Bitlocker AD密钥保护问题

我们使用Bitlocker Active Directory密钥保护器来保护和自动解锁USB驱动器，但看到随机失败解锁。

我们有两个AD组，我们使用

DOMAIN \ BitlockerAdmin（包含系统pipe理员）
DOMAIN \ BitlockerPerComputer（包含使用笔记本电脑的用户）

用户都是域组“DOMAIN \ BitlockerPerComputer”的成员，我们运行命令：

Enable-BitLocker -MountPoint F: -EncryptionMethod XtsAes256 -UsedSpaceOnly -AdAccountOrGroup "Domain\BitlockerAdmin" –AdAccountOrGroupProtector Add-BitLockerKeyProtector -MountPoint $BACKUPVOL -AdAccountOrGroup "DOMAIN\BitlockerPerComputer" –AdAccountOrGroupProtector

我们预计会发生什么（有时只有）

用户login，并且驱动器解锁或Sysadminlogin，并且驱动器解锁。
如果我们从AD组中移除用户，驱动器将始终保持locking状态，用户将无法解锁。

我们所看到的

有时我们注意到用户login，驱动器不能解锁。我们可以等待几天，做大量的重新启动，但行为没有改变。
任何loginBitlockerAdmin组的人都可以解锁
如果我们将用户添加到BitlockerAdmin组，注销并在驱动器上有时会解锁，即它更好，但有时不会。
即使从AD组中删除用户，他们仍然能够解锁驱动器

我们也尝试使用Manage-bde命令而不是使用powershell，但得到相同的结果

改变我先join的组的顺序也没有什么区别。

我们试图研究AD保护器如何工作以诊断问题，但是那里的信息很less。

任何指示，以帮助诊断问题感激地收到