Мы использовали Опцию Рабочего стола и Ноутбука (DLO) с Backup Exec. Это работает прилично хорошо и отвечает Вашим требованиям кроме шифрования файлов.
Для шифрования файлов дешевый маршрут должен был бы просто установить TrueCrypt на их ноутбуках и использовать сильный пароль начальной загрузки.
Не используйте пользователей системы с этой целью. Используйте "виртуальный" вместо этого, когда все файлы будут принадлежать одному пользователю и будут позволять курьеру непосредственно получить доступ к ldap серверу.
nss-ldap библиотеки не настолько надежны.
Еще одна вещь: рассмотрите использование голубятни вместо курьера. Это похоже на курьера просто лучше.