Eu fiz alguns testes usando o domínio EFS e AD. Eu acho que a seguinte solução pode ser usada.
Eu usei o EFS para criptografar uma pasta e dei permissão a um usuário X. Quando esse login de usuário com credenciais de domínio tiver acesso total a essa pasta e puder copiar todos os arquivos. (arquivos criptografados!)
Mas se o usuário não fizer login com as credenciais do domínio do AD, ele não poderá acessar os arquivos. Mesmo se ele estiver usando a conta de administrador local na máquina.
O problema agora é que o AD permanece com informações do usuário armazenadas em cache.
Agora, preciso saber se você pode configurar o AD para autenticar os laptops apenas se o servidor estiver on-line e não permitir que esses usuários descriptografem os arquivos usando o EFS.
Você já implementou algo assim?