Mit dieser Richtlinieneinstellung wird konfiguriert, in welchem Umfang TPM-Besitzerautorisierungsinformationen in der Registrierung ...

Mit dieser Richtlinieneinstellung wird konfiguriert, in welchem Umfang TPM-Besitzerautorisierungsinformationen in der Registrierung des lokalen Computers gespeichert werden. Abhängig vom Umfang der lokal gespeicherten TPM-Besitzerautorisierungsinformationen können bestimmte TPM-Aktionen vom Betriebssystem und den TPM-basierten Anwendungen durchgeführt werden, ohne dass der Benutzer das TPM-Besitzerkennwort eingeben muss.

Sie können auswählen, ob der vollständige TPM-Besitzerautorisierungswert, das TPM-Verwaltungsdelegierungs-BLOB plus TPM-Benutzerdelegierungs-BLOB oder keiner der Werte gespeichert werden soll. 

Wenn Sie diese Richtlinieneinstellung aktivieren, speichert Windows die TPM-Besitzerautorisierung in der Registrierung des lokalen Computers anhand der vom Betriebssystem verwalteten, von Ihnen festgelegten TPM-Authentifizierungseinstellung.

Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Vollständig" aus, um die vollständige TPM-Besitzerautorisierung, das TPM-Verwaltungsdelegierungs-BLOB und das TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung zu speichern. Mit dieser Richtlinieneinstellung können Sie das TPM verwenden, ohne dass die externe Speicherung bzw. Remotespeicherung des TPM-Besitzerautorisierungswerts erforderlich wird. Diese Richtlinieneinstellung eignet sich für Szenarien, in denen das Zurücksetzen der TPM’-Anti-Hammering-Logik oder das Ändern des TPM-Besitzerautorisierungswerts nicht notwendig ist. Für manche TPM-basierten Anwendungen ist es möglicherweise notwendig, dass diese Richtlinieneinstellung geändert wird, ehe von der TPM-Anti-Hammering-Logik abhängige Anwendungen verwendet werden können.

Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Delegiert" aus, um nur das TPM-Verwaltungsdelegierungs-BLOB und das TPM-Benutzerdelegierungs-BLOB in der lokalen Registrierung zu speichern. Diese Richtlinieneinstellung eignet sich für TPM-basierte Anwendungen, die von der TPM’-Anti-Hammering-Logik abhängig sind. Bei Verwendung dieser Richtlinieneinstellung wird die externe Speicherung bzw. Remotespeicherung des vollständigen TPM-Besitzerautorisierungswerts, beispielsweise durch Sichern des Werts in den Active Directory-Domänendiensten, empfohlen. 

Wählen Sie die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung "Keine" für Kompatibilität mit früheren Betriebssystemen und Anwendungen oder für Szenarien aus, in denen die lokale Speicherung der TPM-Besitzerautorisierung nicht erforderlich ist.  Die Verwendung dieser Richtlinieneinstellung kann zu Problemen mit einigen TPM-basierten Anwendungen führen.

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist und die Richtlinieneinstellung "TPM-Sicherung in Active Directory-Domänendienste aktivieren" ebenfalls deaktiviert oder nicht konfiguriert ist, wird der vollständige TPM-Autorisierungswert standardmäßig in der lokalen Registrierung gespeichert. Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist und die Richtlinieneinstellung "TPM-Sicherung in Active Directory-Domänendienste aktivieren" aktiviert ist, werden nur die Verwaltungsdelegierungs- und Benutzerdelegierungs-BLOBs in der lokalen Registrierung gespeichert.

Hinweis: Wenn die vom Betriebssystem verwaltete TPM-Authentifizierungseinstellung von "Vollständig" zu "Delegiert" geändert wird, wird der vollständige TPM-Besitzerautorisierungswert neu generiert. Kopien des ursprünglichen TPM-Besitzerautorisierungswerts werden ungültig. Wenn Sie den TPM-Besitzerautorisierungswert in AD DS sichern, wird der neue Autorisierungswert bei einer Änderung automatisch in AD DS gesichert.