使用 Windows Server 2003 中的加密文件系统 EFS

关于加密文件系统使用的逐步式指南
本文提供的示例过程向最终用户和管理员说明Windows Server 2003 操作系统所包含的加密文件系统(EFS) 的功能。

本页内容
简介
概述
用户方案
管理方案
其他资源
简介
逐步式指南
Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最后将此工作站添加到域中。

后续逐步式指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

•第一部分：将Windows Server 2003 安装为域控制器
•第二部分：安装Windows XP Professional 工作站并将其连接到域上
在配置通用网络结构后，可以使用任何其他的逐步式指南。

注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC
可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。

此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。

您不应在公共网络或Internet 上使用此名称。

此通用结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory 配合使用。

不能将其作为任何组织进行Active Directory 配置的模型。

返回页首
概述
Windows Server 2003 操作系统中包含的加密文件系统(EFS) 以公钥加密为基础，并利用了Windows Server 2003 中的CryptoAPI 体系结构。

每个文件都是使用随机生成的文件加密密钥进行加密的，此密钥独立于用户的公钥/私钥对。

文件加密可使用任何对称加密算法。

此EFS 版本使用数据加密标准X 或DESX（北美地区为128 位，北美地区以外为40 位）作为加密算法。

今后的版本中将提供替代的加密方案。

无论是本地驱动器中存储的文件还是远程文件服务器中存储的文件，都可以使用EFS 进行加密和解密。

用户交互
使用EFS 默认配置，用户无需任何管理工作即可开始加密文件。

用户第一次加密文件时，EFS 会生成一个公钥对和一个文件加密证书。

EFS 支持对单个文件或整个文件夹（包括子文件夹）进行文件加密和解密。

文件夹加密是透明强制实施的。

在标记为加密的文件夹内创建的所有对象都是自动加密的。

每个文件都有一个唯一的文件加密密钥，因此，可以安全地重命名该文件。

如果重命名经过加密的文件夹中的文件，并将其保存到同一卷上未加密的文件夹中，该文件仍保持加密状态。

但是，如果将一个未加密的文件复制到加密的文件夹中，该文件的状态将会发生变化。

此时，该文件将变为加密文件。

EFS 为高级用户和恢复代理提供了命令行工具和管理界面。

数据恢复
EFS 提供内置的数据恢复支持。

Windows Server 2003 安全结构强制对数据恢复密钥进行配置。

只有在系统配置了一个或多个恢复密钥时，才能使用文件加密。

EFS 允许恢复代理对公钥进行配置，以便在用户离开公司时使用这些公钥来恢复加密的数据。

只能使用恢复密钥来处理文件加密密钥，而不能处理用户私钥。

这可确保不会向恢复代理泄露任何其他私人信息。

数据恢复适用于需要恢复雇员所加密数据的组织。

可通过Windows Server 2003 域中的组策略来定义恢复策略。

策略是在所有域计算机中强制实施的，并且受域管理员的控制；管理员通常会将控制权委派给指定的数据安全管理员帐户。

这既可以提供强有力的控制，又可
以灵活地选择授权哪些用户来恢复加密数据。

EFS 允许使用多种数据恢复配置，因此可以支持多种恢复代理。

这些功能为组织在实施其恢复过程方面提供了很高的冗余性和灵活性。

先决条件
•第一部分：将Windows Server 2003 安装为域控制器
•第二部分：安装Windows XP Professional 工作站并将其连接到域上
•Active Directory 管理逐步式指南
•了解组策略功能集的逐步式指南
返回页首
用户方案
加密文件夹或文件
在加密文件夹或文件时，您可以使用Windows 资源管理器或命令行工具Cipher.exe。

