サーバー上の暗号化ファイルの回復

この記事は、以前は次の ID で公開されていました: JP283223
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Windows 2000 Server では、リモートでファイルを暗号化することが可能です。ユーザーの鍵はサーバーに保存されます。

詳細
サーバーに NTFS パーティションがあり、サーバーが Active Directory の委任を信頼している場合、Windows 2000 ではリモートでサーバー上のファイルを暗号化できます。リモート暗号化では、ユーザーの証明書と秘密鍵が、暗号化と複合化の操作を行うサーバーのローカル プロファイルに読み込まれている必要があります。サーバーは、Kerberos の委任を使用してプロファイルにアクセスします。ユーザーがそのサーバーに対話ログオンしたことがない場合でも、サーバー上にユーザーのプロファイルと秘密鍵が保存されることに注意してください。リモート暗号化ファイルは、このプロファイルに保存された秘密鍵だけを使用して暗号化されます。移動プロファイルが使用可能な場合、ローカルにコピーされ使用されます。

プロファイルは、次のいずれかの方法で取得されます。
  1. サーバーがユーザーを偽装する際にダウンロードされる移動ユーザー プロファイル (RUP)。
  2. ユーザーの代わりにサーバーが新しいローカル プロファイルを生成し、続いて自己署名 EFS 証明書を要求または生成する。
サーバー上のファイルのリモート暗号化が可能になったことで、システム管理者は障害回復の際に、ユーザーが引き続き暗号化済みのファイルを複合化できるようにする必要があります。障害回復の際、データ ファイルはバックアップされているが、セキュリティで保護されているユーザーの秘密鍵が含まれるユーザー プロファイルがバックアップされていなかった場合 (かつ、RUP が使用されていない場合)、ユーザーが暗号化済みのファイルを複合化してアクセスすることは不可能です。この場合、データの回復エージェントを使用することで、暗号化済みのファイルを複合化できます。

これは、非常に手間のかかる処理になる場合があります。このような状況を避ける方法はいくつかあります。
  1. データ ファイル以外のオペレーティング システムとプロファイル ハイブをすべてバックアップします。
  2. 移動ユーザー プロファイルを使用します。
  3. グループ ポリシーで "マイ ドキュメント" をサーバーにリダイレクトしている場合は、GPO で "マイ ドキュメント" を代替サーバーにリダイレクトするように変更します。たとえば、"マイ ドキュメント" 内のファイルを暗号化していて、グループ ポリシーで "マイ ドキュメント" サーバーにリダイレクトしている場合、グループ ポリシーのサーバーのパスを変更すると、この問題の解決が多少容易になります。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 283223 (最終更新日 2001-01-17) をもとに作成したものです。

プロパティ

文書番号:283223 - 最終更新日: 01/23/2014 16:11:51 - リビジョン: 3.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbinfo kbtool kbnetwork KB283223
フィードバック