这个场景对于个人用户来说很特殊，但是在组织和企业场景里很常见。众所周知 APFS Encrypted 系统分区/FileVault 2 采用 Preboot 的形式来进行解密并同时登录系统，对于普通用户来说这没有任何问题，但是对于加入 Active Directory 的 Mac 来说非常麻烦。以下是一个较为标准的 workaround:

1. 打开 Directory Tool 并确定 Active Directory 用户在登录的时候会创建 mobile user （即允许脱离域控的情况下使用缓存凭据登录，这个在加入 AD 的 Windows PC 上是自动的）。如果不完成这一步，则下一步无法进行。
2. 如果设定了 OOBE Setup bypass，macOS 会自动为 AD mobile user 创建 secureToken。如果没有，则在下一次 AD 用户登录的时候会提示输入本地管理员用户凭据来创建 secureToken。如果没有自动提示，登录后打开终端，提升至管理员，运行 sysadminctl -secureTokenOn <用户名> 。
3. 确定 secureToken 启用后 （查询 sysadminctl -secureTokenStatus <用户名> ），以管理员身份运行 diskutil apfs update <APFS Encrypted 卷设备名> ，例如 diskutil apfs update disk1s1 。如果是 FileVault 2，运行 fdesetup sync 。推荐以计划任务或等同形式在加入域的 Mac 上定期运行。

这样操作之后，已经登录过一次的 Active Directory 用户就会显示在 PreBoot 界面，并可以直接在 PreBoot 输入密码解锁卷并登录系统。这个 workaround 也有一些问题：
- 如果 Active Directory 用户更新了密码（密码过期/管理员要求更改/在其他设备上更改了密码），PreBoot 需要重新同步。因此本地密码可能和目录不一致，对用户造成困扰。如果用户因为管理原因（离职/离校/账户过期/账户被禁用）在目录中被注销或者禁止登录，PreBoot 也无法立即同步更改。
- 没有在这台 Mac 上登录过的 Active Directory 用户，需要一个本地用户或其他登录过的 AD 用户登录一次并登出后才能登录并使得自己的用户同步到 PreBoot 里。
- 如果是公用电脑，PreBoot 可能会被撑爆（几千个用户显示在那个屏幕？画美不看）。而且枚举登录过的用户名称在一些组织里是不妥的。 这种情况下又要数据安全又要目录登录的话，购买 iMac Pro （有自动加解密） 或者带有 TPM 的 PC。

#说白了你们大部分Mac缺少一个自动测量和自动解密机制

iPad Pro 在三得利沁柠水里浸泡约 30 分钟可获得 Raise to wake 的功能。 #funfacts #donottrythisathome #itmayvoidyourwarrenty

去年 iPad Pro 放包里和一瓶沁柠水贴边放，然后瓶子自己开了（

自从那以后不知道抽了什么筋，一拿起来就亮屏但是没有任何其他功能上的故障

老毛病了，Safari 在 DNS 解析失败的时候会直接取消掉导航，就假装什么事情都没发生一样

macOS 快速切换颜色配置文件能看到逐个窗口刷新，甚至还能截图