系统管理员作为数据恢复代理，恢复加密文件丢失密码或账户删除

2023-10-19 理论教育版权反馈

【摘要】：数据恢复代理可以在加密文件的账户丢失密码或账户被删除的情况下，恢复被加密的文件。一般把系统管理员设置为数据恢复代理。

数据恢复代理可以在加密文件的账户丢失密码或账户被删除的情况下，恢复被加密的文件。一般把系统管理员设置为数据恢复代理。

【做一做】

观看“添加数据恢复代理”操作视频或教师的操作演示，描述添加数据恢复代理操作的方法，并回答表中提出的问题。

数据恢复代理

用管理员账号登录系统，按“Win+R”组合键打开“运行”　添加对话框，输入cmd打开“命令”窗口。输入命令cipher/r：fragent后回车，按提示输入保护密码，在当前文件夹中生成两个名为fragent证书文件扩展名cer和pfx。

按“Win+R”组合键打开“运行”对话框，输入secpol.msc打开“本地安全策略”窗口。展开“公钥策略”，右击“加密文件系统”，在弹出的快捷菜单中选择“添加数据恢复代理程序”选项。

单击“浏览文件夹”按钮，选择用命令cipher生成的证书fragent.cer，单击“下一步”按钮，按提示完成“数据恢复代理”的添加。

在资源管理器中定位到用cipher生成的保存有恢复代理用户的私钥的数字证书fragent.pfx，右击文件名，在快捷菜单中选择“安装PFX”选项，根据向导提示把证书导入到系统中，以实现对其他用户加密文件的解密操作。

（1）在用cipher命令生成用户数字证书文件时，命令拒绝执行，应该如何处理？(www.chuimin.cn)

（2）一个用户加密的文件可不可以让另一个非数据恢复代理用户共享访问？

（3）加密文件的用户的数字证书是解密文件的关键，为了能在加密用户的账户密码丢失或账户被删除的情况下也能恢复加密的文件，最好的办法是什么？

友情提示

●用户执行文件加密操作后，系统会自动为用户生成数字证书。建议用户使用证书管理工具certmgr.msc及时导出证书，并保存在移动存储设备中。

●加密文件可以被另一个执行过加密操作的用户共享访问，在文件或文件夹的“高级属性”对话框中，单击“详细信息”按钮，在随后的对话框中把需要共享访问的文件的账号添加到“可访问此文件的用户”列表中。

●添加了“数据恢复代理”后，切记要导入该存有用户私有密钥的数字证书后，这样才能解密其他用户加密的文件。

●添加了“数据恢复代理”应在其他用户加密文件操作之前完成；否则“数据恢复代理”用户只能解密其后加密的文件。如果要能解密之前已加密的文件，需要以加密文件的用户登录，并执行cipher/u命令把数据代理用户的信息重新写入已加密文件中。