我看到斯坦福正在使用它作为他们的 bitlocker 系统恢复过程的一部分斯坦福链接

对于作为斯坦福 Windows 基础架构一部分的计算机，恢复密码的副本作为机密属性与计算机对象一起存储。默认情况下，无论标准 ACL 授予何种访问权限，只有域管理员可以查看机密属性。

看起来是一个很好的功能，可以利用基于角色的访问控制，但我手头没有任何示例。