如何設定派讓用戶端可以以EFS 對遠端的Server資料加密?

前題:

在預設情況下，您無法對遠端的File server分享的文件做EFS加密。當您做這個動作時，會出現以下的錯誤

 

如果您希望使用者可以透過網路連到File server上的分享資料夾以EFS加密，您必需要在File Server進行委派的動作。參考步驟如下：

1.在DC上，執行「AD使用者和電腦」

2.找到File Server的物件，右鍵點選此Server，點選「內容」>「委派」。

3.在委派的下方，選擇「信任這台電腦，但只委派指定的服務」以及「只使用Kerberos」

4.點選「新增」，在「新增服務」裏，點選「使用者或電腦」。

5.找到此File Server後，選擇 CIFS和ProtectedStorage ，再點選「確定」。

6.重覆步驟4和5，將DC加進去。

7.按下「確定」。

8.將File Server重新開機即可。

補充說明：

1.若要進行委派，Domain Function Level至少要Windows 2003 Native等級。

2.當成功EFS加密遠端Server的檔案後，其加密金鑰是存放在遠端Server的User Profile。舉例來說，如果我在Client是使用帳戶Eric\test123 登入，連到File Server上加密的話，它會在File Server上建立一個test123的user profile，而加密的金鑰是存放在test123的profile裏。