54SA.COM|专注于系统运维管理,为中国SA提供动力!

54SA.COM|系统运维网

系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > 域服务器 >

如何用域管理员打开客户端本地的加密文件

分享到:
时间:2010-10-28 21:26来源:网络 作者:Liy

    学了一下关于EFS文件的知识;怕自己忙记哈,所以今天就写下这篇文章,有什么错误,请多多指教

    用途:主要是访止用户忘记密码或者离职后,不知道密码的情况打开该用户加密的文件。

    关于加密文件,主要有两种工作环境,一种是工作组,另一种是域。

    关于EFS的概念请参考yansy老师的贴子:http://bbs.chinaitlab.com/thread-306427-1-1.html

    工作组的环境下主要有两种情况

    一:在用户加密文件之前,已经创建好"密码恢复代理”,这个时候可以使用“密码恢复代理”打开该用户加密文件。

    二:在用户加密文件之前,没有创建“密码恢复代理”,在这个情况下只有该用户有权限打开该加密文件,其它用户没有权限打开该加密文件包括本地管理员(到现在为止,还不知道有什么办法可以打开该加密文件啊,哈)。

    备注:当该用户加密文件后,千万不要强行更改该用户的密码,否则该用户也不能打开该加密文件。强行修改密码指的是:应用控制面板的管理工具直接点击该用户重新设置密码。

    还有补充一下yansy老师帖子的第三点:

    3、对于已加密的数据进行移动或传输时,在移动或传输过程中数据是被解密的,待移动到相应的位置后再次被加密。如果加密数据被移动到了非NTFS分区,数据会被自动解密。(注意一下:当加密数据被移动到了非NTFS分区,数据会被自动解密;这句话的具体意思应该是:只有该加密的用户有权限将该加密文件移动到非NTFS分区,然后会自动解密,但是用其它用户的话,是没有权限将该文件移动到非NTFS分区,你也不要想用这个办法来解密啊,哈)

    好现在进入实验,在域的环境下如何用域的管理员打开客户端用户在本地的加密文件。

    在域的环境下,本身一开始就已经创建了一个“密码恢复代理”,所以根本不存在工作组创建“密码恢复代理”之前之后的问题。

   

1.JPG 

    现在用户B,在C盘创建一个文件夹”B”,在文件夹里再创建一个文本文件“B.txt”.

2.JPG

    用户B现在对文件夹“B”加密,加密后文件夹B已经变成红色。

   

3.JPG

    现在注销用户B,用域管理员登陆到该计算机,看一下是否可以打开用户B的创建的文件。报错:“拒绝访问”,前面不是说域的情况下已经创建了“密码恢复代理”吗?但是那个是在域控制器创建,不是在整个域范围创建。还要做一步才可以用管理员去打开该文夹。(注意:假如用户B是在域控器的共享文件夹里面将某些文夹加密,那个时候管理员就可以直接双击打开该文件啦,就是因为已经在域控制器创建“密码恢复代理”)。

   

4.JPG

    在域控制器里面,将“密码恢复代理”证书导出,下一步

   

5.JPG 

    继续下一步

6.JPG

    继续下一步

   

7.JPG

    继续下一步,随便输入一个密码

  

8.JPG

    保存证书的位置

   

9.JPG 

    证书导出成功,然后将该证书复制到该计算机(文件加密的计算机)

   

10.JPG

    双击证书,将该证书导入(我是用域管理员在这台机器上做的)

   

11.JPG

    选择证书路径,然后点击下一步

   

12.JPG

    输入刚才导出证书的密码

   

13.JPG

    继续,下一步

   

14.JPG

    导入证书完成

  

15.JPG

    好现在试一下是否可以用域管理员去打开刚才B用户加密的文夹啦!哈哈…

   

16.JPG

    终于完成啦,以后就不怕那些用户忘记密码或者离职后,做成无法打开该文夹啦…还有一点要注意啊,就是在域的情况下,帮用户改密码的时候,千万不要在域控制器里面直接重设用户的密码啊,这样子操作会做成该用户无法打开该用户以前的加密码的文件啊……谢谢各位多指教啊…哈哈….

    补充一下如何让用户无法对文件夹加密啊,除掉个“勾”就行啦。。哈

  

17.JPG


 

[责任编辑:Lavy]

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>