外出自粛中でも楽しく過ごす!QAまとめ>>

お世話になっております。

回復エージェントによるファイルの復元方法について教えてください。

AというユーザでAAA.txtというファイルを暗号化しました。
このファイルを、ビルトインAdministratorで復元しようと思ったのですが、復号できませんでした。

このAdministratorは、"回復ポリシーで定義されているこのファイルの回復証明書"に証明書を登録しているので、
"内容を暗号化してデータをセキュリティで保護する"のチェックを外すことによって復号できると思うのですが、外すと

「これらの属性を変更するには管理者のアクセス許可を提供する必要があります。」
というエラーメッセージが出て、
「属性適用エラー」
になってしまいます。

Administratorに、このファイルに対するアクセス権をフルで与えています。

現在勉強中なのですが、
・Aというユーザがファイルの暗号化を行った。
・ファイルを暗号化したまま退職してしまった。
・Administratorがこのファイルを復号する必要がある
という仮定で、試しているのですが、どうしても復号することが出来ませんでした。

ネットで調べても解決策が見つかりませんでした。

どなたか詳しい方いらっしゃいましたら、教えていただけないでしょうか。

よろしくお願いします。

「回復エージェントによるファイルの復元方法」の質問画像

このQ&Aに関連する最新のQ&A

A 回答 (1件)

こんばんは、


AdministratorでEFS暗号ファイルは作られましたか?
まだでしたら一回作ってください。

画面からXPだと思いますが
こちらが参考になると思います。

参考URL:http://support.microsoft.com/default.aspx?scid=k …
    • good
    • 0
この回答へのお礼

ありがとうございました。
参考になりました。

お礼日時:2011/05/10 00:22

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q自分で暗号化したファイルが開けません

Windows XP Professionalを利用しています。
自分のアカウントでXPの標準機能「内容を暗号化してデータをセキュリティで保護する」を利用して、フォルダを暗号化したのですが、
いつの間にかファイルを開こうとしても「アクセスが拒否されました」と表示され、アクセスできなくなってしまいました。

暗号化したフォルダ(C:\の中)は、サブフォルダがあり、その中にファイルが入っています。
サブフォルダやファイルも暗号化されています。
アクセスできないのは、個々のファイルのみで、フォルダの一覧は表示できます。

暗号化してから、パスワードを変えたりアカウントの権限を変更した記憶はありません。
心当たりがあるのは、Adobe Acrobatの「デジタル署名」をいじったことくらいです。
マイクロソフトの技術資料を見てもよく分からなかったので質問させていただきました。よろしくお願いします。

※技術資料にある、回復エージェントの指定は暗号前にしていません。

Aベストアンサー

暗号化キーを無くされてしまったのでしょうか、ご愁傷様です。
IEを右クリック→プロパティからインターネットのプロパティが開きますのでコンテンツを選択して証明書を開いてください。

この中の個人の中に入っている証明書が自分が使える証明書の一覧になっています。

EFS暗号を使っている場合、”暗号化ファイルシステム”という証明書が入っていると思います。
この種類の証明書が複数作成された場合に先に作った証明書が無効になってしまうことがありますのでまずそこを見てみましょう。
暗号化キーを削除していないのであればどうにかはなりますよ、多分ね。

今回の原因は証明書を紛失した時の事を考えていなかったのが原因です。暗号化を行う場合には事前に複合化が出来なくなったときどうするかを考えておかなければだめです。
回復エージェントに登録しておくのも手ですし、個人であれば暗号化キーをバックアップしておくことも有効です。
このキーは作成するたびに別のキーになりますので、自分で暗号化したデータでも再度キーを作成して作った証明書じゃ開けません。

QEFS復号化について

いつもお世話になっております。

EFS復号化についてご教示願います。

pfxファイルをインポートして復号化をするときの条件は何が必要となるのでしょうか?
自分の認識としては、

・エクスポート時のユーザーアカウントとパスワード
・pfxファイルのエクスポート時に設定した時のパスワード

となっているのですが、正しいですか?

