Hallo Zahni,
das ist richtig, aber der springende Punkt ist die NTFS Berechtigung verweigern, verweigern Berechtigungen setzten IMMER!! zulassen Berechtigungen außer Kraft, also wenn der User in der lokalen Gruppe Administratoren ist aber gleichzeitig Mitglied in einer Domänengruppe die ihm das Recht verbietet, dann hat er kein Recht.
Wir kommen sowieso auf keinen grünen Zweig, probier es einfach aus und dann reden wir weiter.
Verstehst du, ich hab es schon eingerichtet, darum kann ich kein "das geht nicht" akzeptieren, eben weil es bei mir funktioniert.
Setz dir Windows 7 auf einem Notebook auf und aktivier Bitlocker, dann legst du einen lokalen User an der in der Gruppe Administratoren ist und eine Gruppe Bitlocker, wo der User ebenfalls Mitglied ist.
Dann übernimmst du den Besitz der beiden Objekte fvecpl.dll (steuert das Systemsteuerungsapplet Bitlocker) und manage-bde.exe vom standardmäßigen Besitzer TrustedInstaller und weist die Gruppe Bitlocker den Dateien zu mit Vollzugriff verweigern.
Danach konfigurierst du die lokale Sicherheitsrichtlinie, sodass nur der lokale Administrator den Besitz von Objekten übernehmen kann, und nicht die lokale Gruppe Administratoren - das funktioniert, glaub es mir, wenn du dich dann anmeldest mit dem neu angelegten User kannst du die NTFS Berechtigungen der beiden Objekte nicht anzeigen, den Besitz nicht übernehmen, und wenn du Bitlocker anklickst in der Systemsteuerung macht es nur klick, aber das Fenster öffnet sich nicht weiter um es zu deaktivieren, aktivieren oder anzuhalten.
Bei dem Versuch der Besitzübernahme kommt "Zugriff verweigert", trotz Adminrechten, ebenso wenn man manage-bde in der Command Line starten möchte - teste es aus, du wirst sehen dass es funktioniert.
mfg
Fumanschu