Haggard 10 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 (bearbeitet) Hallo zusammen, das Thema EFS wurde zwar hier im Forum schon einige Male behandelt und sicherlich habe ich mich zuvor in das Thema eingelesen, aber leider habe ich noch ein Verständnisproblem bei dem ich Hilfe benötige. Quellen : Galileo Computing :: Windows Server 2008 R2 – 15.5 Encrypting File System, EFS Windows Server How-To Guides: Teil 3 - Fazit und Empfehlungen - ServerHowTo.de EFS Wiederherstellungsagent W2K3 einrichten - Windows Server - administrator Umgebung: Server2003 R2, Windows XP Clients Zertifizierungsstelle (CERT) wurde erstellt, Default Domain Policy wurde entsprechend geändert ( EFS_Bild1 defekter Link von Dr.Melzer entfernt) Zertifkate wurden verteilt, Wiederherstellungsagent ist in den mit EFS verschlüsselten Daten vorhanden Folgendes möchte ich realisieren. Der Administrator der Domäne soll Zugriff auf die mit EFS Verschlüsselten Dateien eines Benutzers bekommen, wenn er sich das Laufwerk des Benutzers mappt (C$), was nicht funkioniert (EFS_Bild3 defekter Link von Dr.Melzer entfernt) NTFS Berechtigungen kann ich ausschliessen. Datenwiederherstellungs-Agent Zertifikatsfingerabdruck habe ich gegen geprüft ( EFS_bild 4 und 5 defekter Link von Dr.Melzer entfernt Vollen Zugriff auf die verschlüsselten Dateien hat der Administrator, wenn diese Dateien auf dem Share (Public) des Servers liegen (EFS_Bild 2 defekter Link von Dr.Melzer entfernt), aber was wenn der Benutzer Dateien verschlüsselt, die nicht auf einem Netzlaufwerk liegen? Könnt ihr mir diesbezüglich weiter helfen? Ich hoffe.. Gruß Haggard bearbeitet 16. Mai 2011 von Haggard Zitieren Link zu diesem Kommentar
Haggard 10 Geschrieben 18. Mai 2011 Autor Melden Teilen Geschrieben 18. Mai 2011 Oftmals bekommt man die Antwort selber heraus, wenn man nur genug recherchiert. Es ist schlicht und ergreifend nicht vorgesehen und auf Grund des Designs von EFS nicht so ohne Weiteres möglich über ein gemapptes Laufwerk EFS-Verschlüsselte Dateien zu entschlüsseln. Und das ist auch gut so. Sonst könnte wahrscheinlich jeder Administrator ( der meist der Wiederherstellungsagent ist) alle Laufwerke mappen und entschlüsseln und vertrauliche Daten einsehen. Das die verschlüsselten Daten auf einem Netzlaufwerk für den Wiederherstellungsagenten einsehbar sind, liegt auch an der Vorgehensweise der Verschlüsselung und der Vertrauensstellung des Servers. Das Ausbauen der Festplatte des Clients und Anschliessen am Server, würde auch den entsprechenden Erfolg bringen. Die einzig wirklich sinnvolle Methode (meiner Recherche nach) ist: - Anmelden an der Arbeitsstation mit dem Wiederherstellungsagenten-Konto - Importieren des privaten Schlüssels des Zertifikats des WA - Entschlüsseln/Einsehen der Daten - Zertifikat wieder entfernen. Eine etwas ausführlichere Beschreibung mit Screenshots habe ich für unsere Kollegen erstellt, bei Interesse setze ich das gerne rein, ansonsten könnte der Beitrag geschlossen werden. Gruß Haggard Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 18. Mai 2011 Melden Teilen Geschrieben 18. Mai 2011 Danke für Deine Rückmeldung :) Ist vielleicht was für das Forum "Tipps und Tricks" oder für Windows Server How-To Guides: Home - ServerHowTo.de ;) Zitieren Link zu diesem Kommentar
Haggard 10 Geschrieben 18. Mai 2011 Autor Melden Teilen Geschrieben 18. Mai 2011 Hi, also wie gesagt, ich kann gerne zur Verfügung stellen, was ich meinen Kollegen als TECINFO ( so nennen wir das bei uns ) per Mail gesendet habe. Das ist natürlich nicht wie ein richtiges HowTo aufgearbeitet. Gruß Haggard Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.