指定EFS恢复代理证书-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

指定EFS恢复代理证书

简介:
1.1.1 指定恢复代理证书

为了防止个别用户帐户的EFS证书丢失,造成加密的数据不可访问,您可以在创建数据恢复代理证书。该用户代理程序可以恢复该部门的或整个域的用户加密的文件。

示例:给域中所有计算机指定一个数据恢复代理证书。

1. 以域管理员的身份登录DCServer。

2. 点击“开始”à“程序”à“管理工具”à“组策略管理”。

3. 在组策略管理对话框中,如图,右击“Default Domain Policy”,点击“编辑”。

提示:该组策略默认连接在域级别上,因此影响到域中所有的计算机,如果您想对销售部门的计算机指定数据恢复代理证书,您可以创建新的组策略,并将该组策略连接到销售部门的组织单元。

4. 在组策略编辑管理器对话框,如图,右击“加密文件系统”,点击“创建数据恢复代理程序”。

clip_image002

clip_image004

5. 您会看到ESS-DCSERVER-CA发给administrator的文件恢复证书。

6. 双击该证书,您会看到证书的目的:文件恢复,并且能看到您有一个域该证书对应的私钥。

7. 关闭组策略编辑器。

clip_image006

clip_image008

8. 打开IE属性,在内容标签下,点击“证书”按钮,在证书对话框,选中文件恢复证书,点击“导出”按钮。

9. 在导出向导对话框中,选择“是,导出私钥”,点击“下一步”。

clip_image010

clip_image012

10. 在文件格式对话框,点击“下一步”。

11. 在密钥对话框中,输入密钥,点击“下一步”。

clip_image014

clip_image016

12. 再出现的对话框中,输入存储证书路径和文件名,完成导出。

注:将导出的恢复代理证书妥善保存起来,为了安全期间,现在您可以删除存储在域控制器上的恢复代理证书了。

clip_image018

13. 在Research计算机运行gpupdate /force 刷新组策略。

clip_image020

14. 在“hanLG EFS”文件夹中创建一个记事本文件“second test.txt”。

15. 切换用户,以域管理员登录Research,双击“Seond test.txt”,您将会发现拒绝访问。

16. 导入从DCServer计算机上将恢复代理证书拷贝到Research计算机。打开IE属性对话框,在内容标签下,点击“证书”按钮。

17. 在证书对话框中,点击“导入”,浏览到证书,输入密码,将恢复代理证书导入。

 

clip_image022

18. 双击“second test.txt”文件,您能打开。

19. 双击“hanLG test.txt”文件,提示拒绝访问。

提示:恢复代理证书只能解密那些指定恢复代理证书的组策略应用以后的加密的文件。因此不能解密“hanLG test.txt”文件。



本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1115011,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: