%20%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%8C%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E5%BE%A9%E5%8F%B7%E5%8C%96%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84.png)
Windows Server 2012 R2、Hyper V VM をドメイン コントローラー (ドメイン parihar.local) として使っています。同じマシンに EFS (暗号化ファイル システム) を設定していますが、データ回復エージェント (DRA) アカウントに関する非常に特殊な問題が発生しています。
ここでは 3 人のユーザーを使用してログインし、EFS の動作をテストしています。3 人のユーザーは、Administrator、maneesh1、deepak です。既定のドメイン ポリシーを設定して、Administrator と Maneesh1 の証明書を DRA (データ回復エージェント) アカウントとして追加しました。
deepak アカウントでプレーン テキスト ファイルを作成して暗号化し、同じファイルを暗号化します。暗号化の詳細には、administrator と maneesh1 が DRA として表示されます。VM からログオフします。管理者アカウントにログインすると、DRA であるファイルにアクセスでき、同じファイルを復号化することもできます。
しかし、maneesh1 アカウントにログインすると、cipher コマンドまたはエクスプローラーを使用してファイルにアクセスしたり、ファイルを復号化したりすることができません。
私は自己署名証明書を使用しており、暗号コマンドを使用してテキスト ファイルの DRA の証明書サムプリントをクロスチェックしました。同じサムプリントを持つ証明書はすでにインストールされています。
maneesh1 の 2 番目の DRA アカウントが暗号化されたファイルにアクセスして復号化できない理由を理解し、解決するお手伝いをお願いします。
ありがとうございます。追加情報が必要な場合はお知らせください。2枚以上の画像を添付することはできませんが、サイト側で許可されれば返信時にさらに画像を共有するよう努めます。
答え1
何が間違っているのかが分かりました。DRA ユーザー アカウントの証明書ファイルと、DRA が暗号化されたコンテンツを復号化するために必要な秘密キーを含む pfx ファイルのみをインポートしていました。
問題に気付いた後、すべてをやり直しました。cipher /R: コマンドを使用して証明書と pfx キー (回復キー) をエクスポートし、pfx ファイル (秘密キー付き) を DRA のアカウントにインポート/インストールすると、DRA ユーザーはすべての暗号化されたコンテンツにアクセスできるようになりました。つまり、間違いは証明書ファイルのみをインポートし、秘密キー付きの pfx パッケージ全体をインポートしなかったことです。これが、問題解決に役立つことを願っています。
DRA は証明書キー (グループ ポリシー内) のみで追加されますが、復号化時には必ず DRA アカウントにインポートまたはインストールされた pfx パッケージが必要になります。