EFS und Wiederherstellungsagent

[d-no 10]

Hallo nochmal...

In meinem 70-271er-Buch steht, dass der Domänenadministrator immer auch Wiederherstellungsagent ist. Ich hab im Internet ein bisschen gesucht: Einige sagen, dass das so ist, andere nicht. Was stimmt denn jetzt. Ich habs mal ausprobiert, weder der Domänen-Admin, noch der lokale Admin können das Attribut aufheben. Also würde ich sagen, dass es nicht so ist. Aber irgendwie muss man ja darauf kommen...

[grizzly999 11]

In einer Domäne, 2000 und 2003 ist der Domänen-Admin standardmäßig der Wiederehrstellugnsagent. Schaue einfach in die Default Domain Policy rein, wessen Zertifikat dort als Wiederherstellungsagent eingetragen ist ;)

 

Auf einem 2000 Server/WS Standalone ist standardmäßig der lokale Admin der Wiederherstellungsagent .

Auf einem 2003 Server/XP Professional Standalone ist standardmäßig niemand Wiederherstellungsagent .

 

 

grizzly999

[d-no 10]

Komisch, es klappt nicht.

Bei mir sieht das so aus:

1. An der Domäne angemeldeter Benutzer erstellt eine Datei und verschlüsselt diese

2. Domänen-Admin versucht das Attribut zu entfernen: Zugriff verweigert.

Ich habe zwischendurch Windows Server neu installiert, den XP-Client aber nicht. Könnte das damit zusammenhängen?

[grizzly999 11]

Ich habe zwischendurch Windows Server neu installiert, den XP-Client aber nicht. Könnte das damit zusammenhängen?

Nein, damit nicht, sondern nur mit einem gewissen Wissensdefizit (meine ich aber absolut nicht persönlich ;) ).

Der private Schlüssel des DRA (Data Recovery Agent = Wiederherstellungsagent) liegt nur auf dem ersten DC der Domäne, bzw. bei dir: da lag er.

Um die Datei zu entschlüsseln muss entweder die verschlüsselte Datei zum ersten DC (z.B. mit Backup/Restore) oder der private Schlüssel des DRA auf den PC (z.B. mit Export/Import).

 

 

grizzly999