Also ich habe folgendes ausprobiert und es folgendes kam raus:
Ich habe 3 Benutzer angelegt: unlock, user und superuser.
unlock darf als einziger die festplatte entschlüsseln, user ist ein standardbenutzer und superuser ein admin, der nicht entschlüsseln darf.
Bei unlock wird beim Einloggen ein Skript gestartet, was ihn sofort wieder ausloggt. -> Der Bootvorgang läuft wie folgt: man muss das PW von unlock eingeben, und landet dann im Anmeldefenster. (mit sudo defaults write /Library/Preferences/com.apple.loginwindow HiddenUsersList -array-add user1 user2 user3 user4 kann man User dort ausblenden)
Man gibt das PW von user ein und alles ist in Butter. Zu Systemänderungen kann entweder das PW von unlock oder superuser eingegeben werden.
Nun kommt das Bemerkenswerte:
Geht das Macbook in den Ruhezustand (Sleep, bzw Hybrid Sleep), kann es durch das PW von user entsperrt werden!
Wie das mit Deep Sleep aussieht, weiß ich nicht, da dürfte man das PW von unlock eingeben müssen.