サーバー上の暗号化ファイルの回復

文書番号: 283223 - 対象製品
この記事は、以前は次の ID で公開されていました: JP283223
すべて展開する | すべて折りたたむ

概要

Windows 2000 Server では、リモートでファイルを暗号化することが可能です。ユーザーの鍵はサーバーに保存されます。

先頭へ戻る | フィードバック

詳細

サーバーに NTFS パーティションがあり、サーバーが Active Directory の委任を信頼している場合、Windows 2000 ではリモートでサーバー上のファイルを暗号化できます。リモート暗号化では、ユーザーの証明書と秘密鍵が、暗号化と複合化の操作を行うサーバーのローカル プロファイルに読み込まれている必要があります。サーバーは、Kerberos の委任を使用してプロファイルにアクセスします。ユーザーがそのサーバーに対話ログオンしたことがない場合でも、サーバー上にユーザーのプロファイルと秘密鍵が保存されることに注意してください。リモート暗号化ファイルは、このプロファイルに保存された秘密鍵だけを使用して暗号化されます。移動プロファイルが使用可能な場合、ローカルにコピーされ使用されます。

プロファイルは、次のいずれかの方法で取得されます。
  1. サーバーがユーザーを偽装する際にダウンロードされる移動ユーザー プロファイル (RUP)。
  2. ユーザーの代わりにサーバーが新しいローカル プロファイルを生成し、続いて自己署名 EFS 証明書を要求または生成する。
サーバー上のファイルのリモート暗号化が可能になったことで、システム管理者は障害回復の際に、ユーザーが引き続き暗号化済みのファイルを複合化できるようにする必要があります。障害回復の際、データ ファイルはバックアップされているが、セキュリティで保護されているユーザーの秘密鍵が含まれるユーザー プロファイルがバックアップされていなかった場合 (かつ、RUP が使用されていない場合)、ユーザーが暗号化済みのファイルを複合化してアクセスすることは不可能です。この場合、データの回復エージェントを使用することで、暗号化済みのファイルを複合化できます。

これは、非常に手間のかかる処理になる場合があります。このような状況を避ける方法はいくつかあります。
  1. データ ファイル以外のオペレーティング システムとプロファイル ハイブをすべてバックアップします。
  2. 移動ユーザー プロファイルを使用します。
  3. グループ ポリシーで "マイ ドキュメント" をサーバーにリダイレクトしている場合は、GPO で "マイ ドキュメント" を代替サーバーにリダイレクトするように変更します。たとえば、"マイ ドキュメント" 内のファイルを暗号化していて、グループ ポリシーで "マイ ドキュメント" サーバーにリダイレクトしている場合、グループ ポリシーのサーバーのパスを変更すると、この問題の解決が多少容易になります。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 283223
(http://support.microsoft.com/kb/283223/EN-US/ )
(最終更新日 2001-01-17) をもとに作成したものです。

先頭へ戻る | フィードバック

プロパティ

文書番号: 283223 - 最終更新日: 2004年5月5日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbinfo kbtool kbnetwork KB283223
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る