:strip_icc():strip_exif()/u/50542/alice.jpg?f=community)
EFS recovery agent krijgt “access denied” bij decrypteren
De setup
Servers: Win2008R2
Clients: Windows7 x86
Enterprise CA in een domain, deze kreeg zijn root certificaat van een offline standalone CA
Het certificaat path is volledig trusted, het root certificaat is in AD gepublished als trusted root CA
Efs_recoveryagent is een normale domain user en via GPO ingesteld als recovery agent via GPO. Deze account heeft rechten op de template voor file recovery, wanneer ik inlog met deze account zie ik dat ik een public & private key heb in mn certificate store.
User1 maakt een folder aan en encrypteerd deze, in de properties kan ik zien dat het recovery certificaat aan user efs_recoveryagent hangt.
Als ik inlog met de user efs_recoveryagent verwacht ik dus te kunnen decrypteren. Een check van de certificaten van deze user leert me dat ik idd een certificaat heb dat file recovery toelaat. Bovendien komt de thumbprint van het certificaat overeen met de tumbprint van het certificaat nodig voor decryptie.
Als ik met de user efs_recoveryagent het bestand wil openen krijg ik access denied
Als ik met de user efs_recoveryagent de encryptie wil uitschakelen krijg ik access denied
Met de user efs_recoveryagent ownership nemen helpt niet, eigenlijk wil ik dat al niet, want daardoor moet ik de efs_user local admin maken op de PC.
Ik heb volgens mij alle stappen doorlopen om dit netjes op te zetten, maar het probleem blijft zich stellen. Op het internet vind ik meerdere mensen met hetzelfde probleem maar een voor mij bruikbare oplossing ben ik nog niet tegengekomen.
tnx
De setup
Servers: Win2008R2
Clients: Windows7 x86
Enterprise CA in een domain, deze kreeg zijn root certificaat van een offline standalone CA
Het certificaat path is volledig trusted, het root certificaat is in AD gepublished als trusted root CA
Efs_recoveryagent is een normale domain user en via GPO ingesteld als recovery agent via GPO. Deze account heeft rechten op de template voor file recovery, wanneer ik inlog met deze account zie ik dat ik een public & private key heb in mn certificate store.
User1 maakt een folder aan en encrypteerd deze, in de properties kan ik zien dat het recovery certificaat aan user efs_recoveryagent hangt.
Als ik inlog met de user efs_recoveryagent verwacht ik dus te kunnen decrypteren. Een check van de certificaten van deze user leert me dat ik idd een certificaat heb dat file recovery toelaat. Bovendien komt de thumbprint van het certificaat overeen met de tumbprint van het certificaat nodig voor decryptie.
Als ik met de user efs_recoveryagent het bestand wil openen krijg ik access denied
Als ik met de user efs_recoveryagent de encryptie wil uitschakelen krijg ik access denied
Met de user efs_recoveryagent ownership nemen helpt niet, eigenlijk wil ik dat al niet, want daardoor moet ik de efs_user local admin maken op de PC.
Ik heb volgens mij alle stappen doorlopen om dit netjes op te zetten, maar het probleem blijft zich stellen. Op het internet vind ik meerdere mensen met hetzelfde probleem maar een voor mij bruikbare oplossing ben ik nog niet tegengekomen.
tnx
You don't need eyes to see, you need vision
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
