我知道 EFS 数据恢复已在论坛上讨论过很多次,但我在其他主题中找不到任何有用的信息,因为我相信我已经遵循了所有必需的步骤,但仍然无法使 EFS 恢复代理工作。
我在 beta.com 域下有一个 Client1(Win 8.1)和一个 DC1(Windows Server 2012 R2)。
DC1 是 CA 服务器,也是域控制器。1.我以 beta.com\Administrator(域管理员帐户)身份登录 DC1。
2.我在 DC1 上复制了 EFS 恢复代理模板并将其发布到 Active Directory 中。
3.然后我编辑了默认域策略 GPO,并在“计算机设置\策略\Windows 设置\安全设置\公钥策略”下右键单击“加密文件系统”,并选择“创建数据恢复代理”,然后为管理员帐户生成了一个新的文件恢复证书。
4.我导出了新创建的恢复代理证书,然后以 beta.com\Administrator 身份登录 Client1 并导入它。
5.然后我从 Client1 注销,并使用另一个帐户 beta.com\johns 重新登录,并使用 EFS 加密一个文件夹(里面有一个文本文件)。(本地磁盘上的文件夹地址是 C:\Reports)
6.然后我使用 beta.com\Administrator 再次登录到 Client1,但是我无法打开文件夹内的文件,并且收到“访问被拒绝”消息。
收到“拒绝访问”消息非常奇怪,因为当我在文本文件上单击鼠标右键并单击“属性”->“高级”->“详细信息”时,在恢复证书下,列出了管理员帐户的证书,并且其指纹对应于我在步骤3中创建的相同恢复证书。但我仍然无法访问该文件。
你知道为什么吗?我是不是漏掉了什么?
提前致谢。
答案1
我们在加密文件共享上的文件时遇到了问题,重启后我们将无法访问这些文件。重启会清除服务器上的本地证书缓存。
显然,我们通过信任服务器计算机进行委派解决了这个问题。这是在 Active Directory 中完成的,在服务器计算机的对象下 - 有一个名为“委派”的窗格。默认情况下,所有计算机都不受信任委派,但通过设置“信任此计算机委派任何服务(仅 Kerberos)”,我们即使在重新启动后也能够通过我们的 filshare 访问加密文件。