Você pode ter um certificado expirado do EFS Data Recovery Agent para o seu domínio.
Teste se esse for o caso usando este procedimento:
- salva um arquivo de texto em sua estação de trabalho (c: \ temp \ myfile.txt, por exemplo)
- edite suas propriedades e criptografe o arquivo
Se o agente de recuperação não for válido, você não conseguirá criptografar o arquivo e receberá um erro indicando um problema com o agente de recuperação.
Para resolver esse problema, substitua o certificado expirado e atualize a Política de Grupo nas estações de trabalho afetadas.
Do Blog da equipe de serviços de diretório da Microsoft :
Encontre o certificado
-
No servidor, localize e abra o
Default Domain Policy
navegue atéComputer Configuration -> Windows Settings -> Public Key Policies -> Encrypting File System
-
No painel direito, clique com o botão direito do mouse no certificado expirado e selecione
All Tasks | Export
Crie um novo certificado
- Em uma estação de trabalho, execute o comando
cipher /r:<filename-without-extension>
e use qualquer senha desejada quando solicitado - Copie os arquivos .CER e .PFX resultantes para o seu servidor
Importe o certificado e atualize a Diretiva de Grupo
- Volte para o servidor, localize novamente a Política de domínio padrão, destaque
Encrypting File System
e selecioneAdd Data Recovery Agent
- Navegue pelos arquivos .CER e .PFX que acabou de copiar e responda
YES
se você for avisado sobre revogação ou solicitado a instalar o certificado. - Adicione o certificado ao armazenamento da raiz confiável do domínio (Configuração do computador - > Configurações do Windows - > Políticas de chave pública - > Autoridades de certificado raiz confiáveis)
- Forçar uma atualização da política de grupo usando
gpupdate /force
em um prompt de comando
Confirme se os arquivos existentes foram atualizados com o novo certificado DRA
- verifique os Atributos avançados de um arquivo criptografado e compare a impressão digital do DRA com a impressão digital do certificado que você acabou de criar.