在域环境使用EFS

1.1.1 在域环境使用EFS

在域环境中，可以安装活动目录证书服务，为域中的用户帐户颁发EFS证书。这样使用漫游用户配置文件的用户帐户，可以在域中的任何计算机访问自己加密的文件。

实例：在域环境中使用EFS

以下操作将会完成以下目标：

安装活动目录证书服务

配置韩立刚用户帐户使用漫游式配置文件

重新使用新证书重新加密文件

在Research计算机上共享“hanLG EFS”文件夹

韩立刚用户帐户在Sales计算机登录访问Research计算机共享的“hanLG EFS”

查看活动目录域用户的EFS证书

步骤：

1. 以域管理员的身份登录到DCServer上，打开“服务器管理器”，点击“添加角色”。

2. 在出现的对话框，选中“Active Directory证书服务”，点击“下一步”。

3. 在出现的对话框，点击“下一步”，在出现的“选择角色服务”对话框，选中“证书颁发机构”，“证书颁发机构Web注册”，“联机响应程序”，点击“下一步”。

4. 在“指定安装类型”对话框中，选择“企业”，点击“下一步”。

5. 在 “指定CA类型”对话框中，选择“根CA”，点击“下一步”。

6. 在“设置私钥”对话框中，选中“新建私钥”，点击“下一步”。

7. 在“为CA配置加密”对话框中，密钥长度选中“2048”，点击“下一步”。

8. 输入CA公共名称，点击“下一步”。

9. 指定证书的有效期，点击“下一步”。

10. 选择证书数据库和日志的位置，点击“下一步”，完成安装向导。

11. 将韩立刚的用户帐户配置文件指定到FileServer上的Profiles文件夹中。

注：使用用户漫游式配置文件，使得用户的EFS证书在域中的任何计算机都可用。

12. 在Research计算机和Sales计算机上运行gpupdate /force 命令来强制计算机刷新策略，这样他们就能自动发现域中安装的证书颁发机构了，并且信任该证书颁发机构。

13. 以韩立刚用户帐户登录到Research计算机，点击“开始”à“设置”à“控制面板”à“用户帐户”。

14. 在用户帐户对话框中，点击“管理您的文件加密证书”。

 

15. 在加密文件系统对话框中，选择“创建新证书”，点击“下一步”。

16. 在出现的对话框中，选择“域证书颁发机构颁发的证书”，点击“下一步”。

17. 在出现的对话框，点击“稍后备份证书和密钥”，点击“下一步”。

18. 在更新以前加密的文件，选中“hanLG EFS”文件夹，点击“下一步”。

提示：通过更新以前加密的文件夹，该文件夹中的文件将会使用新的EFS证书加密。

19. 在出现的对话框中，点击“查看证书”。在证书对话框常规标签下，可以看到颁发者是ESS-DCSERVER-CA。

注：可以看到您有一个与该证书对应的私钥。

20. 右击“hanLG EFS”文件夹，点击“共享”，在出现对话框，点击“共享”，在出现的“用户帐户控制”对话框，输入域管理员帐号和密码。点击“确定”，完成共享。

21. 注销韩立刚帐户在Research上的登录。这样用户的帐户配置文件会存储在FileServer服务器上的profiles文件夹中。

22. 使用韩立刚用户帐户在Sales计算机上登录，访问Research计算机上的文件夹，双击“hanLG test.txt”，发现能够打开，说明能够解密成功。

23. 在DCServer计算机上以域管理员登录，打开“Active Directory用户和计算机”，点击查看

24. 双击韩立刚用户帐户，在属性对话框点击“发布的证书”标签。可以看到该用户的证书。

25. 选中该证书，点击“查看证书”，可以看到该证书没有私钥。

注：存储在活动目录中的用户证书，只是证书的公钥部分。