长话短说,我有一个包含敏感信息的工具的配置文件,客户端希望对它们进行加密。我想为此使用 EFS,但有一个问题:执行安装(以及加密)的帐户不能与运行该工具的帐户相同(为什么在这一点上并不重要),所以我的问题如下:
有没有办法将用于解密的证书从一个用户转移到 Windows Server 2012 上同一台计算机上的另一个用户?
提前致谢
答案1
做你想做的事的最简单的方法可能是利用 EFS 加密文件的加密文件共享选项。
您可以在加密文件的高级属性中启用 EFS 文件共享,您可以通过文件属性的常规选项卡上的高级按钮访问该属性。在共享加密文件之前,文件显然必须经过加密。如果文件已加密,您会注意到文件的高级属性中的详细信息按钮可用。按下此按钮会弹出“加密详细信息...”对话框。(顺便说一下,在 Windows Vista 中,此对话框的标题为“用户访问”)。从此对话框中,您可以与其他用户共享加密文件。共享 EFS 加密文件不是加密文件并与其他用户共享的用户帐户的明确特权。例如,Jan 可能已加密文件并决定与 Katrien 共享。Katrien 可能决定与 Wim 共享。唯一的条件是,您要授予加密文件访问权限的用户拥有有效的 EFS 证书,该证书存储在您 PC 上的本地证书存储中或 Active Directory 中(如果您的计算机已加入 AD 域)。
或者,是的,可以与另一个用户“共享”用户的 EFS 证书 - 通过在用户的个人证书存储之间复制它。
从“选择用户”对话框中,您可以访问存储在个人证书存储区的“其他人”和“受信任的人”证书容器中的 EFS 用户证书。受信任的人是新的 XP 和 Windows 2003 证书容器。它包含曾经加密过特定计算机文件的所有用户的 EFS 证书。如果您的计算机是 Windows AD 域的成员,您会注意到“查找用户...”按钮已启用。按此按钮可以访问在 AD 中发布的 EFS 用户证书。请注意,EFS“选择用户”对话框将仅显示有效的 EFS 证书。这意味着证书必须在其属性中启用“加密文件系统”目的,并且证书必须有效且未过期。如果您想与上述存储库中没有 EFS 证书的人共享加密文件,您可以随时将其手动导入 AD 或您的证书存储区。