На компьютере, присоединенном к домену, можете ли вы зашифровать папку с помощью EFS, а затем экспортировать свой сертификат / закрытый ключ, а затем войти в систему как другой пользователь и импортировать его для просмотра зашифрованных файлов? Я пробовал это и не смог, но, возможно, делаю это неправильно. Не получается, потому что CN сертификата зарегистрирован только для одного пользователя?
Есть ли способ сделать эту машину широкой? Т.е. Импортировать в хранилище сертификатов аппарата и разрешить всем пользователям просматривать этот файл?
В домене нет центра сертификации AD.
Спасибо
После настройки тестовой среды виртуальной машины я определил следующее.
Чтобы просмотреть файлы, зашифрованные EFS, ВАШ личное хранилище EFS должно содержать ЧАСТНЫЙ ключ сертификата, созданного пользователем, зашифровавшим файл, ИЛИ закрытый ключ сертификата агента восстановления.
Вы не можете импортировать закрытый ключ в хранилище сертификатов аппарата, так как это дает доступ только к учетной записи SYSTEM.
Вы можете использовать команду cipher /c filename.txt чтобы определить, кто зашифровал файл и из какого отпечатка сертификата нужно экспортировать закрытый ключ.
Чтобы получить закрытый ключ пользователя, войдите в систему как пользователь, который зашифровал и использует start->run->mmc->certificates->export с закрытым ключом.
Чтобы получить закрытый ключ агента восстановления домена, войдите в контроллер домена и сделайте то же самое. start->run->MMC->certificates->personal-> find Domain Recovery Certificate -> export private key.
Затем возьмите этот файл .pfx и импортируйте его на рассматриваемую машину, войдя в систему как пользователь, к которому вы хотите получить доступ.
В качестве примечания: это было протестировано в среде домена, в которой нет PKI / CA. С PKI / CA все, вероятно, намного проще.
Надеюсь, это кому-то поможет.