我最近在其中一台Mac上执行了Lion的全新安装。安装过程创建了一个管理用户帐户。安装后，我为整个磁盘启用了FileVault。然后，我创建了另一个管理用户。两个用户都可以在登录期间解密驱动器。

在不删除用户或暂时禁用FileVault的情况下，如何撤消其中一位用户的解密权限？我试图撤消一个用户的管理特权，使他们成为普通用户，但是他们仍然能够在引导过程中解密驱动器。

使用fdesetup：

sudo fdesetup remove -user username

请参阅：http：//derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

这并非不可能。（尽管如果您删除了用户，则可能使操作变得更加复杂！）

我写了链接到“ jaydisc”的文章，并测试了它在10.7.4中仍然有效：

假设您有一个管理员用户“ charlie”，您希望能够使用该计算机但不能解锁该计算机：

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$ 

请注意，您不能执行以下操作：

sudo passwd charlie
Changing password for charlie.
New password:

因为如果在出现“新密码提示”时按Enter，它将返回并说：

Password unchanged.

暂时删除用户的密码似乎会将其从EFI引导菜单中删除：

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

不幸的是，就我而言，其中一些用户是Open Directory Mobile用户，我无法找到一种方法来将其密码设置为空。

FileVault 2和Recovery HD

Recovery HD不要与Recovery OS混淆（一个大于另一个）。

当为用户启用FileVault 2时：非加密的隐藏的Apple_Boot Recovery HD分区与加密的启动卷是分开的，但对加密的启动卷至关重要，但它会临时挂载，以写入与EFI相关的文件和其他文件。如果希望查看此文件系统活动，同时允许用户进行解锁：

• 后再点击完成，使用一个命令如那么fs_usage或作为一个应用程序如fseventer。

对该活动一目了然，这表明对非加密卷的编辑（相对于加密卷上的用户帐户）是不平凡的。

如果授予用户不适当的解锁权限

也许对Lion（比Build 11A511大的更新）的更新将提供一种从EFI登录窗口中删除不再能够解锁启动卷的用户的方法。

同时，我只能想到可以使用的两种方法。

方法A：禁用然后启用FileVault

1. 禁用FileVault 2

2. 允许向后转换完成

3. 重新启动操作系统

4. 启用FileVault 2，但不为该用户启用。

方法B：删除用户但不删除主目录等

我尚未测试此方法，我想以下方法可能会起作用：

1. 后备

2. 删除用户，但不删除用户的主目录

3. 重新启动操作系统

4. 创建一个与原始记录名相同的新用户

5. 设置与原始ID 不同的唯一ID号

6. 将先前的主目录与新用户相关联。

关于如何禁用先前启用的用户对FileVault 2加密驱动器的访问，这是一个非常简单的答案：

在终端中，使用：

sudo fdesetup remove -user Username

此后，您将在系统偏好设置->安全和隐私-> FileVault中可用于启用的用户列表中看到禁用的用户，以验证禁用是否成功