在大部分的情況下，若使用者忘記本地密碼，通常會立刻向 IT 團隊求救協助重新設定密碼。而在 FileVault 有啟用的前提下，IT 團隊通常有以下選項來協助使用者：

在大部分的情况下，若用户忘记本地密码，通常会立刻向 IT 团队求救协助重新设定密码。 而在 FileVault 有启用的前提下，IT 团队通常有以下选项来帮助用户：

1. 提供 FileVault Recovery Key 給使用者提供 FileVault Recovery Key 給使用者
2. 在使用者的電腦上登入另一個管理員帳號，並重設使用者密碼 在用户的电脑上登录另一个管理员账号，并重置用户密码 
3. 使用 Jamf Policy 重設使用者密碼 使用 Jamf Policy 重置用户密码 

以上三種選項，最方便的就是提供 FileVault Recovery Key，但對於某些環境比較嚴格的公司來說，提供 Recovery Key 給到使用者可能不是最佳解，原因是：以上三种选项，最方便的就是提供 FileVault Recovery Key，但对于某些环境比较严格的公司来说，提供 Recovery Key 给到用户可能不是最佳解，原因是：

1. 比較嚴格的公司可能同時會設定 recoveryOS Password，因此必須連同這道密碼一併給出。這會增加資安上的考量。比较严格的公司可能同时会设定 recoveryOS Password，因此必须连同这道密码一并给出。 这会增加资安上的考量。
2. 另一方面，比較嚴格的公司可能只會給一般使用者的權限，當使用者能利用 FileVault Recovery Key 重設自己的密碼，也有可能拿這個 Key 去重設 IT 團隊預埋在電腦的管理員密碼。另一方面，比较严格的公司可能只会给一般用户的权限，当用户能利用 FileVault Recovery Key 重设自己的密码，也有可能拿这个 Key 去重设 IT 团队预埋在电脑的管理员密码。

如果你身處的公司並不是這麼嚴格的文化，其實提供 FileVault Recovery Key 可能還是最推薦的方式。如果你身处的公司并不是这么严格的文化，其实提供 FileVault Recovery Key 可能还是最推荐的方式。

第二個選項也有困難度，在當今許多人都遠端辦公的環境下，要讓使用者把電腦端到 IT 團隊面前。或是 IT 團隊要能用區網連線到使用者的電腦，都不是一件易事。第二个选项也有困难度，在当今许多人都远程办公的环境下，要让用户把电脑端到 IT 团队面前。 或是IT团队要能用区网连线到使用者的电脑，都不是一件易事。

這當然也另一方面呈現了一個問題，在以往大家習慣都在同一個區網辦事，隨著遠端辦公的需求增加，依賴 Active Directory 做為中控的認證機制，也變得更加困難。这当然也另一方面呈现了一个问题，在以往大家习惯都在同一个区网办事，随着远程办公的需求增加，依赖 Active Directory 做为中控的认证机制，也变得更加困难。

最後一種就是使用 Jamf Policy，雖然不像提供 FileVault Recovery Key 這麼方便，但 IT 團隊可以在 Jamf 後台上配置一個 Policy，然後等電腦回來跟 Jamf 報到後，就能重設使用者的密碼。為了要做到這件事情，必須要確認以下事情，才不會把狀況變得更棘手：最后一种就是使用 Jamf Policy，虽然不像提供 FileVault Recovery Key 这么方便，但 IT 团队可以在 Jamf 后台上配置一个 Policy，然后等电脑回来跟 Jamf 报到后，就能重设用户的密码。 为了要做到这件事情，必须要确认以下事情，才不会把状况变得更棘手：

1. macOS 設備一定要在 Supervised 底下 macOS 設備一定要在 Supervised 底下 
2. macOS 已經回收 Bootstrap Token 在 Jamf Pro 下macOS 已經回收 Bootstrap Token 在 Jamf Pro 下
3. 使用者目前「並不是」處於 FileVault Login Window 下。使用者目前「並不是」處於 FileVault Login Window 下。