本节将对这两种过程进行说明。

本指南假定您是在运行Windows XP Professional 的计算机上完成“用户方案”练习的。

要使用Windows 资源管理器加密文件夹或文件，请按照以下步骤操作：
1. 在“HQ-CON-WRK-01”上，以“mike@”身份登录。

如果出现提示，请将Mike 的密码更改
为“pass#word2”。

2. 单击“开始”按钮，指向“程序”，指向“附件”，然后单击“Windows 资源管理器”。

3. 右键单击要使用的文件夹或文件名（在本例中，使用在“我的文档”中创建的名为“Encrypted Files”的文件
夹），然后选择“属性”。

4. 在“Encrypted Files 属性”对话框的“常规”选项卡上，单击“高级”。

5. 在“高级属性”对话框中，选择“加密内容以便保护数据”复选框（如图1 所示），然后单击“确定”。

图 1. 高级属性
6. 在“Encrypted Files 属性”对话框中，单击“确定”。

7. 系统可能会要求您选择是加密文件夹及其所有内容，还是只加密文件夹本身。

如果文件夹是空的，则不会出
现提示。

如果文件夹中包含对象，则选择加密文件夹及其内容，然后单击“确定”。

8. 此时将出现一个对话框，显示加密文件夹或文件的状态。

单击“确定”。

要使用命令行加密文件夹或文件，请按照以下步骤操作：
1. 要加密文件夹，请单击“开始”按钮，单击“运行”，键入“cmd”，然后单击“确定”。

例如，在命令提示符下键
入：
cipher /e /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files" 2. 按“Enter”键。

结果应该与图2 中显示的内容相似。

图 2. 从命令行中加密
查看大图
解密文件夹或文件
与加密一样，您可以使用Windows 资源管理器或命令行工具来解密文件夹或文件。

本节对这两种过程进行了说明。

注意，要打开并编辑文件，您并不需要对文件进行解密。

只需解密供他人访问的文件。

要使用Windows 资源管理器解密文件夹或文件，请按照以下步骤操作：
1. 单击“开始”按钮，指向“程序”，指向“附件”，然后选择“Windows 资源管理器”。

2. 右键单击文件夹或文件的名称，然后选择“属性”。

3. 在“属性”对话框的“常规”选项卡上，单击“高级”。

4. 在“高级属性”对话框中，清除“加密内容以便保护数据”复选框，然后单击“确定”。

5. 在“Encrypted Files 属性”对话框中，单击“确定”。

6. 系统会要求您选择是解密文件夹及其所有内容，还是只解密文件夹本身。

选中“将更改应用于此文件夹、子
文件夹和文件”复选框，然后单击“确定”。

注意：建议您加密文件夹，而不是加密各个文件。

这是由于很多现有应用程序不支持加密，因此可能会以明
文形式显示该文件。

要使用命令行解密文件夹或文件，请按照以下步骤操作：
1. 要解密文件夹，请单击“开始”按钮，单击“运行”，键入“cmd”，然后单击“确定”。

例如，在命令提示符下键
入：
cipher /d /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files"
2. 按“Enter”键。

3. 关闭“命令提示符”窗口。

复制加密的文件夹或文件
下一节讲述在同一卷中复制加密的文件夹或文件以及将其从一个卷复制到另一个卷的步骤和限制。

•在同一台计算机内，将文件或文件夹从Windows Server 2003 位置中的一个NT 文件系统(FS) 分区复制到Windows Server 2003 位置中的另一个NTFS 分区。

就像复制未加密的文件一样复制文件
或文件夹。

使用Windows 资源管理器或命令提示符。

该副本已加密。

•在同一台计算机内，将文件或文件夹从Windows Server 2003 卷中的一个NTFS 分区复制到文件分配表(FAT) 分区。

就像复制未加密的文件一样复制文件或文件夹。

使用Windows 资源管理器或命令提示
符。

由于目标文件系统不支持加密，因此副本为明文形式。

•将文件或文件夹复制到另一台计算机上，且两台计算机都使用Windows Server 2003 中的NTFS 分区。

就像复制未加密的文件一样复制文件或文件夹。

使用Windows 资源管理器或命令提示符。

如果远程计
算机允许您对文件进行加密，则副本就已加密；否则，副本为明文形式。

注意，必须信任远程计算机的委派；
在域环境中，默认情况下不启用远程加密。

•将文件或文件夹从Windows Server 2003 位置中的NTFS 分区复制到另一台计算机上Microsoft Windows NT® 4.0 位置中的FAT 或NTFS 分区。

