Я знаю, что восстановление данных EFS много раз обсуждалось на форумах, но я не смог найти ничего полезного в других потоках, так как считаю, что выполнил все необходимые шаги, но все еще не могу заставить работать агент восстановления EFS.
У меня есть Client1 (Win 8.1) и DC1 (Windows Server 2012 R2) в домене beta.com.
DC1 - это сервер CA, а также контроллер домена. 1. Я вошел в DC1 как beta.com \ Administrator, который является учетной записью администратора домена.
2. Я продублировал шаблон агента восстановления EFS на DC1 и опубликовал его в Active Directory.
3.Затем я отредактировал GPO политики домена по умолчанию и в разделе Computer Settings \ Policies \ Windows Settings \ Security Settings \ Public Key Policies я щелкнул правой кнопкой мыши Encrypting File System и выбрал Create a Data Recovery Agent, и для администратора был создан новый сертификат восстановления файлов. учетная запись.
4. Я экспортировал только что созданный сертификат агента восстановления, а затем вошел в Client1 как beta.com \ Administrator и импортировал его.
5. Затем я вышел из Client1 и снова вошел в систему, используя другую учетную запись beta.com \ johns, и зашифровал папку (с текстовым файлом внутри) с помощью EFS. (Адрес папки на локальном диске - C: \ Reports)
6. Затем я снова вошел в Client1, используя beta.com \ Administrator, но не могу открыть файл внутри папки и получаю сообщение «Доступ запрещен».
Очень странно получать сообщение «Доступ запрещен», потому что в текстовом файле, когда я щелкаю правой кнопкой мыши и выбираю «Свойства» -> «Дополнительно» -> «Подробности», в разделе «Сертификаты восстановления» отображается сертификат учетной записи администратора, и его отпечаток соответствует тому же сертификат восстановления, который я создал на шаге 3. Но я все еще не могу получить доступ к файлу.
Вы знаете почему? Я что-то упускаю?
Заранее спасибо.
У нас были проблемы с шифрованием файлов на общей папке, когда мы теряли доступ к файлам после перезагрузки. Перезагрузка очищает локальный кеш сертификатов на сервере.
По-видимому, мы решили эту проблему, доверив серверный компьютер для делегирования. Это делается в Active Directory, под объектом серверного компьютера - есть панель под названием «Делегирование». По умолчанию все компьютеры не являются доверенными для делегирования, но, установив параметр «Доверять этому компьютеру для делегирования любой службе (только Kerberos)», мы смогли получить доступ к зашифрованным файлам через нашу filshare даже после перезагрузки.