EFS агента восстановления групповой политики не используется

Question

EFS агента восстановления групповой политики не используется

Я пытаюсь заставить EFS работать на наших рабочих станциях. Сначала, когда я попытался установить каталог для шифрования, я получил предупреждение о недействительности сертификата агента восстановления.

Оказалось, что срок действия настройки по умолчанию, когда мой домен был впервые установлен много лет назад, истек, поэтому я создал новый и добавил "Агент восстановления данных EFS" в объект групповой политики в разделе "Конфигурация компьютера" -> "Политики" -> "Настройки Windows" - > Политики безопасности -> Политики открытых ключей -> Шифрованная файловая система.

Когда я выполняю "Результаты групповой политики" для данной рабочей станции и пользователя, он показывает нового агента, поэтому его определенно в групповой политике

Кроме того, после запуска "gpupdate /force /wait:-1", а также ожидания 24 часа! когда я пытаюсь установить каталог для шифрования, я больше не получаю предупреждение о недействительном агенте восстановления.

Пока все хорошо, подумал я. Тем не менее, агент восстановления не используется, что я доказал

резервное копирование удаления "пользовательского" сертификата EFS и просто импорта сертификата агента восстановления и закрытого ключа - я получаю отказ в доступе при попытке прочитать файл
при запуске cipher /c я получаю "Сертификат восстановления не найден".
При детальном рассмотрении свойств файла и расширенных параметров шифрования список агентов восстановления пуст.

У кого-нибудь есть идеи, что происходит и как мне использовать агент восстановления?

0

group-policy encrypting-file-system

Источник

Phil 12 апр '12 в 09:13

1 ответ

Другие вопросы по тегам group-policy encrypting-file-system

Geo 25 апр '12 в 16:26 2012-04-25 16:26 · Answer 1 · 2012-04-25 16:26

Я не совсем уверен, что мешает DRA быть установленным в файле, но вот разбивка EFS GPO, которая у меня есть, которая может помочь вам проверить все компоненты на месте. Настройка EFS - довольно сложная комбинация компонентов, если вы спросите меня.

Компьютер GPO для политики восстановления. Похоже, у вас есть эта настройка правильно с сертификатом вашего DRA. У вас в CA установлен шаблон сертификата, который используется для автоматических запросов сертификатов EFS?
Компьютер GPO для отключения самоподписанных сертификатов. Это отключает в реестре возможность использовать самозаверяющие сертификаты.
Пользовательский объект групповой политики для включения автоматической регистрации Cert и роуминга учетных данных. Включить автоматическую регистрацию новых сертификатов для вошедшего в систему пользователя. Кроме того, позвольте пользователю Cert and Keys перемещаться с пользователем, где бы он ни входил в систему.
Пользователь GPO для шифрования папок. Сценарий входа, который запускает cipher.exe как пользователь для шифрования своих папок.

В этой конфигурации предполагается, что вы используете службы сертификации Microsoft AD, а не самозаверяющие сертификаты.