この場合、上記2つのパスワードのうち1つでも失念してしまったら、復号化はできないと考えてよろしいでしょうか?
もしそうなら、pfxファイルのエクスポート後にログインパスワードを変更したとして、エクスポート時のログインパスワードを忘れていたら、復号化はできないのでしょうか?

またこのことは回復エージェントにも当てはまることでしょうか?
具体的にはドメイン環境で回復エージェントとしてドメイン管理者アカウントが割り当てられております。定期的にパスワードの変更をしているのですが、ユーザーがpfxファイルのエクスポートした時はわかりませんので、心配になりました。

どうぞよろしくお願い致します。

いつもお世話になっております。

EFS復号化についてご教示願います。

pfxファイルをインポートして復号化をするときの条件は何が必要となるのでしょうか?
自分の認識としては、

・エクスポート時のユーザーアカウントとパスワード
・pfxファイルのエクスポート時に設定した時のパスワード

となっているのですが、正しいですか?

この場合、上記2つのパスワードのうち1つでも失念してしまったら、復号化はできないと考えてよろしいでしょうか?
もしそうなら、pfxファイルのエクスポート後に...続きを読む

Aベストアンサー

質問 4279384 でもご回答しましたが、秘密キーを含む.pfxファイルが必要で、それをインポートするときに必要なのが、エクスポートの際に.pfxファイルを守るために設定したパスワードです。このパスワードは.pfxファイルに記録されているので、.pfxファイルだけ保管しておけば大丈夫です。

エクスポートの時のユーザーアカウントとパスワードは不要です。まったく別のPCのまったく別のユーザーでも.pfxファイルをインポートできます。そしてEFS暗号化ファイルを復号できます。エクスポート時のログオンパスワードは.pfxファイルには一切影響しません。

EFSの仕組みは、参考URLを参照してほしいのですが、ファイルを暗号化した対称鍵をさらにユーザーの公開鍵で暗号化したものがファイルに付加されます。したがってユーザーの秘密鍵が必要なのであって、ユーザーのログオンパスワードが必要なのではありません。ログオンパスワードを変更しても、秘密鍵は変更されません。ユーザーのログオンパスワードはユーザーの秘密鍵をパソコン上に安全に保管するために使用されているだけです。
回復エージェントも同様で、対称鍵を回復エージェントの公開鍵で暗号化したものがファイルに付加されているので、非常時に回復エージェントの秘密鍵が使えることだけが重要で、回復エージェントのログオンパスワードは直接関係していません。そもそも回復エージェントの場合、通常は公開鍵だけが使用されており、秘密鍵は安全な場所にエクスポートした後に管理者のアカウントから削除しておくべきものです。

ユーザーの秘密鍵を変更する場合は、ユーザーが古い秘密鍵を.pfxファイルにエクスポートした後、 cipher コマンドを /k オプションとともに使用します。そして新しい秘密鍵もバックアップするために.pfxファイルをエクスポートし直す必要があります。さらに既存の暗号化ファイルに使用されている公開鍵もそれに併せて更新するには cipher コマンドを /u オプションとともに使用します。

回復エージェントの秘密鍵を変更する場合は、cipher コマンドを /r オプションとともに使用し、新規に .pfxファイルと .cer ファイルを生成し、.cer ファイルの中の公開鍵を回復エージェントとしてドメインコントローラに登録します。秘密鍵は .pfx ファイルに含まれており、これは安全な場所に保管しておきます。非常時に回復エージェントとして暗号化ファイルを回復する際にこの.pfxファイルをインポートする必要があります。回復が終わったらすみやかにアカウントから回復エージェントの秘密鍵を削除しておくべきです。通常は使用しないものだからです。

参考URL:http://07.net/EFS/

質問 4279384 でもご回答しましたが、秘密キーを含む.pfxファイルが必要で、それをインポートするときに必要なのが、エクスポートの際に.pfxファイルを守るために設定したパスワードです。このパスワードは.pfxファイルに記録されているので、.pfxファイルだけ保管しておけば大丈夫です。

