使用 BitLocker 將可移動驅動器鎖定到域/網路

我有一個使用者使用的 PC 網路/域，但沒有管理權限。有時，他們會將一些數據複製到 USB 驅動器以在機器之間移動。

我需要防止寫入這些驅動器的數據在域/網路之外被訪問。

我知道我可以將 BitLocker 加密強製到所有 USB 驅動器上。但這並不能阻止使用者將 USB 驅動器帶回家並在那裡解鎖以將數據複製到不安全的機器上。

我希望驅動器只能使用網路上的機器解鎖。

這可能嗎？鑑於所有使用者帳戶都是普通的非管理員使用者，聽起來它應該像將加密密鑰保存在某個域伺服器上並使用它來解鎖驅動器而不讓使用者訪問密鑰一樣簡單。

很高興，我為那個確切的場景寫了一篇文章： 保護 USB 數據的新方面：SID 保護器

引用自：https://serverfault.com/questions/986715