Каким-то образом, каким-то образом, пользовательский компьютер не смог прочитать пароль битлокера с микросхемы TPM, и мне пришлось ввести ключ восстановления (хранящийся в AD), чтобы войти. Ничего страшного, но однажды в машине я попытался приостановить работу BitLocker в соответствии с документацией по восстановлению и получил сообщение об ошибке, что TPM не инициализируется. Я знал, что TPM был включен и активирован в BIOS, но Windows все еще заставляла меня повторно инициализировать чип TPM, и в процессе он создал новый пароль владельца TPM.
Я нашел это странным, потому что это побудило меня сохранить этот пароль или распечатать его (не было возможности не делать этого), но в нем не было ссылки на пароль восстановления, и при этом он не поддерживал этот пароль до AD.
После того, как пользователь взял ее ноутбук и ушел, я начал думать, что, если пароль TPM изменится, пароль восстановления также изменится? Если это так, то этот новый пароль восстановления необходимо будет загрузить в AD, но документация MS не проясняет это и не создает резервную копию нового ключа восстановления (если он существует) в AD автоматически, когда групповая политика сообщает это. должен и с точки зрения сети AD доступен.