接著就能到 Jamf Pro 上面的 Computers > Policies > Local Account 配置兩個規則。一個是先關閉該使用者解鎖 FileVault 的能力，意即拿到該使用者的 Secure Token。因為當帳戶有 Secure Token 時，沒辦法使用 Jamf Pro 的 Policy 重設使用者密碼；接著，才可以在選擇 Reset Account Password。接着就能到 Jamf Pro 上面的 Computers > Policies > Local Account 配置两个规则。 一个是先关闭该用户解锁 FileVault 的能力，意即拿到该用户的 Secure Token。 因为当账户有 Secure Token 时，没办法使用 Jamf Pro 的 Policy 重置用户密码; 接着，才可以在选择 Reset Account Password。

配置完成後，你可以點選該 Policy 右下角的 Logs 看一下是否已套用至該人員電腦。如果失敗了，也可以在找到原因後，按一下 Flush 讓其再作用一次。配置完成后，你可以点击该 Policy 右下角的 Logs 看一下是否已套用至该人员电脑。 如果失败了，也可以在找到原因后，按一下 Flush 让其再作用一次。

重設完密碼的帳戶，使用者就能登入到電腦裡了。這時候我們回頭思考一件事，剛才為了要讓使用者的密碼可以被重設，我們拿掉了使用者的 Secure Token，意即如果現在使用者重新開機，就會被引導到 FileVault Login Window 下，而該使用者因為缺乏 Secure Token，就無法解鎖磁碟，這樣就不能工作了。重设完密码的账户，用户就能登录到电脑里了。 这时候我们回头思考一件事，刚才为了要让用户的密码可以被重设，我们拿掉了用户的 Secure Token，意即如果现在用户重新开机，就会被引导到 FileVault Login Window 下，而该用户因为缺乏 Secure Token，就无法解锁磁盘，这样就不能工作了。

然而你會發現，我以上的論述並不成立，即便你重新開機了，使用者竟然可以解鎖磁碟，這是為什麼呢？請留意到我們前兩段的提要，電腦一定要被監管且有回收 Bootstrap Token 回到 Jamf Pro 的條件。因為有了這項條件，當使用者在 macOS User Login Window 以新密碼登入後，macOS 就會向 Jamf Pro 請求利用 Bootstrap Token 發行一個 Secure Token 給使用者正在登入的帳戶。然而你会发现，我以上的论述并不成立，即便你重新开机了，用户竟然可以解锁磁盘，这是为什么呢？ 请留意到我们前两段的提要，电脑一定要被监管且有回收 Bootstrap Token 回到 Jamf Pro 的条件。 因为有了这项条件，当用户在 macOS User Login Window 以新密码登录后，macOS 就会向 Jamf Pro 请求利用 Bootstrap Token 发行一个 Secure Token 给用户正在登录的帐户。

想要驗證看看嗎？可以，你 macOS User Login Window 底下登入使用者的新重設密碼，然後打開終端機輸入：想要驗證看看嗎？可以，你 macOS User Login Window 底下登入使用者的新重設密碼，然後打開終端機輸入：

sysadminctl -secureTokenStatus 使用者帳戶名

看看結果是不是寫著 Secure Token is ENABLED for user，就可以證明使用者又重新拿回 Secure Token 了。當然，這個被重設的密碼也與 FileVault Password 同步了，因此使用者也可以拿著這個密碼去解鎖 FileVault。（當然，還是請使用者在登入後儘快變更密碼，或是與 IdP 同步密碼為佳）看看结果是不是写着 Secure Token is ENABLED for user，就可以证明用户又重新拿回 Secure Token 了。 当然，这个被重设的密码也与 FileVault Password 同步了，因此用户也可以拿着这个密码去解锁 FileVault。 （当然，还是请用户在登录后尽快更改密码，或是与 IdP 同步密码为佳）

最後一點，不論是用哪個方式去「重設」密碼，最終使用者帳戶下的 Keychain 都會被重新生成，使用者以前存在 Keychain 裡的信用卡號碼、網站密碼等等，也就全部都被封存起來了，直到有一天他又想起了當時的正確密碼，才能再去解開那個已經封存的 Keychain。最后一点，不论是用哪个方式去「重设」密码，最终用户账户下的Keychain都会被重新生成，用户以前存在Keychain里的信用卡号码、网站密码等等，也就全部都被封存起来了，直到有一天他又想起了当时的正确密码，才能再去解开那个已经封存的Keychain

来自  https://gleetsai.me/apple/reset-account-pasword-with-filevault-enabled/