0
EFS Ungereimtheiten (oder ich kapiers noch nicht)
Hallo,
nach viel Lesen in Beiträgen und anderen Quellen bin ich ein gutes Stück vorangekommen EFS zu testen.
Die Umgebung: W2k3 Standard, SP2, Domäne mit XP-Clients.
Habe folgendes eingerichtet:
- Ein Directory Namens EFS
- Eine Freigabe für EFS unter diesem Namen
- Zwei Standarduser GF1 und GF2
- Ein GP-Logonscript, das den Share EFS used.
- Einen RecoveryAgent erstellt.
- Zuerst das Zertifikat erzeugt mit "cipher /r:<dateiname.cer>"
- Dann in der mmc "Standard Domänencontroller Sicherheitseinstellungen" bei Verschlüsselndes Dateisystem, "Dateiwiederherstellungssagent hinzufügen", das CER-File importiert.
Der User GF1 erzeugt nun ein eigenens Directory in der Freigabe EFS und vergibt den Haken "Verschlüsseln" und die Option für alle Verzeichnisse und Dateien.
In dem eigenen Verzeichnis erzeugt er nun eine Textdatei. Die Verschlüsselungseigenschaften des Textfiles sehen ok aus: Das Zertifikat des Users GF1 ist angegeben und der vorhin erstellte Recoveryagent ist ebenfalls zu sehen.
Nun kommt's:
- Der Adminuser (der als Recoveryagent eingetragen ist) kann am DC das File nicht lesen, obwohl er doch der Recovery Agent ist.
- Den User GF2 kann ich (als GF1 User unter XP) als weiteren Benutzer nicht hinzufügen, da er in der Liste nicht auftaucht.
Was könnte fehlen, damit der Admin lesen kann und anderere User auch Zugriff auf das File erhalten können?
Gruß,
noville
Habe folgendes eingerichtet:
- Ein Directory Namens EFS
- Eine Freigabe für EFS unter diesem Namen
- Zwei Standarduser GF1 und GF2
- Ein GP-Logonscript, das den Share EFS used.
- Einen RecoveryAgent erstellt.
- Zuerst das Zertifikat erzeugt mit "cipher /r:<dateiname.cer>"
- Dann in der mmc "Standard Domänencontroller Sicherheitseinstellungen" bei Verschlüsselndes Dateisystem, "Dateiwiederherstellungssagent hinzufügen", das CER-File importiert.
Der User GF1 erzeugt nun ein eigenens Directory in der Freigabe EFS und vergibt den Haken "Verschlüsseln" und die Option für alle Verzeichnisse und Dateien.
In dem eigenen Verzeichnis erzeugt er nun eine Textdatei. Die Verschlüsselungseigenschaften des Textfiles sehen ok aus: Das Zertifikat des Users GF1 ist angegeben und der vorhin erstellte Recoveryagent ist ebenfalls zu sehen.
Nun kommt's:
- Der Adminuser (der als Recoveryagent eingetragen ist) kann am DC das File nicht lesen, obwohl er doch der Recovery Agent ist.
- Den User GF2 kann ich (als GF1 User unter XP) als weiteren Benutzer nicht hinzufügen, da er in der Liste nicht auftaucht.
Was könnte fehlen, damit der Admin lesen kann und anderere User auch Zugriff auf das File erhalten können?
Gruß,
noville
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96550
Url: https://administrator.de/contentid/96550
Printed on: April 20, 2024 at 04:04 o'clock
