指定EFS恢復代理證書

1.1.1 指定恢復代理證書

為了防止個別使用者帳戶的EFS證書丟失，造成加密的資料不可訪問，您可以在建立資料恢復代理證書。該使用者代理程式可以恢復該部門的或整個域的使用者加密的檔案。

示例：給域中所有計算機指定一個資料恢復代理證書。

1. 以域管理員的身份登入DCServer。

2. 點選“開始”à“程式”à“管理工具”à“組策略管理”。

3. 在組策略管理對話方塊中，如圖，右擊“Default Domain Policy”，點選“編輯”。

提示：該組策略預設連線在域級別上，因此影響到域中所有的計算機，如果您想對銷售部門的計算機指定資料恢復代理證書，您可以建立新的組策略，並將該組策略連線到銷售部門的組織單元。

4. 在組策略編輯管理器對話方塊，如圖，右擊“加密檔案系統”，點選“建立資料恢復代理程式”。

5. 您會看到ESS-DCSERVER-CA發給administrator的檔案恢復證書。

6. 雙擊該證書，您會看到證書的目的：檔案恢復，並且能看到您有一個域該證書對應的私鑰。

7. 關閉組策略編輯器。

8. 開啟IE屬性，在內容標籤下，點選“證書”按鈕，在證書對話方塊，選中檔案恢復證書，點選“匯出”按鈕。

9. 在匯出嚮導對話方塊中，選擇“是，匯出私鑰”，點選“下一步”。

10. 在檔案格式對話方塊，點選“下一步”。

11. 在金鑰對話方塊中，輸入金鑰，點選“下一步”。

12. 再出現的對話方塊中，輸入儲存證書路徑和檔名，完成匯出。

注：將匯出的恢復代理證書妥善儲存起來，為了安全期間，現在您可以刪除儲存在域控制器上的恢復代理證書了。

13. 在Research計算機執行gpupdate /force 重新整理組策略。

14. 在“hanLG EFS”資料夾中建立一個記事本檔案“second test.txt”。

15. 切換使用者，以域管理員登入Research，雙擊“Seond test.txt”，您將會發現拒絕訪問。

16. 匯入從DCServer計算機上將恢復代理證書拷貝到Research計算機。開啟IE屬性對話方塊，在內容標籤下，點選“證書”按鈕。

17. 在證書對話方塊中，點選“匯入”，瀏覽到證書，輸入密碼，將恢復代理證書匯入。

 

18. 雙擊“second test.txt”檔案，您能開啟。

19. 雙擊“hanLG test.txt”檔案，提示拒絕訪問。

提示：恢復代理證書只能解密那些指定恢復代理證書的組策略應用以後的加密的檔案。因此不能解密“hanLG test.txt”檔案。