在服务器上的加密文件的恢复

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 283223
本文已归档。它按“原样”提供,并且不再更新。
概要
用户可能远程加密在 Windows 2000 服务器上的文件。用户的密钥存储在服务器上。
更多信息
Windows 2000 允许远程加密在服务器上的文件,如果服务器有一个 NTFS 分区,且服务器对于委派是值得信任在 Active Directory 中的用户。远程加密要求加密,和解密操作在服务器上的本地配置文件中加载用户的证书和私钥。服务器获取 Kerberos 委派通过对配置文件的访问权。值得注意一个用户将具有一个的配置文件和私钥存储在服务器上,即使用户已从不交互式登录到服务器。通过使用存储在此配置文件中的私钥,远程加密的文件将只被加密。是否有漫游配置文件将被复制该本地使用。

可以通过两种方法之一获取该配置文件:
  1. 用户具有漫游用户配置文件 (RUP) 的服务器模拟用户时下载。
  2. 服务器生成一个新的本地配置文件的用户,和随后请求,或生成自签名的加密文件系统 (EFS) 证书。
远程加密的服务器上的文件引入需要管理员采取一些步骤来保留用户的能力对以前加密的文件进行解密的灾难恢复中新的挑战。在灾难的恢复方案中如果数据文件已备份,但不是在受保护的用户配置文件包含用户的私钥 (和不使用 RUPs) 的用户将无法解密,或访问以前加密的文件。如果是这种情况,仅数据恢复代理将能够解密任何以前加密的文件。

若要避免这种情况下,存在几个选项:
  1. 备份整个操作系统,而不仅仅是数据文件上的配置文件配置单元。
  2. 使用漫游用户配置文件。
  3. 进行到文件服务器上通过组策略是重定向我的文档文件夹的情况下的更改在组策略对象 (GPO) 到备用服务器重定向我的文档文件夹。例如对于如果正在加密我的文档文件夹中的文件,并且我的文档文件夹重定向到通过组策略的服务器更改服务器路径在组策略中的将减轻该问题。

属性

文章 ID:283223 - 上次审阅时间:10/23/2013 15:44:57 - 修订版本: 2.3

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbinfo kbnetwork KB283223 KbMtzh
反馈