Bitlocker - Protector basado en Active Directory

Question

En mi organizacion estamos barajando la posiblidad de cifrar los discos extraibles USB con Bitlocker utilizando la proteccion basada en pertenencia a grupos de Directorio activo, consiste en generar un clave que permita a un usuario o grupo de directorio activo desbloquear automaticamente el dispositivo si el usuario o el equipo en el que se inserta el USB coincide con la pertencia al grupo de la clave. Este es el comando que estoy usando para tal fin:

Add-BitLockerKeyProtector -MountPoint D: -ADAccountOrGroup "Dominio/Nombre del grupo" –ADAccountOrGroupProtector

Funciona ya que si creo un grupo en directorio activo y un usuario no esta en ese grupo, al introducir el USB en su ordenador no se desbloquea el dispositivo automaticamente hasta que el usuario no sea añadido al grupo.
El problema ocurre cuando elimino al usuario del grupo con el que esta cifrado el USB y este sigue pudiendo acceder al dispositivo, aun actualizando su pertenencia a grupos d directorio activo.
¿Hay alguna forma de que esto se pueda solucionar?

Un cordial saludo.

Answer 1

After removing the user from that group, did that user logoff and logon again? He needs to do that, else, group membership tokens stay alive for a while.

Answer 2

You can try the article below on how to Protect Cluster Shared Volumes and Storage Area Networks with BitLocker":

https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/protecting-cluster-shared-volumes-and-storage-area-networks-with-bitlocker

-----

--If the answer is helpful, please vote positively and accept the answer--