如何用域管理员打开客户端本地的加密文件
学了一下关于EFS文件的知识;怕自己忙记哈,所以今天就写下这篇文章,有什么错误,请多多指教用途:主要是访止用户忘记密码或者离职后,不知道密码的情况打开该用户加密的文件。
关于加密文件,主要有两种工作环境,一种是工作组,另一种是域。
关于EFS的概念请参考yansy老师的贴子:http://bbs.chinaitlab.com/thread-306427-1-1.html
工作组的环境下主要有两种情况
一:在用户加密文件之前,已经创建好"密码恢复代理”,这个时候可以使用“密码恢复代理”打开该用户加密文件。
二:在用户加密文件之前,没有创建“密码恢复代理”,在这个情况下只有该用户有权限打开该加密文件,其它用户没有权限打开该加密文件包括本地管理员(到现在为止,还不知道有什么办法可以打开该加密文件啊,哈)。
备注:当该用户加密文件后,千万不要强行更改该用户的密码,否则该用户也不能打开该加密文件。强行修改密码指的是:应用控制面板的管理工具直接点击该用户重新设置密码。
还有补充一下yansy老师帖子的第三点:
3、对于已加密的数据进行移动或传输时,在移动或传输过程中数据是被解密的,待移动到相应的位置后再次被加密。如果加密数据被移动到了非NTFS分区,数据会被自动解密。(注意一下:当加密数据被移动到了非NTFS分区,数据会被自动解密;这句话的具体意思应该是:只有该加密的用户有权限将该加密文件移动到非NTFS分区,然后会自动解密,但是用其它用户的话,是没有权限将该文件移动到非NTFS分区,你也不要想用这个办法来解密啊,哈)
好现在进入实验,在域的环境下如何用域的管理员打开客户端用户在本地的加密文件。
在域的环境下,本身一开始就已经创建了一个“密码恢复代理”,所以根本不存在工作组创建“密码恢复代理”之前之后的问题。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245618777801.jpg
<
现在用户B,在C盘创建一个文件夹”B”,在文件夹里再创建一个文本文件“B.txt”.
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245623477802.jpg
用户B现在对文件夹“B”加密,加密后文件夹B已经变成红色。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245629677803.jpg
现在注销用户B,用域管理员登陆到该计算机,看一下是否可以打开用户B的创建的文件。报错:“拒绝访问”,前面不是说域的情况下已经创建了“密码恢复代理”吗?但是那个是在域控制器创建,不是在整个域范围创建。还要做一步才可以用管理员去打开该文夹。(注意:假如用户B是在域控器的共享文件夹里面将某些文夹加密,那个时候管理员就可以直接双击打开该文件啦,就是因为已经在域控制器创建“密码恢复代理”)。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245629677804.jpg
在域控制器里面,将“密码恢复代理”证书导出,下一步
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245635977805.jpg
<
继续下一步
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245637577806.jpg
继续下一步
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245639077807.jpg
继续下一步,随便输入一个密码
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245640677808.jpg
保存证书的位置
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245650077809.jpg
<
证书导出成功,然后将该证书复制到该计算机(文件加密的计算机)
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456500778010.jpg
双击证书,将该证书导入(我是用域管理员在这台机器上做的)
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456515778011.jpg
选择证书路径,然后点击下一步
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456515778012.jpg
输入刚才导出证书的密码
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456531778013.jpg
<
继续,下一步
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456640778014.jpg
导入证书完成
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456734778015.jpg
好现在试一下是否可以用域管理员去打开刚才B用户加密的文夹啦!哈哈…
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456796778016.jpg
终于完成啦,以后就不怕那些用户忘记密码或者离职后,做成无法打开该文夹啦…还有一点要注意啊,就是在域的情况下,帮用户改密码的时候,千万不要在域控制器里面直接重设用户的密码啊,这样子操作会做成该用户无法打开该用户以前的加密码的文件啊……谢谢各位多指教啊…哈哈….
补充一下如何让用户无法对文件夹加密啊,除掉个“勾”就行啦。。哈
www.ad119.cn/bbs/attachments/computer/20081230/20081230112456796778017.jpg
<
页:
[1]