就像复制未加密的文件一样复制文件或文件夹。

使
用Windows 资源管理器或命令提示符。

由于目标文件系统不支持加密，因此副本为明文形式。

移动或重命名加密的文件夹或文件
下一节讲述在同一卷中移动加密的文件夹或文件以及将其从一个卷移到另一个卷的步骤和限制。

•在同一卷内移动或重命名文件或文件夹。

就像移动未加密的文件一样移动文件。

使用Windows 资源管理器、上下文菜单或命令提示符。

目标文件或文件夹仍保持加密状态。

•在不同卷之间移动文件或文件夹。

这其实是一个复制操作。

复习前一节“复制加密的文件夹或文件”。

删除加密的文件夹或文件
如果您有删除文件或文件夹的权限，则可以将其像未加密的文件一样删除。

删除加密的文件夹或文件并不限于最
初加密该文件的用户。

备份加密的文件夹或文件
•通过复制进行备份。

正如前一节“复制加密的文件夹或文件”中所述，使用“复制”命令或菜单选项创建的备份可产生明文副本。

•使用Window Server 2003 中的“备份”工具或支持Windows Server 2003 功能的任何备份工具进行备份。

这是推荐的加密文件备份方法。

备份保持文件的加密状态，备份操作员在备份时不需要访问私钥；
只需要访问完成任务所需的文件或文件夹。

还原加密的文件或文件夹
还原操作与备份加密文件时所采用的操作相似。

本节讲述将备份的加密文件还原到进行备份或未进行备份的计算机上的步骤和限制。

•通过复制进行还原。

正如前一节“复制加密的文件夹或文件”中所述，使用“复制”命令或菜单选项创建的还原文件可产生明文副本。

•使用Window Server 2003 中的“备份”工具或支持Windows Server 2003 功能的任何备份工具进行还原。

这是推荐的加密文件还原方法。

还原操作保持文件的加密状态，并且还原代理不需要访问私钥即
可还原文件。

在还原操作完成后，拥有私钥的用户可以正常使用该文件。

将文件还原到另一台计算机上
如果希望在加密文件所用的计算机以外的任何其他计算机上使用该加密文件，您需要确保在该系统中可以使用加密证书和关联的私钥。

您可以使用漫游配置文件或手动移动密钥来实现此目的。

•使用漫游配置文件。

如果您还没有漫游配置文件，请向管理员申请建立一个漫游配置文件。

在建立了漫游配置文件后，您使用的加密密钥在以该用户帐户登录的所有计算机上都是相同的。

注意，即使使用了漫游配置
文件，您可能仍需要对加密证书和私钥进行备份。

但是，如果您丢失了解密文件时所需的密钥，您可以向指定恢复代理（默认是本地或域管理员）申请恢复加密的文件。

•手动移动密钥。

在试图手动移动密钥之前，应备份您的加密证书和私钥。

这样，您就可以在另一个系统中还原证书和密钥了。

要备份加密证书和私钥，请按照以下步骤操作：
1. 要启动“Microsoft 管理控制台”(MMC)，请单击“开始”按钮，单击“运行”，在“打开”框中键入“mmc”，然
后单击“确定”。

