現在、職場にてWindowsドメイン鯖のない環境で
スタンドアロンのXPpro(SP2)のノートPCに対して
『有効な回復エージェントを追加する必要』に迫られています。
私の職場では人の出入りが多い中、
「使用するデータは全てEFSを施したフォルダ内に保存するように」
とのお触れがあり、
ノートPCユーザーは全てこれに従っております。
問題は利用者が退職された後のデータを取り扱う時に起こります。
<仮に退職者が「A氏」、EFS施策済フォルダを「フォルダEFS」として>
業務で利用されていた為か
データが保存されたEFSフォルダの内容が
●階層がかなり深く、且つ非常に細分されている。
そのせいか、A氏のアカウントでログオンしているにもかかわらず
「フォルダEFS」の暗号化属性のチェックボックスをはずし、
『サブフォルダや内容に適用する』を選択した上で[OK]を押しても
●「フォルダEFS」を親とした場合、子フォルダの内容までしか復号されない。
といった現象が稀に出ています。
勿論ですが、
作業の前にNTFSアクセス許可がフルコンになっていることも確認済です。
後には所有者をAdministratorsに変更することも試してみました。
しかしながら改善は見られず、対応のために回復エージェントを
追加することに致しました。
まずAdministratorとユーザーアカウントにて
以下の3つを実施しました。
【証明書作成】
コマンドプロンプトからcipher /r:(任意の証明書名)
・ X.509証明書(.CER)
・ PKCS#12証明書(.PFX)
【(インターネットのプロパティ→コンテンツ)証明書】
先のX.509証明書(.CER)を『信頼されたルート証明機関』にインポート
【回復エージェント追加】
グループポリシーで先のX.509証明書(.CER)を使ってエージェント追加
その後、効果を確認するために
Administratorにてログオンしました。
しかし、
「フォルダEFS」の暗号化属性の詳細にて、
●アクセス可能なユーザーへ回復エージェントを追加出来ない
― 回復エージェント追加時と、
『信頼されたルート証明機関』へのインポートで使用した証明書は
全ての目的と回復ポリシーが目的となって居るにもかかわらず
その証明書で追加した回復エージェントが、
追加可能なユーザにリストアップされない
― 単に暗号化のみを目的とした証明書が利用出来るユーザは
追加可能なユーザにリストアップされるが
「利用可能な証明書が含まれていません」とのエラーで弾かれる
― 『信頼されたルート証明機関』にインポートした証明書から
更にエクスポートした証明書のユーザーは
追加可能なユーザにリストアップされるが
その証明書で回復エージェント追加しようとすると
「利用可能な証明書が含まれていません」とのエラーで弾かれる
以上の状況が発生しておりまして、
結論として現状では
『回復エージェントに追加出来たユーザを
EFSファイルへのアクセスが有効な形として
設定する手段がわからない』
といった状況となっております…。
このままでは、いざ復号という段で利用出来ないことが発生する可能性も高く
日々恐ろしく感じています。。
とはいえ派遣の身+Windowsドメインを組んでいない会社なので
Microsoft有料サポの利用は厳禁…
どなたかお分かりになる方がいらっしゃいましたら
お知恵を拝借出来ませんでしょうか…。
クレクレ状態で非常に申し訳ないのですが、
何卒宜しくお願い致します。
スタンドアロンのXPpro(SP2)のノートPCに対して
『有効な回復エージェントを追加する必要』に迫られています。
私の職場では人の出入りが多い中、
「使用するデータは全てEFSを施したフォルダ内に保存するように」
とのお触れがあり、
ノートPCユーザーは全てこれに従っております。
問題は利用者が退職された後のデータを取り扱う時に起こります。
<仮に退職者が「A氏」、EFS施策済フォルダを「フォルダEFS」として>
業務で利用されていた為か
データが保存されたEFSフォルダの内容が
●階層がかなり深く、且つ非常に細分されている。
そのせいか、A氏のアカウントでログオンしているにもかかわらず
「フォルダEFS」の暗号化属性のチェックボックスをはずし、
『サブフォルダや内容に適用する』を選択した上で[OK]を押しても
●「フォルダEFS」を親とした場合、子フォルダの内容までしか復号されない。
といった現象が稀に出ています。
勿論ですが、
作業の前にNTFSアクセス許可がフルコンになっていることも確認済です。
後には所有者をAdministratorsに変更することも試してみました。
しかしながら改善は見られず、対応のために回復エージェントを
追加することに致しました。
まずAdministratorとユーザーアカウントにて
以下の3つを実施しました。
【証明書作成】
コマンドプロンプトからcipher /r:(任意の証明書名)
・ X.509証明書(.CER)
・ PKCS#12証明書(.PFX)
【(インターネットのプロパティ→コンテンツ)証明書】
先のX.509証明書(.CER)を『信頼されたルート証明機関』にインポート
【回復エージェント追加】
グループポリシーで先のX.509証明書(.CER)を使ってエージェント追加
その後、効果を確認するために
Administratorにてログオンしました。
しかし、
「フォルダEFS」の暗号化属性の詳細にて、
●アクセス可能なユーザーへ回復エージェントを追加出来ない
― 回復エージェント追加時と、
『信頼されたルート証明機関』へのインポートで使用した証明書は
全ての目的と回復ポリシーが目的となって居るにもかかわらず
その証明書で追加した回復エージェントが、
追加可能なユーザにリストアップされない
― 単に暗号化のみを目的とした証明書が利用出来るユーザは
追加可能なユーザにリストアップされるが
「利用可能な証明書が含まれていません」とのエラーで弾かれる
― 『信頼されたルート証明機関』にインポートした証明書から
更にエクスポートした証明書のユーザーは
追加可能なユーザにリストアップされるが
その証明書で回復エージェント追加しようとすると
「利用可能な証明書が含まれていません」とのエラーで弾かれる
以上の状況が発生しておりまして、
結論として現状では
『回復エージェントに追加出来たユーザを
EFSファイルへのアクセスが有効な形として
設定する手段がわからない』
といった状況となっております…。
このままでは、いざ復号という段で利用出来ないことが発生する可能性も高く
日々恐ろしく感じています。。
とはいえ派遣の身+Windowsドメインを組んでいない会社なので
Microsoft有料サポの利用は厳禁…
どなたかお分かりになる方がいらっしゃいましたら
お知恵を拝借出来ませんでしょうか…。
クレクレ状態で非常に申し訳ないのですが、
何卒宜しくお願い致します。
|
|
|
|
|
|
|
|
Windows Serverを管理する人 更新情報
-
最新のアンケート
-
まだ何もありません
-
Windows Serverを管理する人のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 暮らしを楽しむ
- 75501人
- 2位
- 音楽が無いと生きていけない
- 196034人
- 3位
- 独り言
- 9045人