エクスポートの時のユーザーアカウントとパスワードは不要です。まったく別のPCのまったく別のユーザーでも.pfxファイルをインポートできます。そしてEFS暗号化ファイルを復号できます。エクスポート時のログオンパスワー...続きを読む

QEFS暗号化について混乱しています

お世話になっております。
EFS暗号化について、ご教示頂ければと思います。

まず、EFS暗号化と同時に「.pfxファイル」のエクスポートをしているのですが、HDD1台でパーティションも区切っていなく、Windowsが壊れてしまった場合(修復インストールも不可)、暗号化されたデータの復旧はどのように行えば良いのでしょうか?やはり、同一のPC上では無理でしょうか?

HDDを別のPCに取り付け、認識させれば、「.pfxファイル」のインポート( ​http://homepage2.nifty.com/winfaq/c/ntdisk.html#950 )でデータの複合化は可能でしょうか?

[環境はこんな感じです。]
・クライアントPCはWin XP Proである。
・ドメイン環境である。
・こちらの通り( ​http://www.windows-world.jp/ms_support/-/79909-2.html )に.pfxファイルをエクスポートして、ファイルサーバーに保管している。

Aベストアンサー

> データの複合化は可能でしょうか?
「複合化」という意味が解かりませんが「復元(or回復)」と解釈しました。

暗号化したファイルまたはフォルダが使用できる環境で.pfxがインポートできる状態のHDDであれば復元(or回復)可能だと思います。

質問にあるように、PCが1台しか無く、バックアップも無く「Windowsが壊れてしまった場合(修復インストールも不可)」は復元(or回復)不可です。(暗号化ファイルの使用も、.pfxインポートもできないので、あたりまえです)

マイクロソフト・サイトの
「EFS を使用したハード ドライブの暗号化でデータを保護する」
を参照してみてください。

参考URL:http://www.microsoft.com/japan/smallbiz/sgc/articles/protect_data_efs.mspx

Q暗号化ファイル解除できない

ファイルの暗号化したユーザでそのファイルに「フルコントロール」権限あるユーザであるのにも関わらず暗号化を解除できません。

FAT領域に移すことにより暗号化が解除されるとあったのでフロッピーにコピーしたのですがアクセス権がありませんと表示されました。
解決方法ご存知あれば教えて頂ければ幸いです。

Aベストアンサー

これの類似事例でしょうか?
http://homepage2.nifty.com/winfaq/c/ntdisk.html#1256

Qコマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法

ipアドレスは分かっていますがコンピュータ名が分かりません。リモート接続ソフトなどは使えないので、それでコンピュータ名を調べることはできません。
コマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法を教えてください!

Aベストアンサー

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理しており、対象IPについても管理者の管理下にある場合……以下2つのいずれかの方法で検索できます。

  nslookup <IP address>

または

  nslookup -q=ptr <reverse ip>.in-addr.arpa.
  ex) 192.168.12.1 のIPを調べたい場合、以下のように入力する
  nslookup -q=ptr 1.12.168.192.in-addr.arpa.

  (DNSサーバで逆引きが設定されていないと、正しく検索できない場合があります)

パターン3:
上記以外の場合

外部から名前解決できないので、調べようがありません。または、調べてもそれが正しいホスト名である保証がありません。
そのIPの端末自体に設定されているホスト名を直接調べるしかありませんが、それには実際にそのIPの端末を操作して調べるしかありません。
つまり、No.2さんの回答となるのですが、
IPを使用しているのがWindows PCやUnixサーバなどである保証はないので、確認するコマンドはその端末の種類(OS)によって異なります。

なお、tracert (traceroute)を使用する、という回答がありますが、これはパターン1またはパターン2のいずれかまたは両方を満たしていないと表示されませんので、厳密には正しい答えとはいえません。
(たいていの場合、"tracert <IP address>" や "ping <IP address>"で用が足りてしまうことも多いので、必ずしも間違いではないのですが)

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理して...続きを読む

QAuthenticated Userって何ですか?

