De alguma forma, a máquina de um usuário não conseguiu ler a senha do bitlocker do chip TPM, e eu tive que inserir a chave de recuperação (armazenada no AD) para entrar. Não é grande coisa, mas uma vez na máquina, eu tentou suspender o bitlocker por documentação de recuperação e recebeu uma mensagem de erro sobre o TPM não estar sendo inicializado. Eu sabia que o TPM estava ativado e ativado no BIOS, mas o Windows ainda me fez reinicializar o chip TPM e, no processo, criou uma nova senha de proprietário do TPM.
Achei isso estranho, porque me levou a salvar essa senha ou imprimi-la (não havia uma opção para não fazê-lo), mas não fez referência a uma senha de recuperação, nem fez o backup dessa senha no AD.
Depois que o usuário pegou o laptop e saiu, comecei a pensar que, se a senha do TPM for alterada, a senha de recuperação também será alterada? Nesse caso, essa nova senha de recuperação precisará ser carregada no AD, mas a documentação da MS não esclarece isso e não faz backup da nova chave de recuperação (se houver) no AD automaticamente quando a política de grupo diz isso. deve, e do ponto de vista da rede, o AD está acessível.
Sei que isso é antigo, cheguei aqui à procura de outra coisa, mas, na minha experiência, o upload automático para o AD após uma alteração como essa nem sempre é bem-sucedido. Fui mordido no trabalho várias vezes por causa disso. Após a 2ª vez, decidi criar um script para o processo de upload para garantir que isso aconteça, em vez de depender do processo de upload automagic que deveria acontecer. Aqui está o que eu escrevi (BitLocker_UploadToAD.cmd):
fonte