我有一個 Windows Server 2012 R2、Hyper V VM 充當網域控制站(對於網域 parihar.local)。我正在同一裝置上設定 EFS(加密檔案系統),並且遇到了資料復原代理程式 (DRA) 帳戶的非常具體的問題。
我在這裡使用 3 個使用者登入並測試 EFS 工作。 3 個使用者是管理員、maneesh1、deepak。我已設定預設網域策略以將管理員和 Maneesh1 的憑證新增為 DRA(資料復原代理程式)帳戶。
我使用 Deepak 帳戶創建並加密一個純文字文件,然後對其進行加密。加密詳細資訊將管理員和 maneesh1 顯示為 DRA。我從虛擬機器註銷。當我登入管理員帳戶時,我可以存取 DRA 的文件,甚至解密相同的文件。
但是,當我登入 maneesh1 帳戶時,我無法使用密碼命令或資源管理器存取或解密該檔案。
我正在使用自簽名證書,並使用密碼命令交叉檢查了文字檔案的 DRA 的證書指紋。帶有相同指紋的證書已安裝。
請協助理解並解決為什麼 maneesh1 的第二個 DRA 帳戶無法存取和解密加密檔案。
謝謝。無法附加超過 2 張圖片,如果網站允許,我們將在回覆期間嘗試分享更多圖片。
答案1
我意識到出了什麼問題。我只是導入 DRA 使用者帳戶的憑證檔案。以及包含 DRA 解密加密內容所需的私鑰的 pfx 檔案。
一旦我意識到這個問題。然後我重做了整件事情。使用 cipher /R: 指令匯出 cert 和 pfx 金鑰(恢復金鑰),然後在 DRA 帳戶中匯入/安裝 pfx 檔案(帶有私鑰),瞧,DRA 使用者能夠存取所有加密內容。所以錯誤只是導入了 cert 文件,而不是帶有私鑰的整個 pfx 套件。希望它也可以幫助某人解決這個問題。
DRA 僅新增憑證金鑰(在群組原則中),但解密時肯定需要在 DRA 帳戶中匯入或安裝 pfx 套件。