独立环境下:

使用cipher /r:i:\证书名来创建证书 (i为盘符号)

clip_p_w_picpath001

使用secpol.msc—打开本地安全设置—加密文件系统—添加数据恢复代理程序。

(也可以使用mmc控制台找到该选项)

clip_p_w_picpath003

根据提示选择—浏览文件夹

clip_p_w_picpath004

找到创建在I盘的证书—选择.cer的证书

clip_p_w_picpath005

clip_p_w_picpath006

然后在控制台中找到代理用户的证书-- 导入.pfx的证书
(导入时如果没看到该证书则选择*.*)

clip_p_w_picpath007

到此故障恢复代理形成(B用户)

在本机上使用其它用户(A)登陆时创建文件并将其加密(EFS)

clip_p_w_picpath008

点击详细信息添加故障恢复代理(B)

然后导出证书—将其备份—删除证书

删除后注销再使用该用户登陆系统—打开加密的文件—提示拒绝访问

此时我们可以使用恢复代理对加密文件进行解密(恢复代理对加密文件有完全控制的权限)

将文件解密后再次使用A用户登陆对文件再次加密—不备份证书--删除证书—此时的A用户注销登陆系统后将无法打开文件—导入上次备份的证书(依然打不开该文件)--但恢复代理可以打开也可以解密

注:当环境为XP时,使用用户切换时看不到效果。要注销或重启。

域环境下:

故障恢复代理自动创建(默认为域管理员)

在服务器上使用域成员登陆时采用加密,故障恢复代理即域管理员可以打开

当域成员在客户端登陆时采用加密—导出证书—然后进入控制台删除—在客户端使用域管理员登陆此时会出现拒绝访问打开不开

解决方法:将文件共享到服务器。在服务器上就可以打开该文件了。