not available, limited TPM management is possible by running "tpm.msc" on the local computer.</string>
  23.       <string id="ActiveDirectoryBackup_Name">Turn on TPM backup to Active Directory Domain Services</string>
  24.       <string id="BlockedCommandsList_Help">This policy setting allows you to manage the Group Policy list of Trusted Platform Module (TPM) commands blocked by Windows.
  25.  
  26. If you enable this policy setting, Windows will block the specified commands from being sent to the TPM on the computer. TPM commands are referenced by a command number. For example, command number 129 is TPM_OwnerReadInternalPub, and command number 170 is TPM_FieldUpgrade. To find the command number associated with each TPM command, run "tpm.msc" and navigate to the "Command Management" section.
  27.  
  28. If you disable or do not configure this policy setting, only those TPM commands specified through the default or local lists may be blocked by Windows. The default list of blocked TPM commands is pre-configured by Windows. You can view the default list by running "tpm.msc", navigating to the "Command Management" section, and making visible the "On Default Block List" column. The local list of blocked TPM commands is configured outside of Group Policy by running "tpm.msc" or through scripting against the Win32_Tpm interface. See related policy settings to enforce or ignore the default and local lists of blocked TPM commands.</string>
  29.       <string id="BlockedCommandsList_Name">Configure the list of blocked TPM commands</string>
  30.       <string id="IgnoreDefaultList_Help">This policy setting allows you to enforce or ignore the computer's default list of blocked Trusted Platform Module (TPM) commands.
  31.  
  32. If you enable this policy setting, Windows will ignore the computer's default list of blocked TPM commands and will only block those TPM commands specified by Group Policy or the local list. 
  33.  
  34. The default list of blocked TPM commands is pre-configured by Windows. You can view the default list by running "tpm.msc", navigating to the "Command Management" section, and making visible the "On Default Block List" column. The local list of blocked TPM commands is configured outside of Group Policy by running "tpm.msc" or through scripting against the Win32_Tpm interface. See the related policy setting to configure the Group Policy list of blocked TPM commands.
  35.  
  36. If you disable or do not configure this policy setting, Windows will block the TPM commands in the default list, in addition to commands in the Group Policy and local lists of blocked TPM commands. </string>
  37.       <string id="IgnoreDefaultList_Name">Ignore the default list of blocked TPM commands</string>
  38.       <string id="IgnoreLocalList_Help">This policy setting allows you to enforce or ignore the computer's local list of blocked Trusted Platform Module (TPM) commands.
  39.  
  40. If you enable this policy setting, Windows will ignore the computer's local list of blocked TPM commands and will only block those TPM commands specified by Group Policy or the default list.
  41.  
  42. The local list of blocked TPM commands is configured outside of Group Policy by running "tpm.msc" or through scripting against the Win32_Tpm interface. The default list of blocked TPM commands is pre-configured by Windows. See the related policy setting to configure the Group Policy list of blocked TPM commands. 
  43.  
  44. If you disable or do not configure this policy setting, Windows will block the TPM commands found in the local list, in addition to commands in the Group Policy and default lists of blocked TPM commands.</string>
  45.       <string id="IgnoreLocalList_Name">Ignore the local list of blocked TPM commands</string>
  46.       <string id="TPMCategory">Trusted Platform Module Services</string>
  47.     </stringTable>
  48.     <presentationTable>
  49.       <presentation id="ActiveDirectoryBackup_Name">
  50.         <checkBox refId="RequireActiveDirectoryBackup_Name" defaultChecked="true">Require TPM backup to AD DS</checkBox>
  51.         <text/>
  52.         <text>If selected, cannot set or change TPM owner password </text>
  53.         <text>if backup fails (recommended default).</text>
  54.         <text/>
  55.         <text>If not selected, can set or change TPM owner password</text>
  56.         <text>even if backup fails. Backup is not automatically retried.</text>
  57.       </presentation>
  58.       <presentation id="BlockedCommandsList_Name">
  59.         <text>Specify the commands to block by adding their numbers to the list.</text>
  60.  
  61.         <listBox refId="BlockedCommandsList_Ordinals2">The list of blocked TPM commands:</listBox>
  62.         <text>For example, to block the commands TPM_OwnerReadInternalPub</text>
  63.         <text>and TPM_FieldUpgrade, add items 129 and 170 to the list.</text>
  64.       </presentation>
  65.     </presentationTable>
  66.   </resources>
  67. </policyDefinitionResources>
  68.