2. 在“控制台”菜单上，单击“文件”，单击“添加/删除管理单元”，然后单击“添加”。

3. 找到并单击“证书”管理单元，然后单击“添加”。

单击“关闭”，然后单击“确定”。

4. 在“个人”证书存储中找到EFS 证书。

单击“证书- 当前用户”旁边的加号(+)。

展开“个人”文件夹，然后
单击“证书”。

注意：相应证书的“预期目的”栏将显示“加密文件系统”，如图 3 所示。

图 3. 查找EFS 证书
查看大图
5. 右键单击您的证书，单击“所有任务”，然后单击“导出”。

这将启动“证书导出向导”。

单击“下一步”。

6. 选择“是，导出私钥”复选框，然后单击“下一步”。

7. 可用的导出格式是“个人信息交换- PKCS#12 (.PFX)”。

确保选择了“启用加强保护”复选框，然后单击“下
一步”。

8. 提供一个“密码”并进行确认以保护导出的证书，然后单击“下一步”。

9. 提供导出证书的存储路径和文件名。

单击“下一步”，然后单击“完成”以完成证书导出过程。

单击“确定”确
认导出成功。

10. 关闭“MMC”控制台。

要在不同系统中还原加密证书和私钥，请按照以下步骤操作：
1. 将先前创建的“.pfx”文件复制到软盘或网络共享中。

2. 在另一个系统中，单击“开始”按钮启动“证书”管理单元，单击“运行”，键入“mmc”，然后单击“确定”。

3. 在“控制台”菜单上，单击“文件”，单击“添加/删除管理单元”，然后单击“添加”。

4. 找到并单击“证书”管理单元，然后单击“添加”。

如果出现提示，请选中“我的用户帐户”复选框，然后单击“完
成”。

5. 单击“关闭”，然后单击“确定”。

6. 单击加号(+) 以展开“证书- 当前用户”。

7. 右键单击“个人”文件夹，单击“所有任务”，然后单击“导入”。

8. 单击“下一步”。

这将启动“证书导入向导”。

9. 提供先前创建的“.pfx”文件的路径，然后单击“下一步”。

提供访问证书数据所需的密码，然后单击“下一步”。

10. 单击“将所有的证书放入下列存储区”（默认）复选框，然后单击“下一步”。

11. 单击“完成”。

在导入完成后，单击“确定”关闭向导。

在获得了相同的密钥后，即可透明地使用可能已备份到其他计算机上的加密文件。

远程服务器上的文件夹和文件
您可以透明地加密和解密文件，并使用远程服务器中存储的加密文件。

无论是远程访问这些文件，还是本地登录到另一台计算机上，您都可以执行这些操作。

但是，您必须牢记，在使用备份和还原机制移动加密文件时，必须确保同时移动相应的加密证书和私钥，以便在新的目标位置中使用这些加密文件。

如果没有正确的私钥，则无法打开或解密文件。

注意：如果您通过网络打开加密文件，在此过程中通过网络传输的数据是未加密的。

您必须使用其他协议加密通过网络传输的数据，如安全套接字层/个人通讯技术(SSL/PCT) 或Internet 协议安全(IPSec)。

返回页首
管理方案
确保独立计算机上的数据恢复
在下列示例中，将以“Administrator”身份登录到本地计算机上（在本例中，计算机名为HQ-CON-WRK-01）。

确保本地登录到计算机上（与登录到域上相对）。

要创建默认的恢复证书（在证书颁发机构不存在的情况下），请按照以下步骤操作：
1. 在“HQ-CON-WRK-01”上，单击“开始”按钮，单击“运行”，在“打开”框中键入“cmd”，然后单击“确定”。

2. 在命令提示符窗口中，键入“cipher.exe /r:dra”，然后按“Enter”键。

3. 在出现提示时，键入“密码”来保护“.PFX”文件，然后再次键入“密码”确认设置。

4. 关闭“命令提示符”窗口。

要定义数据恢复策略，请按照以下步骤操作：
1. 单击“开始”按钮，单击“运行”，在“打开”框中键入“MMC”，然后单击“确定”。

2. 在“文件”菜单上，单击“添加/删除管理单元”。

3. 单击“添加”，向下滚动，然后双击“组策略”。

4. 接受默认选项“本地计算机”，单击“完成”，单击“关闭”，然后单击“确定”。

5. 单击“…本地计算机‟策略”旁边的加号(+) 将树展开。

依次展开“计算机配置”、“Windows 设置”、“安全设
置”以及“公钥策略”。

单击“加密文件系统”。

6. 右键单击“加密文件系统”，然后单击“添加数据恢复代理程序”。

7. 在“添加故障恢复代理向导”屏幕上，单击“下一步”，单击“浏览文件夹”，然后浏览到Administrator 的
“Documents and Settings”文件夹。

