ドメインのAdministratorを回復エージェントとする回復ポリシーについて
製品名:デスクトップ OS、サーバー OS/Windows Server 2003
現象:できない/ファイル操作・フォルダ操作
懸賞ポイントが設定されています。
100
@@Q2007024122@@ の関連質問です。
下記の
【[HOWTO] Windows Server 2003 Enterprise Server で暗号化ファイル システムを管理する方法】
http://support.microsoft.com/kb/324897/ja
>ドメインの回復エージェントを追加する
>1. [スタート] ボタンをクリックして、[コントロール パネル]、[管理ツール] を順にポイントし、
>[Active Directory ユーザーとコンピュータ] をクリックします。
>2. 変更する回復ポリシーが存在するドメインを右クリックし、[プロパティ] をクリックします。
>3. [グループ ポリシー] タブをクリックします。
>4. 変更する回復ポリシーを右クリックし、[編集] をクリックします。
>5. コンソール ツリーで、次の場所に移動し、[ファイル システムの暗号化] をクリックします。
>コンピュータの構成/Windows の設定/セキュリティの設定/公開キーのポリシー/ファイル シス>テムの暗号化
>6. 詳細ウィンドウを右クリックし、[データ回復エージェントの追加] をクリックします。
により、Default Domain Policy の下に新しいグループポリシーを作成し、ポリシーの名前を「回復エージェントの追加」に変更しました。
上記の手順により、最初のドメインコントローラに作成された、「Administrator.cer」ファイルをFDにインポートし、「回復エージェントの追加ウィザード」で「ファルダの参照(F)」より、FDにインポートした「Administrator.cer」ファイルを読み込みました。
クライアントよりMMCを叩き、ポリシー結果セットを見れば確かに、コンピュータの構成/Windows の設定/セキュリティの設定/公開キーのポリシー/ファイル システムの暗号化/
に「Administrator.cer」が存在し、目的が「ファイル回復」となっていました。
WSUSサーバーであるメンバーサーバーをドメインコントローラより、Active Directoryユーザーとコンピュータを開き「コンピュータを委任に対して信頼する」にチェックをつけると確かにクライアントから共有フォルダの暗号化ができるようになりました。
ドメインコントローラに取り付けた外付けのハードディスクの共有フォルダをクライアントから暗号化場合、ドメインコントローラにドメインのAdministratorでログオンすれば復号化ができますが、
WSUSサーバーであるメンバーサーバーに取り付けた外付けのハードディスクの共有フォルダをクライアントから暗号化した場合、ドメインコントローラにドメインのAdministratorでログオンした場合、復号化ができません。
要は、クライアントのあるユーザーがメンバーサーバーのある共有フォルダを暗号化した場合に、ドメインのAdministratorが復号化できる回復ポリシーを作成したいのですが、ドメインコントローラの共有フォルダの場合はドメインのAdministratorで復号化できるのですが、
メンバーサーバーの共有フォルダの場合がうまくいかないのです。エラーメッセージは、「ファイルの属性の適用中にエラーが発生しました。アクセスが拒否されました。」です。
なにか良いお知恵をお貸し願えれば幸いします。