EFS DRAに必要な証明書は「.cer」ファイルと「.pfx」ファイル。
「cipher /r:<ファイル名>」コマンドで作成できる。
EFS DRA登録用の公開キーポリシーには「.pfx」ファイルだけあればよいし、そのポリシーをコンピュータに適用後に暗号化したファイルには、しっかりとDRAが登録されている。
しかし、DRAがDRAとして復号化を実行するためには、
- DRAのアカウントでコンピュータにログオン
- 「.cer」ファイルと「.pfx」ファイルをそれぞれ右クリック→インストール
という操作を実施しておく必要がある。
cipher /rコマンドで証明書ファイルを作成しても、実は証明書として本人にインポートされていないため、まだDRAではないのだった。
ということで、復号化しようとしたときに「指定されたファイルの暗号化を解除できませんでした」と表示された場合は、ファイルやフォルダーのアクセス権/所有権はほぼ関係がない。必要な証明書が足りないためだ。
証明書のファイルをなくしていたら・・・諦めて。無理。
参考:
efs – Windows Server 2012 DRA(データ復旧エージェント)アカウントがファイルを解読できません
https://tutorialmore.com/questions-362799.htm