要允许某一帐户读取或恢复 EFS 加密的数据,必须将其指定为恢复代理。在域环境中,建议使用域帐户达到这个目的。为在 Active Directory® 目录林中的所有站点、域或组织单位创建恢复代理。在默认情况下,内置的管理员帐户是域的恢复代理;这种情况就无需再创建恢复代理了。
凭据:域管理员。
工具:MMC 的 Active Directory 用户与计算机管理单元。
创建基于域的恢复代理,需要执行以下操作
1.
单击“开始”、“控制面板”,在“控制面板”窗口中,双击“管理工具”,然后双击“Active Directory 用户与计算机”。
2.
右键单击需要更改恢复策略的域,然后单击“属性”。
3.
选择“组策略”选项卡。
4.
右键单击要更改的恢复策略,然后单击“编辑”。
5.
在控制台树(左栏)中,单击“加密文件系统”。该选项位于以下导航路径中:“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”、“加密文件系统”。
6.
在详细信息栏(右栏)中,单击右键,选择“创建数据恢复代理”。 注意:按照“创建恢复代理向导”的提示,从文件或 Active Directory 中添加用户作为恢复代理。从文件添加恢复代理时,用户被标识为“未知用户”。这是因为该用户名没有存储在这个文件中。
要从 Active Directory 添加恢复代理,EFS 恢复代理证书(文件恢复证书)必须在 Active Directory 中发布。 但是,由于默认的 EFS 文件恢复证书模板没有发布这些证书,所以需要创建一个这样的模板。要达到这个目的,请在“证书模板”管理单元,复制默认的 EFS 文件恢复证书模板,以创建一个新模板,右键单击这个新模板,选择“属性”,并在“常规”选项卡的“属性” 对话框中找到复制的证书,然后选中“在 Active Directory 中发布证书”复选框。
7.
按照 “创建恢复代理向导”中的说明,完成创建基于域的恢复代理。
