%20Windows%20Server%202012%20%D0%BD%D0%B5%20%D0%BC%D0%BE%D0%B6%D0%B5%D1%82%20%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C%20%D1%84%D0%B0%D0%B9%D0%BB%D1%8B.png)
У меня есть Windows Server 2012 R2, Hyper V VM, действующая как контроллер домена (для домена parihar.local). Я настраиваю EFS (зашифрованную файловую систему) на нем и сталкиваюсь с очень специфической проблемой с учетными записями агентов восстановления данных (DRA).
Я использую 3 пользователей здесь для входа и проверки работы EFS. 3 пользователя — Администратор, maneesh1, deepak. Я настроил политику домена по умолчанию для добавления сертификатов Администратора и Maneesh1 в качестве учетных записей DRA (агентов восстановления данных).
Я создаю и шифрую простой текстовый файл с учетной записью deepak, а затем шифрую его. В деталях шифрования указаны администратор и maneesh1 как DRA. Я выхожу из виртуальной машины. Когда я вхожу в учетную запись администратора, я могу получить доступ к файлам, являющимся DRA, и даже могу расшифровать их.
Однако когда я вхожу в учетную запись maneesh1, я не могу получить доступ к файлу или расшифровать его с помощью команды cipher или проводника.
Я использую самоподписанные сертификаты и перепроверил отпечатки сертификатов DRA текстового файла с помощью команд шифрования. Сертификаты с такими же отпечатками уже установлены.
Пожалуйста, помогите понять и решить, почему вторая учетная запись DRA maneesh1 не может получить доступ к зашифрованному файлу и расшифровать его.
Спасибо. Пожалуйста, дайте мне знать, если потребуется дополнительная информация. Не могу прикрепить больше 2 изображений, постараюсь поделиться больше во время ответов, если сайт позволит.
решение1
Я понял, что пошло не так. Я импортировал только файл сертификата для учетной записи пользователя DRA и файл pfx, который также содержал закрытый ключ, необходимый DRA для расшифровки зашифрованного контента.
Как только я понял проблему. Тогда я все переделал. Использовал команду cipher /R: для экспорта ключей сертификата и pfx (ключей восстановления), а затем импортировал / установил файл pfx (с закрытым ключом) в учетной записи DRA и вуаля пользователь DRA смог получить доступ ко всему зашифрованному контенту. Так что ошибка была только в импорте файла сертификата, а не всего пакета pfx с закрытым ключом. Надеюсь, это также поможет кому-то решить проблему.
DRA добавляется только с ключом сертификата (в групповой политике), но при расшифровке обязательно потребуется пакет pfx, импортированный или установленный в учетной записи DRA.