我知道EFS数据恢复已经在论坛上讨论过很多次了,但是在其他线程中我找不到任何有用的东西,因为我相信我已经遵循了所有必需的步骤,但是仍然无法使EFS恢复代理工作。
我在Beta.com域下有一个Client1(Win 8.1)和一个DC1(Windows Server 2012 R2)。
DC1是一个CA服务器以及一个域控制器。 1.我以域pipe理员帐户beta.com \ Administrator身份login到DC1。
2.我复制了DC1上的EFS恢复代理模板,并将其发布到Active Directory中。
3.然后,我编辑了默认域策略GPO,并在计算机设置\策略\ Windows设置\安全设置\公钥策略我右键单击encryption文件系统,并select创build一个数据恢复代理,并为pipe理员生成一个新的文件恢复证书帐户。
4.导出新创build的恢复代理证书,然后以beta.com \ Administrator身份login到Client1并导入它。
5.然后,我从Client1注销,并使用其他帐户beta.com \ johns重新login,并使用EFSencryption了一个文件夹(里面有一个文本文件)。 (本地磁盘上的文件夹地址是C:\ Reports)
6.然后我再次使用beta.com \ Administrator重新login到Client1,但无法打开文件夹内的文件,并且出现Access is denied(访问被拒绝)消息。
由于在文本文件上右键单击并单击属性 – >高级 – >详细信息时,在恢复证书下,pipe理员帐户的证书被列出,并且其指纹对应于相同的文件,所以得到“访问被拒绝”恢复证书,我在步骤3中创build。但我仍然无法访问该文件。
你知道为什么吗? 我错过了什么吗?
提前致谢。
我们遇到了在文件共享上encryption文件的问题,在这种情况下,我们在重新启动后将无法访问这些文件。 重新启动将清除服务器上的本地证书caching。
显然我们通过信任服务器计算机来解决这个问题。 这是在Active Directory中,在服务器计算机的对象下完成的 – 有一个名为“Delegation”的窗格。 默认情况下,所有的计算机都不受信任委派,但通过设置“信任这台计算机委托给任何服务(仅限Kerberos)”,即使在重新引导之后,我们也能够访问我们的文件共享中的encryption文件。