1.1.1 指定恢复代理证书
为了防止个别用户帐户的EFS证书丢失,造成加密的数据不可访问,您可以在创建数据恢复代理证书。该用户代理程序可以恢复该部门的或整个域的用户加密的文件。
示例:给域中所有计算机指定一个数据恢复代理证书。
1. 以域管理员的身份登录DCServer。
2. 点击“开始”à“程序”à“管理工具”à“组策略管理”。
3. 在组策略管理对话框中,如图,右击“Default Domain Policy”,点击“编辑”。
提示:该组策略默认连接在域级别上,因此影响到域中所有的计算机,如果您想对销售部门的计算机指定数据恢复代理证书,您可以创建新的组策略,并将该组策略连接到销售部门的组织单元。
4. 在组策略编辑管理器对话框,如图,右击“加密文件系统”,点击“创建数据恢复代理程序”。
5. 您会看到ESS-DCSERVER-CA发给administrator的文件恢复证书。
6. 双击该证书,您会看到证书的目的:文件恢复,并且能看到您有一个域该证书对应的私钥。
7. 关闭组策略编辑器。
8. 打开IE属性,在内容标签下,点击“证书”按钮,在证书对话框,选中文件恢复证书,点击“导出”按钮。
9. 在导出向导对话框中,选择“是,导出私钥”,点击“下一步”。
10. 在文件格式对话框,点击“下一步”。
11. 在密钥对话框中,输入密钥,点击“下一步”。
12. 再出现的对话框中,输入存储证书路径和文件名,完成导出。
注:将导出的恢复代理证书妥善保存起来,为了安全期间,现在您可以删除存储在域控制器上的恢复代理证书了。
13. 在Research计算机运行gpupdate /force 刷新组策略。
14. 在“hanLG EFS”文件夹中创建一个记事本文件“second test.txt”。
15. 切换用户,以域管理员登录Research,双击“Seond test.txt”,您将会发现拒绝访问。
16. 导入从DCServer计算机上将恢复代理证书拷贝到Research计算机。打开IE属性对话框,在内容标签下,点击“证书”按钮。
17. 在证书对话框中,点击“导入”,浏览到证书,输入密码,将恢复代理证书导入。
18. 双击“second test.txt”文件,您能打开。
19. 双击“hanLG test.txt”文件,提示拒绝访问。
提示:恢复代理证书只能解密那些指定恢复代理证书的组策略应用以后的加密的文件。因此不能解密“hanLG test.txt”文件。
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1115011,如需转载请自行联系原作者