双击“DRA.CER”文件，单击“下一步”，然后单击“完成”。

完成后，屏幕应该如图4 所示。

图 4. 默认恢复代理
8. 关闭“MMC”控制台。

注意：您应该按照“备份加密证书和私钥”中详细说明的过程，创建一个受保护的恢复证书备份(.PFX)。

保护域的默认恢复密钥
在建立第一个域控制器时，即会为该域配置一个默认恢复策略。

默认恢复策略使用自签名证书，以将域管理员帐户指定为恢复代理。

注意：您应该按照“备份加密证书和私钥”中详细说明的过程，创建一个受保护的恢复证书备份(.PFX)。

申请文件恢复证书
如果决定使用默认恢复策略，则您不再需要申请文件恢复证书。

在域需要多个恢复代理的情况下，或者由于法律或公司政策等原因需要由域管理员以外的人员担任恢复代理，这时您可能需要将特定用户指定为恢复代理。

必须向这些用户颁发文件恢复证书。

要实现此目的，您必须完成下列过程。

•必须有企业证书颁发机构(CA)。

•企业CA 中的策略必须允许指定用户/代理申请并获得文件恢复证书。

•每个用户都必须申请一个文件恢复证书。

要设置企业CA，请按照以下步骤操作：
1. 以域管理员的身份登录到“HQ-CON-DC-01”。

2. 单击“开始”按钮，指向“控制面板”，然后单击“添加或删除程序”。

3. 单击“添加/删除Windows 组件”。

4. 单击“证书服务”。

此时将出现一条警告信息，提示您在安装了证书服务后，将无法再重命名计算机，并且
计算机无法加入域或从中删除。

单击“是”继续，然后单击“下一步”。

5. 确保选中了“企业根CA”单选按钮，然后单击“下一步”。

6. 在“CA 识别信息”屏幕上，键入“ContosoCA”作为“公用名称”，然后单击“下一步”。

7. 单击“下一步”，接受默认数据存储位置。

8. 如果尚未安装Internet 信息服务器(IIS)，系统会警告您无法使用基于Web 的证书注册。

单击“确定”
确认此警告。

9. 如果IIS 正在运行，系统会提示您暂时关闭该服务。

单击“确定”。

10. 在“Windows 组件向导”完成后，单击“完成”。

关闭“添加/删除程序”。

要为指定为恢复代理的用户创建安全组，请按照以下步骤操作：
1. 单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2. 右键单击“Groups”，单击“新建”，单击“组”，键入“Domain Recovery Agents”，然后单击“确定”。

3. 要为该组添加用户，请右键单击“Groups”OU 下面的“Domain Recovery Agents”，单击“属性”，然后单
击“成员”选项卡。

4. 单击“添加”，键入“Administrator”，然后单击“确定”两次。

关闭“Active Directory 用户和计算机”管理单
元。

要将“Domain Recovery Agents”组添加到EFS 恢复模板中，请按照以下步骤操作：
“Domain Recovery Agents”组中的用户可通过此过程来申请恢复证书。

