Агент восстановления (recovery agent) — это пользователи, которые имеют право на восстановление зашифрованных файлов в домене. Для добавления новых пользователей в качестве агентов восстановления последним следует предоставить сертификаты восстановления от центров сертификации предприятия (локальный сертификат, выданный администратором локальной сети, не подходит).

  1.  Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers) (Пуск > Программы > Администрирование > Active Directory — Пользователи и компьютеры (Start > Programs > Administrative Tools > Active Directory — Users and Computers)).

  2.  Кликните правой кнопкой на домене и выберите в контекстном меню команду Свойства (Properties).

  3.  Перескочите на вкладку Групповая политика (Group Policy).

  4.  Выберите раздел Default Group Policy и кликните на кнопке Edit.

  5.  Выберите команду Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики открытого ключа > Агенты восстановления шифрованных данных (Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Encrypted Data Recovery Agents).

  6.  Кликните правой кнопкой мыши на опции Агенты восстановления шифрованных данных (Encrypted Data Recovery Agents) и кликните на кнопке Добавить (Add).

  7.  Кликните на кнопке Далее (Next) в окне программы Мастер добавления агента восстановления (Add Recovery Agent Wizard).

  8.  Кликните на кнопке Обзор папок (Browse Directory). Найдите учетную запись необходимого пользователя и кликните на кнопке OK.

  9.  Кликните на кнопке Далее (Next).

  10.  Кликните на кнопке Готово (Finish).

  11.  Закройте редактор групповой политики.

Обновите политику с помощью следующей команды:

secedit /refreshpolicy machine_policy

Агент может восстанавливать файлы, зашифрованные только после создания агента. Если зашифрованный файл дешифрован и зашифрован еще раз или даже просто открыт, новый агент получит возможность восстанавливать такие файлы, так как файл “обновит” свои сертификаты восстановления (если была изменена политика восстановления).

Локальный администратор на отдельном ПК или администратор, зарегистрировавшийся первым на контроллере домена, по умолчанию являются агентами восстановления. Это можно изменить, удалив агента восстановления, созданного по умолчанию и передав статус агента любому другому пользователя. Иными словами, системный администратор, который не является агентом восстановления, не имеет права прочитать зашифрованные файлы другого пользователя. Назначение первого зарегистрированного администратора агентом восстановления реализовано с целью упростить процесс администрирования системы. Корпоративным пользователям можно посоветовать изменить агентов восстановления, созданных по умолчанию.