未启用FileVault

问题

成功应用策略后，未启用FileVault。

原因

可能由于以下原因之一而发生：

解决方法

必须重新启动系统才能启用FileVault。如果系统重启未完成，则该策略将无法成功应用。部署策略后，User_1已登录，但User_2已登录，然后重新启动系统。要完成激活，User_1必须重新登录并重新启动。

要找出哪个用户需要重新登录，请运行命令sudo / usr / bin / fdesetup status。
FileVault关闭时，用户名将显示在结果中
。
延期启用对用户'User_Name'似乎是活动的。
命令结果中提到的用户必须重新登录并重新启动。

钥匙串已经存在

成功应用该策略并重新启动系统后，您会看到错误 意外发现主密码钥匙串。当设备上已经存在主钥匙串时，会发生此错误，因此无法创建新的钥匙串。导航到“ 钥匙串访问”应用->选择一个钥匙串->文件->删除钥匙串->删除引用，以删除现有的钥匙串。

恢复密钥无效或不可用

重新生成恢复密钥或使用您的当前密码更改现有的恢复密钥，如下所述

在Mac上，从 / Applications / Utilities 文件夹中打开Terminal。
运行命令 sudo fdesetup changerecovery -personal。
系统将提示您输入密码或恢复密钥。
将生成新的恢复密钥。

注意： 输入的恢复密钥必须是有效的恢复密钥。如果您现有的恢复密钥无效，则可以使用密码而不是恢复密钥来生成密钥。

安全令牌错误

必须将安全令牌与用户帐户关联才能启用FileVault。为确保至少一个用户帐户具有与之关联的安全令牌，安全令牌会自动添加到第一个由Apple的设置助手登录到Mac的帐户。通过“ 系统偏好设置”中的“ 用户和组”偏好设置窗格创建用户时，具有“安全令牌” 的第一个帐户会自动将“安全令牌”与这些用户相关联。但是，使用命令行工具创建的Active Directory用户帐户不会自动获取安全令牌。

要检查特定帐户是否具有与其关联的安全令牌，请运行命令 sysadminctl -secureTokenStatus username_goes_here。
您也可以在目录实用程序中签入，以查看安全令牌条目是否出现在帐户的 Authenticate Authority属性下。

要添加/删除/更改与用户帐户关联的安全令牌，可以使用下面给出的sysadminctl功能

用法：sysadminctl [[interactive] || [-adminUser <管理员用户名> -adminPassword <管理员用户密码>]]

-deleteUser <用户名> [-安全|| -keepHome]

-newPassword <新密码> -oldPassword <旧密码> [-passwordHint <密码提示>]

-resetPasswordFor <本地用户名> -newPassword <新密码> [-passwordHint <密码提示>]

-addUser <用户名> [-fullName <全名>] [-UID <用户ID>] [-shell <shell的路径>] [-密码<用户密码>] [-提示<用户提示>] [-home <首页的完整路径>] [-admin] [-图片<用户图像的完整路径>]

-secureTokenStatus <用户名>

-secureTokenOn <用户名> -password <密码>

-secureTokenOff <用户名> -password <密码>

-guestAccount <打开/关闭/状态>

-afpGuestAccess <打开/关闭/状态>

-smbGuestAccess <打开/关闭/状态>

-automaticTime <打开/关闭/状态>

-文件系统状态

在上面的命令中传递“-”而不是密码来请求提示。

例如，要将安全令牌添加到指定帐户，请使用命令
sysadminctl -secureTokenOn username_which_needs_secure_token_goes_here -password password_goes_here