1. 概要:
在设置了恢复代理后,本机上所有文件在使用EFS加密的同时,恢复代理的相应信息也会被保存到文件中。这样日后就算加密该文件的帐户已经不存在,或者证书丢失了,我们依然可以使用恢复代理的帐户登录系统,解密文件。
在单机和工作组环境默认情况下没有恢复代理;在加入域后,默认的恢复代理是域管理员。本示例介绍如何在单机和工作组模式下设置恢复代理。
2. 操作步骤/更多信息:
1)创建一个隶属于Administrators组的账号,如果有则直接登录。
2)以管理员身份运行命令提示符,运行如下命令:
Cipher /r:PAHT\NAME
例如下列命令会在C:\根目录生成Test.CER和Test.PFX:
Cipher /r:C:\Test
3)同时按下Windows+R运行gpedit.msc。
4)在计算机配置 – Windows设置 – 安全设置 – 公钥策略,在加密文件系统上右键选择添加数据恢复代理程序。
5)按照如下向导添加刚刚生成的Test.CER文件。
6)再双击TEST.PFX文件,导入证书文件。
7)如果导入成功,那么运行certmgr.msc打开证书控制台,在“证书当前用户”|“个人”|“证书”节点下应该能看到一个“预期目的”为“文件恢复”的证书。如果看到该证书,表示恢复代理的设置工作全部完成。
恢复代理设置完毕,后续此计算机上其他的用户新加密的文件中已经带有恢复代理信息了。
注意:假设有位用户在我们指定恢复代理之前就已经加密了自己的文件,而我们随后才指定了恢复代理,那么一旦该用户被删除或者EFS证书丢失,恢复代理将无法解密该用户的EFS加密文件。因为恢复代理只能解密被指定之后其他用户加密的文件。
如果在指定恢复代理之前已经加密了很多文件,那么每个加密过文件的用户都需要使用自己的帐户登录系统,然后运行“cmd”打开命令提示行,并运行“cipher /u”命令,这样每个人加密过的所有文件都会被更新一次,将恢复代理的信息加入进去(每个人的操作只能影响到由自己加密的文件)。 在设置好恢复代理后,如果某个用户被删除,或者证书无意中丢失,只要被加密的文件还在,恢复代理就可以直接查看被加密的文件内容,或者解密文件。