Man muss doch nachträglich festlegen können, wer den Rechner entschlüsseln/booten darf und wer nicht!

sudo fdesetup add -usertoadd kurzname
bzw.

sudo fdesetup remove -user kurzname

OK, Apple selber schlägt tatsächlich die entschlüsseln/verschlüsseln Lösung vor. siehe hier unter "Changing your recovery key"

Und ich habe eine Anleitung gefunden, wie man es auch ohne Entschlüsseln hinkriegen kann:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

Allerdings bin ich mir nicht sicher, ob die ganze Kennwortänderei im Terminal und an einer eigentlich ungewöhnlichen Stelle nicht nachher Probleme mit dem eigenen Schlüsselbund gibt.

Ich werde wohl doch die Apple-Lösung wählen.

Ach so.

Bei der Einrichtung von FileVault wird ja dieser Schlüssel angezeigt, mit dem man die Verschlüsselung auch ohne normales Kennwort aufheben kann. Diesen Schlüssel kann man lokal sichern oder auf Apple Servern, damit das Zurücksetzen per Apple-ID möglich ist.
Das habe ich natürlich beides nicht gemacht. Einen Schlüssel bei Apple zu hinterlegen, käme mir echt nicht in den Sinn.

Ja, an diesen Dialog habe ich mich auch erinnert. Allerdings kam der bei mir nicht.
Als ich FileVault eingeschaltet habe, gab es auch nur einen Benutzer. Jetzt läuft FileVault und ist immer noch beim Verschlüsseln. Zwischenzeitlich habe ich die anderen Benutzer angelegt und alle Daten/Programme zurückkopiert.

Es muss doch auch eine Möglichkeit geben, das nachträglich zu konfigurieren. Ich kann mir nicht vorstellen, dass das nur beim Einschalten von FileVault gehen sollte. Nun, werde ich mal abwarten müssen, bis die Verschlüsselung beendet ist.

BTW, mir ist da noch eine andere Absonderlichkeit aufgefallen:
Ich installiere ML von einem USB-Stick aus auf die leere interne Platte. Beim ersten mal war alles in Ordnung, d.h. FPDP aufrufen, Platte komplett leeren und ML installieren. Dann habe ich FileVault eingeschaltet und kurze Zeit später fiel mir auf, dass ich bei der Eingabe des ersten Accounts einen "Fehler" bei der Groß/Kleinschreibung des Kurznamens gemacht hatte. Eigentlich nicht weiter schlimm, aber da ich ansonsten noch nichtsinstalliert/konfiguriert hatte, bot es sich an, mal eben schnell komplett neu zu installieren. Und da bekam ich ein Problem:
Wieder von USB-Stick gebotet, FPDP aufgerufen, um die Platte wieder zu leeren und... das ging nicht! Ich konnte die interne mit FileVault verschlüsselte Platte weder leeren, noch partitionieren. Erst als ich die verschlüsselte Partition mit dem Kennwort geöffnet hatte (Partitionieren weiter unmöglich), konnte ich die löschen und erst danach partitionieren.
OK, soweit erst einmal kein Problem, aber: Dass ich ohne das Kennwort nicht mehr an die Inhalte meiner verschlüsselten Platte komme, ist klar. Aber warum kann ich die nicht einfach komplett löschen/partitionieren? Was macht man, wenn man das Kennwort vergessen hat? Platte wegschmeissen?
Komisch irgendwie.

http://mjtsai.com/blog/images/2012-08-07-fv2ss2.png

Was meinst Du?

http://www.infiniteloopmobile.com/2012/04/mac-os-x-lion-file-system-problem-causes-user-account-update-needed/

Habe ich noch nicht von gehört. Außerdem kann man wohl mit dem FPDP auch die verschlüsselten Platten reparieren/checken. Man muss sie natürlich erst mit dem Kennwort aufschliessen (s.o.).

Ich habs mir jetzt noch mal angeschaut. Der Dialog ist nicht holprig, sondern schlicht falsch. MMn sind diese Worte falsch: "Jeder Benutzer muss" und "Festplattenschutz aufgehoben". Es besteht ja noch gar kein Festplattenschutz und wenn Du Benutzer ausläßt und weiter klickst, wird die Verschlüsselung nach einem Neustart trotzdem angelegt werden.

Wenn man unter 10.8.3 FileVault installiert hat, kommt ja direkt beim Booten die Maske zum Einlochen, denn nur bei erfolgreichem Einlochen wird die Platte "geöffnet".

Jetzt kann ich es nicht gut steuern, dass alle gute Kennwörter nehmen und somit wäre auch das Starten/Entschlüsseln evtl. mit einem schlechten Kennwort möglich. Das ist dabei aber nicht Sinn der Sache.

Ich meine mich zu erinnern, dass man irgendwie konfigurieren konnte, welche Benutzer den Rechner überhaupt booten dürfen. Ich finde das aber nicht mehr. Da ihr ja schon länger 10.7/10.8 verwendet, wisst ihr vielleicht die Lösung?