Jump to content

EFS-Wiederherstellung agent nur als Admin?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

moin,

ich versuche gerade in einer testumgebung einen EFS-Wiederherstellungsagenten zu erstellen.

 

auf dem domain controller habe zusätzlich einen zertifikatsserver installiert der soweit auch funktioniert.

 

als EFS-Wiederherstellungsagenten wollte ich den benutzer "efs" nehmen und melde mich mit diesem am client der funktionsfähing in der domäne hängt (er übernimmt zumindest alle grurilis) an. über mmc und zertifikate wollte ich nun EFS-Wiederherstellungszertifikat anfordern.

 

Dies geht leider nicht obwohl ich in der Zertifikatsvorlage (am DC) die Sicherheitseinstellungen so gelegt habe dass der benutzer "efs" lesen, schreiben und registrieren kann.

 

hat jemand einen idee wich ich einen nicht administrator zum wiederherstellugnsagenten machen kann? oder muss ich ihn kurzzeitig zum admin machen und kann ihn danach wieder degradieren?

 

<edit>

bitte ins backoffice verschieben, hab zu spät gelesen dass hier nur für clients ist..

</edit>

 

danke im voraus

thorben

Link zu diesem Kommentar
moin,

ich versuche gerade in einer testumgebung einen EFS-Wiederherstellungsagenten zu erstellen.

 

auf dem domain controller habe zusätzlich einen zertifikatsserver installiert der soweit auch funktioniert.

 

als EFS-Wiederherstellungsagenten wollte ich den benutzer "efs" nehmen und melde mich mit diesem am client der funktionsfähing in der domäne hängt (er übernimmt zumindest alle grurilis) an. über mmc und zertifikate wollte ich nun EFS-Wiederherstellungszertifikat anfordern.

 

Dies geht leider nicht obwohl ich in der Zertifikatsvorlage (am DC) die Sicherheitseinstellungen so gelegt habe dass der benutzer "efs" lesen, schreiben und registrieren kann.

 

hat jemand einen idee wich ich einen nicht administrator zum wiederherstellugnsagenten machen kann? oder muss ich ihn kurzzeitig zum admin machen und kann ihn danach wieder degradieren?

 

<edit>

bitte ins backoffice verschieben, hab zu spät gelesen dass hier nur für clients ist..

</edit>

 

danke im voraus

thorben

Die Vorlage für den Wiederherstllungsagenten (Näheres ist uns jetzt nicht bekannt) hast du aber veröffentlicht, oder nur die berechtigungen gesetzt. Weil wenn veröffentlicht, und die Berechtigungen stimmenm, dann kann diese auch von den betreffenden Benutzern angefordert werden.

 

Das dann erfolgreich angeforderte und ausgestellte Zertifikat muss vom designierten DRA (Data Recovery Agent= Wiederherstellungsagenten) als .CER-Datei, also ohne Private Key!, exportiert werden und kann dann in der Domänenrichtlinie importiert werden, bzw. bei einer Unternehmens-CA, bei der das Zertifikat im AD veröffentlicht wurde, sollte es auch über die Benutzerauswahl gehen.

 

Der Benutzer muss dazu zu keinem Zeitpunkt Admin Rechte haben.

 

 

grizzly999

Link zu diesem Kommentar
Hiho,

 

in der DefDomPol ist das Zertifikat des Wiederherstellungsagenten hinterlegt. Dises kannst du exportieren (welches eingentlich auch nach der installation des ersten DC immer gemacht werden sollte) und bei anderen Administratoren importieren. IMHO sollte es dann funktionieren.

 

Gruß Guido

Das Zertifikat in der Richtlinie exportieren würde diesem zweck nicht genügen, da es ohne privaten Schlüssel ist. Es würde nur zum wieder Importiern in der Rrichtlinie genügen.

Um jemand anderen die Möglichkeit zu geben, mit dem DRA-Zertifikat verschlüsselte Dateien wiederherzustellen, müsste auf dem ertsen DC über ein (selbererstelltes)Zertifikate-Snap-In für den Domänen-Admin das Zertifikat mit samt dem privaten Schlüssel exportiert werden.

 

 

grizzly999

Link zu diesem Kommentar

morgen,

ich habe nach http://www.microsoft.com/austria/kmu/businessthemen/it-sicherheit/sicherheit/artikel/protect_data_efs.mspx gearbeitet

 

als erstes in den zertifikatsvorlagen vom dc die EFS-Wiederherstellungsvorlage kopiert (doppelte vorlage)

 

dann bei der kopie Allgemein -> "Zertifikat in AD veröffentlichen"

 

dann unter Sicherheit den benutzer efs die rechnte für lesen, schreiben, registrieren gegeben

 

agent.jpg

 

 

trotzdem kann ich am client wenn ich mich mit dem benutzer efs einlogge und über mmc die zertfikate aufrufe ein EFS-Wiederherstellungszertifikat anfordern :-(

 

gruß

thorben

Link zu diesem Kommentar

moin,

leider kann ich in dem von dir beschriebenen feld meine zertifikatsvorlage nicht auswählen.

 

Mir ist aber aufgefallen dass in den zertifikatsvorlagen als "Min. unterstützte Zertifizierungsstellen" "windows server 2003 enterprise edition" steht, ich setze allerdings nur die standard version ein.

 

könnte es daran liegen?

 

danke für deine schnelle hilfe

thorben

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...