Jump to content
Sign in to follow this  
ichwares

Problem mit EFS

Recommended Posts

Hallo,

 

Ich bereite mich gerade vor um die 70-210 Prüfung abzulegen.

Nun habe ich ein Verständnis Problem mit EFS.

 

Wenn ein User eine Datei verschlüsselt hat, kann ein Administrator diese verschlüsselte Datei wieder herstellen,

(damit andere wieder darauf zugreifen können).

 

Wie geht das genau?

 

Danke im Voraus

Share this post


Link to post

Der Administrator ist by default (Windows 2000) Wiederherstellungsagent. Bei lokalen Rechnern der lokale Admin, in der Domäne der Domänenadmin.

 

Im Prinzip muss er einfach die Datei öffnen, fertig.

 

grizzly999

Share this post


Link to post
Original geschrieben von ichwares

Wie geht das genau?

 

Hi!

 

"Wiederherstellungsagenten:

Bei einem Wiederherstellungsagenten handelt es sich um einen Administrator, der zur Entschlüsselung der von einem anderen Benutzer verschlüsselten Daten berechtigt ist. Wiederherstellungsagenten werden in unterschiedlichen Situationen herangezogen, beispielsweise, wenn Mitarbeiter die Firma verlassen haben und die verbleibenden Daten dieser Mitarbeiter entschlüsselt werden müssen. Bevor Sie einer Domäne einen Wiederherstellungsagenten hinzufügen können, muss für jeden Wiederherstellungsagenten ein X509-Zertifikat, Version 3 ausgestellt werden.

 

Der Wiederherstellungsagent verfügt über ein spezielles Zertifikat und einen dazugehörigen privaten Schlüssel, die ihn gemäß dem Geltungsbereich der Wiederherstellungsrichtlinie zur Datenwiederherstellung berechtigen. Der Wiederherstellungsagent sollte in der MMC (Microsoft Management Console) unter Zertifikaten den Befehl Exportieren ausführen, um eine Sicherungskopie des Wiederherstellungszertifikats und des dazugehörigen privaten Schlüssels an einem sicheren Ort aufzubewahren. Nach dem Erstellen der Sicherungskopie sollte das Wiederherstellungszertifikat in der MMC unter Zertifikate gelöscht werden. Wenn Sie anschließend eine Wiederherstellungsoperation für einen Benutzer ausführen müssen, sollten Sie das Wiederherstellungszertifikat und den dazugehörigen privaten Schlüssel in der MMC unter Zertifikate mit dem Befehl Import wiederherstellen. Nach der Datenwiederherstellung sollte das Wiederherstellungszertifikat wieder gelöscht werden. Der Exportvorgang muss jedoch nicht wiederholt werden.

 

Sie können einer Domäne Wiederherstellungsagenten hinzufügen, indem Sie die Zertifikate der entsprechenden Agents in die vorhandene Wiederherstellungsrichtlinie aufnehmen. Dies geschieht über das Snap-In Active Directory-Benutzer und -Computer durch Aufrufen des Assistenten zum Hinzufügen eines Wiederherstellungsagenten."

 

Quelle: Windows Hilfe

 

 

Gruß

 

flexxxen

Share this post


Link to post

Hallo,

 

Erst mal Danke für Eure Antworten.

 

@ grizzly999

Ich war als Domänenadmin angemeldet und diese Datei hat mir den Zugriff verweigert. Habe vorher diese Datei als einen anderen User Verschlüsselt. Kann es damit zu tun haben, dass ich diese Aktion zwar auf einer W2K Workstation durchgeführt habe, aber der DC nur NT4 als Betriebssystem benutzt?

 

 

cu

 

ichwares

Share this post


Link to post

Ja, damit hat es zu tun. Ich hätte aber auch schreiben sollen "In einer Windows 2000 Domäne".

Hast du es schon als lokaler Admin versucht?

 

 

grizzly999

Share this post


Link to post

@ grizzly999

 

Danke nochmals für den Tipp, aber wenn ich mich lokal als admin anmelde kann ich auf diese Datei nicht zugreifen.

Gibt es eine andere möglichkeit, oder muss ich unseren DC auf W2K aufrüsten?

Es könnte mal ein Problem werden, wenn einer seine Dateien mit EFS verschlüsselt und keiner kommt mehr dran.

 

cu

 

ichwares

Share this post


Link to post

Ui, diese Konstellation hatte ich noch nie, NT 4.0 Domäne, W2k-WS. Dachte, dass es dann mit dem lokalen Admin klappen müsste. Mit dem Tool efsutil.exe aus dem W2k Rsource Kit kann man nachschauen, wer alles die Datei wieder entschlüsseln kann.

 

Aber wieder was gelernt. An diese Datei kommt man wie es aussieht nicht mehr ran. In einer Windows 2000 Domäne hätte es als Domänen-Admin geklappt. Alternativ kann man zur Verhinderung von EFS bei W2k in den lokalen Computerrichtlinien das Zertifikat des lokalen Wiederherstelleungsagenten rauslöschen, dann geht keine Verschlüsselung mehr, aber ob das in einer NT 4.0 Domäne auch so geht, kann ich jetzt nicht sagen.

Bei XP reicht dazu ein einfacher Schalter in den Richtlinien.

 

grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...