Windows 2000时代,Administrator用户默认是EFS的恢复代理。到了Windows XP,工作组模式下默认是没有恢复代理的,恢复代理需要我们自己去设置。下面是步骤:
         1.要做恢复代理,需生成administrator的恢复代理证书和密钥。我这里就不切换到administrator用户了,我指定我当前用户smile为恢复代理。
         开始,运行,cmd。使用cipher.exe命令生成证书。我们将密钥和证书生成到C盘的根目录下。
---------------------

C:\Documents and Settings\Smile>cipher.exe  /r:c:\
请键入密码来保护 .PFX 文件:
请重新键入密码来进行确认:

.CER 文件已成功创建。
.PFX 文件已成功创建。
C:\Documents and Settings\Smile>
 
-----------------------
          2.设置组策略,指定smile为恢复代理。
a.
b.在弹出的向导中选择下一步,点击浏览,选择我们刚生成的证书
c.点击下一步,完成。
         3.加密一个文件。
          切换到另一个用户,选择一个文件,右键,属性,高级,加密文件。
    加密后再次查看该文件属性,可以看到smile已经是该文件的恢复代理了。
4.切换回smile,去掉刚才被加密的文件的加密复选框,确定,发现拒绝访问!无法解密。
5.何解呢?经查阅,我们需要把我们第一步生成的证书安装到系统中。选择我们导出的证书,右键,安装。根据向导安装证书。
6.再次解密刚才加密的文件,确发现依然拒绝!我们导入了证书为什么不行呢?!难道微软的EFS有BUG?!网上也很少关于恢复代理如何解密文件。经过一番摸索后,终于发现,我们在生成EFS恢复代理证书时候,一共生成了两个文件,除了证书以外,还有一个PFX文件。我们在安装证书时,应通过我们导出来的PFX文件导入证书,PFX包含了我们的私钥和个人信息!右键选择PFX文件,选择安装PFX。根据向导,安装我们的证书。图就不截了。解密被加密的文件,成功!
 
这是笔者从现象来探讨这个问题,但是没有看到本质,还需进一步研究。另在活动目录下,EFS的恢复代理默认是domain administrator,还要进一步研究,下次继续发。