Windows系サーバにあるAuthenticated Userって何ですか?
ネットで調べてもいまいちよく理解できません。
わかりやすく説明してくれる方がいらっしゃいましたらお願いします。

Aベストアンサー

ドメインに参加することを許可されたユーザ。
(ドメインにアカウントのあるユーザ)
ローカルで言えば一般ユーザ(User)と変わりないです。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

QWindowsフォルダ内のファイルアクセス拒否について

Windowsフォルダ内のファイルアクセス拒否について

Windows7を使用しています。
管理者権限を有するユーザーでログオンしておりますが、Windowsフォルダ内に保管している自社ソフトで使用している設定ファイル(テキスト形式)の内容を変更後に保存しようとしても、保存されません。(上書き保存を実行しても、「名前を付けて保存」ダイアログが表示され、保存を拒否されます。)
C:\Windowsフォルダ自体のセキュリティの問題かと思いますが、解除方法を教えて頂きたく・・・
ちなみに、属性を「フルコントロール」に変更しようとすると、下記のメッセージが表示されてしまいます。
『属性の適用中にエラーが発生しました。』
『C:\Windows\bfsvc.exe』
『アクセスが拒否されました。』

解除方法をご存知の方、対策方法をご教授願います。
なお、他のWin7PCでは、問題なく変更できております。

Aベストアンサー

Windows Vista 以降、管理者権限でログインして
いても、機能制限があります。
詳しくは、以下のUACに関しての説明を読んでください。
http://support.microsoft.com/kb/922708/ja

この制限を解除するためには、一時的にUACを無効に
するのが簡単でしょう。手順は以下の通り。
http://enjoypcblog.blog32.fc2.com/blog-entry-333.html

UACは、セキュリティ上とても有効な機能なので、
設定ファイル編集作業が終わったら、ただちに
元に戻しておくことを強く推奨します。

Qデスクトップに移動すると自動で暗号化されてしまう

お世話になります。

先日、デスクトップのプロパティ⇒属性⇒詳細設定⇒内容を暗号化してデータをセキュリティで保護する、にチェックマークを付けて適用した所、解除が出来なくなってしまいました。

それ以降、メール添付ファイルをデスクトップに保存、デスクトップにエクセルの名前を付けて保存などすると全て暗号化されてしまいます。
それぞれ解除はできます。

暗号化されないようにプロパティで変更しようとすると、『属性の適用エラー』
C:\Users\NEC-PCuser\Desktop 指定されたファイルの暗号化を解除できませんでした。
と表示され、再試行しても同じエラーを繰り返します。

保存先をドキュメントにすればいいのですが、なにかと不便で困っております。
Web上で解除方法を探したのですが、デスクトップを開いているからエラーになってしまうのかともなんとなく思っています。

お分かりの方がいらっしゃいましたらアドバイスをいただけますでしょうか。
よろしくお願いします。

Aベストアンサー

恐らく、デスクトップフォルダがエクスプローラーによって使用されている為、設定が解除出来ないのではないかと思います。

以下の圧縮ファイルをダウンロードし、解凍し、中にある「Decrypt-Desktop」(.bat)というファイルを実行してみてください。

http://qa99.webcrow.jp/file/Decrypt-Desktop.zip

エクスプローラーを強制終了し、
デスクトップフォルダの設定を変更し、
エクスプローラーを再び起動する、
という内容のバッチファイル(連続処理ファイル)です。

エクスプローラーが強制終了され、PC起動からそこまでのエクスプローラーの設定が破棄されますので、PC起動直後か、一度サインアウトしてサインインした直後に行うと良いかと思います。

処理は一瞬で終わります。黒いウインドウが現れて、消えたら完了です。


人気Q&Aランキング