De alguna manera, la máquina de un usuario no pudo leer la contraseña del bitlocker del chip TPM, y tuve que ingresar la clave de recuperación (almacenada en AD) para entrar. No es gran cosa, pero una vez en la máquina, intenté suspender bitlocker por documentación de recuperación y recibí un mensaje de error acerca de que el TPM no se inicializaba. Sabía que el TPM estaba activado y activado en el BIOS, pero Windows todavía me hizo reiniciar el chip TPM, y en el proceso creó una nueva contraseña de propietario de TPM.
Me pareció extraño porque me pidió que guardara esta contraseña o la imprimiera (no había una opción para no hacerlo), pero no hizo referencia a una contraseña de recuperación, ni devolvió esta contraseña a AD.
Después de que el usuario tomó su computadora portátil y se fue, comencé a pensar que si la contraseña de TPM cambia, ¿también cambia la contraseña de recuperación? Si es así, esa nueva contraseña de recuperación deberá cargarse en AD, pero la documentación de MS no lo aclara y no hace una copia de seguridad de la nueva clave de recuperación (si existe) en AD automáticamente cuando la política del grupo lo dice must, y desde el punto de vista de la red, AD es accesible.