Windows NTFS 中的 EFS 恢复代理操作
工作组模式下的用户:
xp无默认恢复代理,所以只手动创建cipher /r:efs后,当前用户才能恢复代理,也就是他自己。
cipher /r:efs 得到二个证书文件efs.cer/efs.pfx。
在gpedit.msc中添加恢复代理,使用cer文件。
在恢复操作中,使用pfx文件,先安装后才能打开efs文件。
(可以创建efs文件,使用管理员帐户强制改密码(此后,用户自己也打不开自己的efs文件)再安装pfx证书后才能打开)
工作组模式下的恢复代理,是一对一的。
域模式下的用户:
无企业根CA:
在gpmc中没有设置恢复代理时,默认恢复代理为域默认管理员帐户(domain\administrator)。
此时要恢复efs文件,在dc上使用 domain\administrator 运行 certmgr.msc 在个人证书里有一个administrator的文件恢复代理证书,导出来得到pfx文件。
再使用这个pfx文件来去解efs文件。
使用域用户运行 cipher /r:efs,在gpmc中把efs.cer添加为域恢复代理。
此后 domain\administrator 不在是恢复代理,再也不能解开任一efs文件(这个efs没有对domain\administrator授权时)
(在添加之初有部分文件,因gpo更新的问题可能会对指定的域恢复代理作用不及时。)
可在操作前后,在efs文件属性的 常规-高级属性-详细信息 中查看到 恢复代理程序名 这一栏下面值的变化。
有企业根CA:
所以如果在域中使用efs的话,建议创建企业根CA。
企业根CA申请方法有三种:IIS的web手动申请/mmc的证书管理器手动申请/系统自动申请.
所以建议先安装iis(只需要安装ASP与万维网二个子组件),再安装 证书服务 组件。
企业根CA的公用名称,为便于识别可为 <msft> Root CA
企业根CA证书获取:
在 http://localhost/certsrv/ 中 “下载 CA 证书、证书链或 CRL” 的 “下载 CA 证书链”
或在dc上打开公钥管理器,在 本地计算机证书 -- 受信任的根证书颁发机构 中的将 <msft> Root CA 导出为p7b格式。
使用要设置为efs恢复代理用户登录,打开certmgr.msc,申请一个efe恢复代理证书,再导出cer/pfx文件。
将cer文件,添加为efs恢复代理程序
欢迎转载,但请注明内容的来源或URL;
“[转]”篇章,必须保留原始来源且勿添加本blog指向。