我有一台 Windows Server 2012 R2 Hyper V VM,用作域控制器(用于域 parihar.local)。我正在该 VM 上设置 EFS(加密文件系统),但遇到了数据恢复代理 (DRA) 帐户的一个非常具体的问题。
我在这里使用 3 个用户登录并测试 EFS 工作情况。3 个用户分别是管理员、maneesh1、deepak。我已设置默认域策略以将管理员和 Maneesh1 的证书添加为 DRA(数据恢复代理)帐户。
我使用 deepak 帐户创建并加密纯文本文件,然后对其进行加密。加密详细信息显示管理员和 maneesh1 为 DRA。我从虚拟机注销。当我登录管理员帐户时,我可以访问作为 DRA 的文件,甚至可以解密这些文件。
但是,当我登录 maneesh1 帐户时,我无法使用密码命令或资源管理器访问或解密文件。
我正在使用自签名证书,并使用密码命令交叉检查了文本文件的 DRA 的证书指纹。带有相同指纹的证书已经安装。
请帮助理解并解决为什么 maneesh1 的第二个 DRA 帐户无法访问和解密加密文件。
谢谢。如需其他信息,请告知我。无法附加超过 2 张图片,如果网站允许,我会尝试在回复期间分享更多图片。
答案1
我意识到出了什么问题。我只是导入了 DRA 用户帐户的证书文件。以及包含私钥的 pfx 文件,这是 DRA 解密加密内容所必需的。
一旦我意识到了这个问题。然后我重做了整个事情。使用 cipher /R: 命令导出证书和 pfx 密钥(恢复密钥),然后在 DRA 帐户中导入/安装 pfx 文件(带有私钥),然后 DRA 用户就可以访问所有加密内容了。所以错误只是导入了证书文件,而不是带有私钥的整个 pfx 包。希望它也能帮助某人解决这个问题。
DRA 仅使用证书密钥(在组策略中)添加,但解密时肯定需要在 DRA 帐户中导入或安装 pfx 包。