Os cmdlets Convert*-SecureString
utilizam a API de proteção de dados do Windows para criptografar e descriptografar strings.
Por padrão, a chave de criptografia composta para esse tipo de operação é específica da conta de usuário que fez a chamada e da máquina para a qual a chamada foi feita.
Quando você executa sysprep /generalize
, o SysPrep (entre outras coisas) neutraliza as bases do banco de dados SAM local, gerando um novo SID de máquina e um novo conjunto de chaves de criptografia.
Este artigo da base de conhecimento explica como isso afeta a descriptografia do EFS, mas seu problema é essencialmente o mesmo
Outra maneira de pensar sobre isso:
Como o SID da máquina representa efetivamente o domínio de logon para usuários locais, a conta de usuário não é, por definição, a mesma conta de antes da execução do SysPrep.