none
EFSのデータ回復エージェントのドメイン展開について RRS feed

  • 質問

  • ドメイン環境で特定のユーザー(例えばAさん)をEFSのデータ回復エージェントに指定する場合、

    一つの方法として、

    1. cipher /rコマンドでEFSデータ回復エージェント証明書を作成し、
    2. 作成した証明書のうち、公開キー証明書(cerファイル)をドメインコントローラーにコピーし、
    3. cerファイルをグループポリシーの公開キーのポリシーから展開する

    が考えられると思います。

    1の操作は実際にデータ回復を行うAさんのアカウントで行う、という認識なのですが、相違ないでしょうか?

    下記リンク等を参照すると、管理者権限が必要との文言が出てくるのですが、
    ドメイン環境で使用するEFSデータ回復エージェント証明書の作成は、ドメインの管理者アカウントで作成する必要があるのでしょうか?

    https://docs.microsoft.com/ja-jp/windows/security/information-protection/windows-information-protection/create-and-verify-an-efs-dra-certificate

    ご意見いただけると幸いです。よろしくお願いいたします。


    2019年11月20日 8:04

回答

  • 【2019/11/21追記】

    自己解決しました。

    実際に回復エージェント証明書(DRA証明書)を作成して検証しました。

    Aさん(ドメインユーザー)

    ドメインのAdministrator

    cipher /rコマンドを実行し、それぞれDRA証明書を作成しGPOで展開すると、

    EFS暗号化を有効にしたファイルは、プロパティ→[全般タブ]→[詳細設定]→[詳細]から確認できるDRA証明書が、作成したユーザー名で登録されていました。

    意外だったのは、すでにEFSで暗号化されているファイルにそれまで指定されていたDRA(規定でドメインのAdministrator)が、GPO展開後にポリシーで設定した上書きされたことです。

    これだと管理がしやすいですね。

    ※実行環境のADDCはWindowsServer2019Datacenter。


    2019年11月21日 10:27

すべての返信

  • 【2019/11/21追記】

    自己解決しました。

    実際に回復エージェント証明書(DRA証明書)を作成して検証しました。

    Aさん(ドメインユーザー)

    ドメインのAdministrator

    cipher /rコマンドを実行し、それぞれDRA証明書を作成しGPOで展開すると、

    EFS暗号化を有効にしたファイルは、プロパティ→[全般タブ]→[詳細設定]→[詳細]から確認できるDRA証明書が、作成したユーザー名で登録されていました。

    意外だったのは、すでにEFSで暗号化されているファイルにそれまで指定されていたDRA(規定でドメインのAdministrator)が、GPO展開後にポリシーで設定した上書きされたことです。

    これだと管理がしやすいですね。

    ※実行環境のADDCはWindowsServer2019Datacenter。


    2019年11月21日 10:27
  • 問題が解決できたとのことで、よかったです。


    同じ問題を持っている人々に役に立つために、上記の解決投稿に「回答としてマーク」をご設定させていただきます。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年11月25日 5:27
    モデレータ