我在工作组网络上有一台 Win 7 Ultimate 台式机(服务器)和一台 Win 7 Pro 笔记本电脑(客户端)。客户端和服务器计算机都具有相同名称的管理员用户帐户,并使用相同的密码
服务器上有多个网络共享。管理员帐户可以访问所有共享,并且是共享的所有者。其中一个共享使用 EFS 加密。
从客户端计算机,我可以读取 EFS 共享中的文件,并修改和保存共享中的文件。但由于某种原因,我无法移动文件到共享或创建新文件在共享。任何尝试执行此操作都会失败,并显示错误“您需要权限才能执行此操作。”
对于一次在共享中创建文件的尝试,服务器的事件视图安全日志会报告大约 50 个与此相同的错误。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 12/06/2011 13:01:53
Event ID: 5061
Task Category: System Integrity
Level: Information
Keywords: Audit Failure
User: N/A
Computer: Bob-Server
Description:
Cryptographic operation.
Subject:
Security ID: Bob-Server\Bob
Account Name: Bob
Account Domain: Bob-Server
Logon ID: 0x23ac9a
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: RSA
Key Name: 0275500c-4fdf-4ac8-85e1-3eb01ab7f5c7
Key Type: User key.
Cryptographic Operation:
Operation: Open Key.
Return Code: 0x8009000b
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>5061</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12290</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-06-12T12:01:53.260876000Z" />
<EventRecordID>6375</EventRecordID>
<Correlation />
<Execution ProcessID="588" ThreadID="1148" />
<Channel>Security</Channel>
<Computer>Bob-Server</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-21-2383235112-229054839-1289256265-1001</Data>
<Data Name="SubjectUserName">Bob</Data>
<Data Name="SubjectDomainName">Bob-Server</Data>
<Data Name="SubjectLogonId">0x23ac9a</Data>
<Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
<Data Name="AlgorithmName">RSA</Data>
<Data Name="KeyName">0275500c-4fdf-4ac8-85e1-3eb01ab7f5c7</Data>
<Data Name="KeyType">%%2500</Data>
<Data Name="Operation">%%2480</Data>
<Data Name="ReturnCode">0x8009000b</Data>
</EventData>
</Event>
这是一个问题,因为它阻止了同步软件的正确运行。
据我所知,这似乎不是由于共享配置造成的,所有未加密的共享都可以正常工作。我测试了加密现有共享。在加密之前,我可以在共享中创建新文件,加密共享后,我就不能再在那里创建新文件了。
据我所知,将每台机器的 EFS 加密密钥和证书传输给另一台机器应该没有必要(因为访问文件的是同一个用户),这似乎是因为我可以毫无问题地读取和修改文件。尽管如此,我还是尝试了这种方法,但没有什么效果。
我读过的所有 EFS 文档中都没有提到这种行为。有谁知道为什么会发生这种情况,或者能给我提供一些可以解释这个问题的信息吗?
答案1
在独立设置中,EFS 不能用于共享目录(至少通过 SMB)。据微软称,至少该服务器必须是 Active Directory 域的一部分。
(由于 Windows 无需加入 AD 域即可使用 Kerberos 进行身份验证,因此可能有可能破解一些东西让 EFS 工作,但我现在无法测试。我可能会稍后更新答案...)