%20kann%20keine%20Dateien%20entschl%C3%BCsseln.png)
Ich habe einen Windows Server 2012 R2, Hyper V VM, der als Domänencontroller fungiert (für die Domäne parihar.local). Ich richte EFS (Encrypted File System) darauf ein und habe ein sehr spezielles Problem mit Data Recovery Agents (DRA)-Konten.
Ich verwende hier 3 Benutzer, um mich anzumelden und die Funktion des EFS zu testen. 3 Benutzer sind Administrator, maneesh1, deepak. Ich habe die Standarddomänenrichtlinie so eingerichtet, dass Zertifikate von Administrator und Maneesh1 als DRA-Konten (Data Recovery Agents) hinzugefügt werden.
Ich erstelle und verschlüssele eine reine Textdatei mit einem Deepak-Konto und verschlüssele sie dann. Die Verschlüsselungsdetails zeigen Administrator und maneesh1 als DRAs. Ich melde mich von der VM ab. Wenn ich mich beim Administratorkonto anmelde, kann ich auf die Dateien zugreifen, die die DRA sind, und ich kann sie sogar entschlüsseln.
Wenn ich mich jedoch beim Konto maneesh1 anmelde, kann ich mit dem Verschlüsselungsbefehl oder dem Explorer nicht auf die Datei zugreifen oder sie entschlüsseln.
Ich verwende selbstsignierte Zertifikate und habe die Zertifikatfingerabdrücke des DRA der Textdatei mithilfe von Verschlüsselungsbefehlen gegengeprüft. Die Zertifikate mit den gleichen Fingerabdrücken sind bereits installiert.
Helfen Sie bitte dabei, zu verstehen und zu lösen, warum das zweite DRA-Konto von maneesh1 nicht auf die verschlüsselte Datei zugreifen und sie entschlüsseln kann.
Danke. Bitte lassen Sie es mich wissen, wenn Sie weitere Informationen benötigen. Es können nicht mehr als 2 Bilder angehängt werden. Ich werde versuchen, während der Antworten mehr zu teilen, wenn die Site dies zulässt.
Antwort1
Mir wurde klar, was schief lief. Ich importierte nur die Zertifikatsdatei für das DRA-Benutzerkonto und die PFX-Datei, die auch den privaten Schlüssel enthielt, den DRA benötigte, um den verschlüsselten Inhalt zu entschlüsseln.
Als ich das Problem erkannte, habe ich das Ganze noch einmal gemacht. Habe den Befehl cipher /R: verwendet, um die Zertifikat- und PFX-Schlüssel (Wiederherstellungsschlüssel) zu exportieren, und dann die PFX-Datei (mit privatem Schlüssel) im DRA-Konto importiert/installiert und voilà, der DRA-Benutzer konnte auf alle verschlüsselten Inhalte zugreifen. Der Fehler bestand also darin, nur die Zertifikatsdatei und nicht das gesamte PFX-Paket mit privatem Schlüssel zu importieren. Hoffe, es kann auch jemandem mit diesem Problem helfen.
Der DRA wird nur mit dem Zertifikatsschlüssel hinzugefügt (in der Gruppenrichtlinie), aber beim Entschlüsseln ist unbedingt das PFX-Paket erforderlich, das im DRA-Konto importiert oder installiert wird.