在域环境中,可以安装活动目录证书服务,为域中的用户帐户颁发EFS证书。这样使用漫游用户配置文件的用户帐户,可以在域中的任何计算机访问自己加密的文件。
实例:在域环境中使用EFS
以下操作将会完成以下目标:
安装活动目录证书服务
配置韩立刚用户帐户使用漫游式配置文件
重新使用新证书重新加密文件
在Research计算机上共享“hanLG EFS”文件夹
韩立刚用户帐户在Sales计算机登录访问Research计算机共享的“hanLG EFS”
查看活动目录域用户的EFS证书
步骤:
1. 以域管理员的身份登录到DCServer上,打开“服务器管理器”,点击“添加角色”。
2. 在出现的对话框,选中“Active Directory证书服务”,点击“下一步”。
3. 在出现的对话框,点击“下一步”,在出现的“选择角色服务”对话框,选中“证书颁发机构”,“证书颁发机构Web注册”,“联机响应程序”,点击“下一步”。
4. 在“指定安装类型”对话框中,选择“企业”,点击“下一步”。
5. 在 “指定CA类型”对话框中,选择“根CA”,点击“下一步”。
6. 在“设置私钥”对话框中,选中“新建私钥”,点击“下一步”。
7. 在“为CA配置加密”对话框中,密钥长度选中“2048”,点击“下一步”。
8. 输入CA公共名称,点击“下一步”。
9. 指定证书的有效期,点击“下一步”。
10. 选择证书数据库和日志的位置,点击“下一步”,完成安装向导。
11. 将韩立刚的用户帐户配置文件指定到FileServer上的Profiles文件夹中。
注:使用用户漫游式配置文件,使得用户的EFS证书在域中的任何计算机都可用。
12. 在Research计算机和Sales计算机上运行gpupdate /force 命令来强制计算机刷新策略,这样他们就能自动发现域中安装的证书颁发机构了,并且信任该证书颁发机构。
13. 以韩立刚用户帐户登录到Research计算机,点击“开始”à“设置”à“控制面板”à“用户帐户”。
14. 在用户帐户对话框中,点击“管理您的文件加密证书”。
15. 在加密文件系统对话框中,选择“创建新证书”,点击“下一步”。
16. 在出现的对话框中,选择“域证书颁发机构颁发的证书”,点击“下一步”。
17. 在出现的对话框,点击“稍后备份证书和密钥”,点击“下一步”。
18. 在更新以前加密的文件,选中“hanLG EFS”文件夹,点击“下一步”。
提示:通过更新以前加密的文件夹,该文件夹中的文件将会使用新的EFS证书加密。
19. 在出现的对话框中,点击“查看证书”。在证书对话框常规标签下,可以看到颁发者是ESS-DCSERVER-CA。
注:可以看到您有一个与该证书对应的私钥。
20. 右击“hanLG EFS”文件夹,点击“共享”,在出现对话框,点击“共享”,在出现的“用户帐户控制”对话框,输入域管理员帐号和密码。点击“确定”,完成共享。
21. 注销韩立刚帐户在Research上的登录。这样用户的帐户配置文件会存储在FileServer服务器上的profiles文件夹中。
22. 使用韩立刚用户帐户在Sales计算机上登录,访问Research计算机上的文件夹,双击“hanLG test.txt”,发现能够打开,说明能够解密成功。
23. 在DCServer计算机上以域管理员登录,打开“Active Directory用户和计算机”,点击查看
24. 双击韩立刚用户帐户,在属性对话框点击“发布的证书”标签。可以看到该用户的证书。
25. 选中该证书,点击“查看证书”,可以看到该证书没有私钥。
注:存储在活动目录中的用户证书,只是证书的公钥部分。