1. 单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 站点和服务”。

2. 单击“Active Directory 站点和服务”，然后在“查看”菜单中单击“显示服务节点”。

3. 在左窗格中，单击“Services”旁边的加号(+)。

重复此过程以展开“Public Key Services”文件夹。

4. 在左窗格中单击“Certificate Templates”，然后在右窗格中双击“EFSRecovery”。

5. 单击“安全”选项卡，然后单击“添加”。

6. 在“输入对象名称来选择”对话框中，键入“Domain Recovery Agents”，然后单击“确定”。

7. 在“组或用户名称”结果窗格中，单击“Domain Recovery Agents”。

在“D omain Recovery Agents 权限”
窗格中，为“读取”和“注册”选中“允许”复选框，如图 5 所示。

图 5. EFS 恢复证书模板
8. 单击“确定”，然后关闭“Active Directory 站点和服务”管理单元。

要申请文件恢复证书，请按照以下步骤操作：
1. 单击“开始”按钮，单击“运行”，键入“mmc”，然后单击“确定”。

2. 在“文件”菜单中，选择“添加/删除管理单元”，然后单击“添加”。

3. 双击“证书”，选择“我的用户帐户”，然后单击“完成”。

单击“关闭”，然后单击“确定”。

4. 单击“证书- 当前用户”旁边的加号(+) 以展开该文件夹。

5. 在左窗格中右键单击“个人”，单击“所有任务”，然后单击“申请新证书”。

这将启动“证书申请向导”。

6. 向导的第一页是说明性信息。

单击“下一步”继续。

7. 此时将显示证书模板的列表。

单击“EFS 恢复代理”（如图6 所示），然后单击“下一步”。

图 6. 选择证书类型
8. 键入一个好记的名称，将此证书与其他证书区分开来，然后根据需要添加一些描述性信息。

单击“下一步”，
然后单击“完成”以申请证书。

9. 单击“确定”确认证书申请成功。

要创建全域性的EFS 恢复策略，需要以“.CER”格式导出先前创建的EFS 恢复代理证书。

您还应按照“备份加密证书和私钥”中详细说明的过程，创建一个受保护的恢复证书备份(.PFX)。

要将证书导出为 .CER 格式以便通过全域性策略进行指派，请按照以下步骤操作：
1. 在MMC 控制台中，展开“个人”文件夹。

2. 在右窗格中，右键单击刚刚创建的证书，单击“所有任务”，然后单击“导出”。

单击“下一步”开始导出过程。

3. 选择“不，不要导出私钥”复选框，然后单击“下一步”。

4. 保留默认的“.cer”文件格式，然后单击“下一步”。

5. 提供一个文件路径和名称，然后单击“下一步”。

6. 要执行导出操作，请单击“完成”，然后单击“确定”。

7. 关闭“MMC”控制台。

为整个域制订恢复策略
在确定了恢复代理并颁发了证书后，域管理员即可将这些证书添加到恢复策略中。

要将证书添加到恢复策略中，请按照以下步骤操作：
1. 单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后选择“域安全策略”。

2. 单击“公钥策略”旁边的加号(+)，然后单击“加密文件系统”。

3. 右键单击“加密文件系统”，然后单击“添加数据恢复代理程序”。

在向导启动时，单击“下一步”。

4. 单击“浏览文件夹”，浏览到在前一节中创建的“.CER”文件并将其打开。

5. 单击“下一步”，然后单击“完成”。

为特定组织单位设置恢复策略
您可能需要为域中的部分计算机制订一个唯一的恢复策略。

您可以通过重复先前所描述的步骤，通过组策略对象(GPO) 在组织单位(OU) 级别而不是在域级别完成此任务。

恢复文件或文件夹
如果用户丢失了密钥或离开公司，或者相应法律要求这样做，恢复代理可能需要恢复文件或文件夹。

在系统上有可供使用的恢复密钥后，恢复过程与解密过程是类似的。

要恢复文件或文件夹，请按照以下步骤操作：
1. 将文件或文件夹从它们当前所在的系统备份到“.bkf”文件。

2. 将“.bkf”文件复制到受保护的恢复代理的计算机中。

3. 恢复代理应在安全的系统中本地还原“.bkf”文件中的文件或文件夹。

4. 在安装了恢复密钥后，恢复代理可直接打开每个文件，或使用Windows 资源管理器“属性”对话框解密各
个文件或整个文件夹。

为特定一组计算机禁用EFS
在某些情况下，您可能需要确保OU 中的某一独立计算机或某个计算机已禁用EFS。

禁用EFS 的最佳方法是设置一个空的恢复策略。

您可以在计算机上本地完成此操作：方法是使用本地“组策略”管理单元或使用空的恢复策略在OU 级别定义GPO。

注意：空策略和没有策略二者是有区别的。

在Active Directory 中，有效策略是在目录树的各个级别定义的GPO 的累加，如果较高级别的节点（例如域节点）中没有恢复策略，则较低级别的策略就会生效。

通过不提供有效的恢复证书，较高级别节点的空恢复策略将禁用EFS。

在特定计算机（独立计算机或加入域的计算机）中，有效策略必须至少拥有一个有效的恢复证书才能在该计算机上启用EFS。

因此，在特定计算机上，没有恢复策略或有一个空的恢复策略将产生相同的效果，即将EFS 禁用。