none
ADMT и EFS: как убедиться в том, что пользователи расшифровали файлы? RRS feed

  • Вопрос

  • Доброго времени суток!

    Готовлюсь выполнить миграцию пользователей из одного леса в другой средствами ADMT.
    Функциональные уровни домена/леса и ОС на всех DC - Windows Server 2003.

    В ADMTv3 Migration Guide написано следующее:
    "

    For clients that are running Windows 2000 Server or later, data that is protected by the Data Protection API (DPAPI) is also not migrated. DPAPI helps protect the following items:

    ·      Web page credentials (for example, passwords)

    ·      File share credentials

    ·      Private keys associated with EFS, S/MIME, and other certificates

    ·      Program data that is protected by using the CryptProtectData() function

    For this reason, it is important to test user migrations. Use your test migration account to identify any properties that did not migrate, and update user configurations in the target domain accordingly.

    "

    Понятно, что я настойчиво попрошу пользователей расшифровать все данные, шифрованные EFS'ом (при наличии таковых). И сохранить куда-нибудь пароли доступа к веб-ресурсам. Но уверенности, что они меня послушают - никакой.

    Как-то можно (с помощью VBS / PowerShell) выгрузить список сохраненных у пользователя web page credentials и наличие private keys associated with EFS, S/MIME...?


    MCP
    4 января 2010 г. 19:20

Ответы

  • Нет. Религия системы EFS состоит в том, что "каждый свою плешь чешет сам". Или нужно раньше было думать - и сохранять такие файлы на общем ресурсе, который бэкапируется - и есть EFS recovery agent

    4 января 2010 г. 21:51
    Отвечающий

Все ответы

  • Нет. Религия системы EFS состоит в том, что "каждый свою плешь чешет сам". Или нужно раньше было думать - и сохранять такие файлы на общем ресурсе, который бэкапируется - и есть EFS recovery agent

    4 января 2010 г. 21:51
    Отвечающий
  • В домене по умолчанию есть агент восстановления. Это администратор домена. Вам достаточно выполнить экспорт/импорт пары ключей(сертификат с закрытым ключом) агента, чтобы подстраховаться. Сертификат можно найти на первом контроллере домена.

    Для получения сохраненных пользовательских паролей существует множество утилит. Не знаю только, помогут ли они вам при миграции.

    В PowerShell список установленных сертификатов можно получить при помощи Certificate Provider.

    5 января 2010 г. 20:02