Главная

Saturday, 11 December 2021

Файл не может быть дешифрован.

Всем привет.

При миграции между доменами пользователя AD может ожидать сюрприз со стороны EFS. Т.е. файлы которые он зашифровал ранее могут вдруг стать для него недоступными. 

Смотрим рисунок. Изначально только у зашифровавшего его пользователя (Dps7) и у указанного ниже админа (Administrator) есть сертификат для расшифровки файла. Это работает до того момента пока пользователь находится в своем домене. Причем файлы открываются как обычно, пользователь может даже забыть что они их зашифровал.

А завтра пользователя мигрировали в другой домен и файлы стали для него в один момент залочены с сообщением "Файл не может быть дешифрован". 

Что же можно сделать? Можно залогиниться под старым пользователем со старого домена. Т.е. мигрировать пользователя обратно если старый домен еще жив.

Или тоже самое сделать под указанным админом. Или достать сертификат этого админа с любого другого хоста из старого домена. Нужен сертификат и приватный ключ pfx-файл. Но проблема может быть в том, что главный Administrator (а это точно он!) обычно в AD отключен и для логинов не используется.

В общем решения есть хотя может быть возни много. Поэтому лучше пользователей опрашивать перед миграцией про их файловые секреты.

Успехов.

No comments:

Post a Comment

А что вы думаете по этому поводу?