EFS - как запретить зашифрованные файлы на общем сетевом ресурсе?

Question

EFS - как запретить зашифрованные файлы на общем сетевом ресурсе?

У меня есть два сервера, оба в домене, оба Windows Server 2008 R2, на мой взгляд, настроены практически одинаково.

Сервер1 позволяет копировать зашифрованные файлы в общие сетевые ресурсы. Сервер2 выдает ошибку при попытке скопировать зашифрованный файл: "Вы копируете файл в место назначения, которое не поддерживает шифрование" (предпочтительное действие).

На обоих серверах запись реестра NtfsDisableEncryption установлена в 0.

Я просмотрел объект групповой политики и не вижу ничего, связанного с EFS. Не помню и настройки.

Где я могу найти вариант, отвечающий за это поведение?

Как / где я могу найти разницу между теми серверами, которые определяют это поведение?

2

windows windows-server-2008 windows-server-2008-r2 network-share encrypting-file-system

Источник

toffitomek 26 сен '14 в 12:51

1 ответ

Другие вопросы по тегам windows windows-server-2008 windows-server-2008-r2 network-share encrypting-file-system

Steve365 05 окт '14 в 19:54 2014-10-05 19:54 · Answer 1 · 2014-10-05 19:54

Я не знал ответа на этот вопрос, но это выглядело интересно, поэтому я подумал, что попробую повторить проблему.

При установке по умолчанию 2012 R2 (не было под рукой 2008 R2) я получил ту же ошибку при попытке скопировать зашифрованный EFS-файл с одного присоединенного домена на общий ресурс на другом.

Google в конечном итоге приведет меня к этой статье;

http://technet.microsoft.com/en-us/library/bb457116.aspx

Ответ
В Active Directory Users & Computers найдите учетную запись компьютера для неисправного сервера. Откройте окно свойств, на вкладке "Делегирование" установите флажок "Доверять этот компьютер для делегирования любым службам (только Kerberos)".
Перезагрузите сервер.
Теперь вы сможете удаленно копировать зашифрованные файлы EFS в общую папку.

Это решило это для меня; надеюсь, это будет и для вас.

Ключ, который в конечном итоге привел меня к этому, состоял в том, чтобы попытаться зашифровать существующий удаленный файл; это также дает сбой, но сообщение об ошибке гораздо более полезно: "Запрошенная операция не может быть завершена. Компьютер должен быть доверенным для делегирования, а текущая учетная запись пользователя должна быть настроена для разрешения делегирования".

Причина (насколько я понимаю), что это требуется, заключается в том, как копия файла работает по сети. При передаче файла CIFS/SMB файл дешифруется на исходном компьютере, передается в виде простого текста и повторно шифруется в месте назначения. Чтобы удаленный файловый сервер повторно зашифровал файл по прибытии, служба EFS должна олицетворять учетную запись пользователя, инициировавшего копирование файла.

Следует отметить, что существует ряд других проблем, которые необходимо учитывать, если вы разрешите хранить файлы EFS на удаленных общих папках; ссылка, которую я разместил выше, описывает некоторые из них в некоторых деталях - статью стоит прочитать.