看了洛洛的《深入剖析EFS》教程,我补充一下在AD中的恢复代理。
1、在AD建立时,域的默认策略里已经有了恢复代理策略。如图1
附件:
您所在的用户组无法下载或查看附件2、我们可以通过在域成员机器上的策略的结果集中看到恢复代理中已经将administrator设为恢复代理(查看域策略结果集的方法是,在运行中输入mmc添加“策略的结果集”。右键策略的结果集,选择“生成rsop数据”,然后一直下一步直到完成。)我们可以在计算机配置--windows设置--安全设置--公匙策略--正在加密文件系统中看到administrator已经设为恢复代理。如图2
附件:
您所在的用户组无法下载或查看附件3、在dc上导出administrator恢复代理的私钥。具体做法:右键administrator--所有任务--导出--下一步--是,导出私钥--下一步--键入并确认密码--选择私钥保存的位置--完成。如图3、4、5、6.
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件4、用domain administrator登陆需要加密恢复的域成员机器上,安装私钥,在安装过程中需要输入私钥保护密码。这时domain administrator就可以解密domain users的加密文件。
关于安装私钥的方法可以参见洛洛的《深入剖析EFS》这个帖子:
http://www.mcse.org.cn/showtopic-1408.html你们的回复是我发表主题的动力!
