Вопрос по сетевому доступу к диску (EFS)

[Black Monk]

1. По сети открыл полный доступ к папке TEST, вхожу на нее удаленно через логин/пароль администратора.

2. Папку TEST (с файлами) зашифровал EFS, в итоге получаю доступ к файлам только в режиме просмотра, удаление файлов также возможно.
Но не могу ничего добавить в эту папку. Что мне сделать, чтобы файлы можно было бы также добавлять?

3. Создаю внутри папки TEST, папку TEST2 и снимаю с нее шифрование.
В итоге в незашифрованную папку, я легко добавляю файлы.
Но мне нужно работать именно с зашифрованной папкой.
Подскажите, а то я не могу разобраться.

Спасибо.

[dimokkk]

Насколько я понимаю EFS это продукт для персонального (локального) компьютера и его использование для сетевых шар не особо рекомендуется.
Почитайте раздел Remote EFS Operations on File Shares and Web Folders в статье: http://technet.microsoft.com/en-us/library/bb457116.aspx
Вы кстати EFS сертификаты на удаленный компьютер переносили? Или так заработало?

[Black Monk]

Сейчас почитаю, спасибо.

Да, конечно, сертификаты (одинаковые) есть всех машинах.

Но задача EFS была немного другой:
Нужно по сети все держать открытым способом (прозрачно расшифровывая/зашифровывая), но вот если жесткие диски снять,
которые находятся в свободном физическом доступе для посторонних.
То с них ничего было бы нельзя скачать (скачать можно, но файлы зашифрованы).
Вот такая была идея.

Если это можно реализовать другим способом, то я бы послушал решение.

[Black Monk]

По статье, Вы имеете ввиду:
если пользователь подключается к сетевой папке и выбирает, чтобы открыть файл, и если он зашифрован, то файл расшифровывается на компьютере, на котором хранится файл , а затем передается в незашифрованном виде по сети на компьютер пользователя?

Вот что я не совсем понял (именно не понял, а не не смог перевести):

The user must have Write or Modify permissions to encrypt or decrypt a file.

To encrypt a file, the user must have a valid EFS certificate. If EFS cannot locate a pre-existing certificate, EFS contacts a trusted enterprise certification authority for a certificate. If no trusted enterprise certification authorities are known, a self-signed certificate is created and used. The certificate and keys are stored in the user’s profile on the remote computer or in the user’s roaming profile if available.

When encrypted files or folders are copied or moved to or from a network file share on a remote computer, the files are decrypted locally, transmitted in plaintext, and then re-encrypted on the target volume if possible. Encrypted files transmitted to or from Web folders remain encrypted during transmission. With remote file operations, EFS must impersonate the encryptor, so the encryptor’s account must be configured to enable delegation, and the remote computer must be trusted for delegation. EFS makes use of either an existing EFS certificate for the encryptor if one is available, a certificate obtained from a trusted enterprise CA, or a self-signed certificate.
Encrypted files or folders retain their encryption after being either copied or moved from a local computer to a remote computer, provided that the remote computer is trusted for delegation and the target volume uses the version of NTFS used in Windows 2000 or later. A moved or copied file is re-encrypted on the target volume, so it has a new file encryption key (FEK), and the FEK is encrypted by using the user’s public key if it is available or by using a new public key EFS generates if the profile is unavailable. In the latter case, a new user profile is generated for the user on the remote computer to store the new private key.

If all the conditions necessary for remote encryption are not met, the transfer might fail. If the computer is not trusted for delegation, EFS cannot impersonate the user. When this occurs, the user receives an “Access is denied” message. If EFS can successfully impersonate the user, but the target volume does not use the version of NTFS used in Windows 2000 or later, the transfer will succeed, but the file or folder loses its encrypted status.

[dimokkk]

По статье, Вы имеете ввиду:
если пользователь подключается к сетевой папке и выбирает, чтобы открыть файл, и если он зашифрован, то файл расшифровывается на компьютере, на котором хранится файл , а затем передается в незашифрованном виде по сети на компьютер пользователя?

Да, вы тут все правильно поняли.

Долго искать перевод текста, но ничего про вашу проблему там нет.

Кстати, удаленый пользователь может  вносить измененеия в зашифрованный файлы или нет?

Если на шаре хранятся офисные документы, возможно стоит покопаться в сторону WRMS защиты..

[Black Monk]

На сетевой шаре, нельзя создавать файлы и папки, не говоря уже о переносе/копировании файлов и папок.
Редактирование и Сохранение файлов, система воспринимает как копирование, поэтому ответ в верхней строке.

На шаре хранятся разные типы файлов, начиная от офисных документов (word, excel, autocad, visio,..), и заканчивая разными архивами (zip, 7z, rar).
Что это за WRDS защита, никогда про нее не слышал!

Мне надо копать в сторону сертификатов и все что с ними связанно, про доверительные сертификаты и т.д.
Но то, что я перекопал не отвечает на вопрос по моей проблеме, поэтому я начал писать на разные форумы.
Походу EFS пользуюсь только я

[Black Monk]

Похоже ответ в этой статье, правда еще не пробывал.
http://www.kitoy.ru/ak/themepark/1369667914899.html

[Black Monk]

Проверил, работает, но есть ряд тонкостей:
1. Копировать на сервер надо не FAR и не Проводником, а например командой copy или robocopy.
2. Если скопировать обратно на локальный компьютер, то файлы копируются зашифрованными.

Меня впринципе все устраивает, только себе надо будет все это хитросплетение описать, а то через год забуду.