問題タブ [encrypting-file-system]

暗号化済みとしてマークされたフォルダーがあります (EFS、暗号化ファイル システム)。バックグラウンド サービスによってアップロードする必要があるファイルを作成する特定のユーザーのコンテキストで実行されているプロセスがあります。

問題は、バックグラウンド サービスがアクセスを拒否されていることです。バックグラウンド サービスは、フォルダーが暗号化済みとしてマークされたときに生成された証明書にアクセスできます。

バックグラウンド サービスが証明書を介して暗号化されたファイル システム ファイルにアクセスできる方法はありますか?

プロンプトが表示されたときに、特定の場所にいくつかの暗号化キーを含むファイルがあるかどうかを確認する Web アプリケーションがあります。ファイルが存在しない場合、キーは自動生成され、ファイル内に保存されます。その後、ファイル自体が暗号化されることになっています。

私が走るとき

IOExceptionというメッセージで実行されます"The parameter is incorrect"。

制限付きアカウントのなりすましで操作が実行されています。自分の昇格した資格情報で実行すると、すべてが完全に機能します。証明書を確認し、制限付きアカウント用に 1 つ作成し、考えられるすべての役割 (暗号化オペレーターなど) にアカウントを追加してテストしました。何も機能しませんでした。テスト環境で、アカウントを不合理なレベルに上げたところ、暗号化操作を実行できました。その後、アカウントを通常のレベルに戻すと、ファイルを完全に読み取ることができました。

問題は、この解決策が最終的なものになると、それを本番環境で実行するように依頼できないことです。私のテスト環境は Windows Server 2008 データ センター エディションで、ソリューションは asp .net mvc 5 で開発されています。何が問題なのか教えてください。

他の SO 投稿で詳しく説明されているように、Visual Studio SQL プロジェクトで SQL Server 2012 を使用しています。EFS (暗号化ファイル システム) が無効である限り、FILESTREAMS が有効になり、FileTables が独自の FileGroup に作成され、私の SQL プロジェクトはインデックス可能/検索可能な適切な FILESTREAM DB を生成します。物理パス (SQL のデータ ディレクトリで有効) で EFS を有効にすると、FileTable Win32 共有に対してファイルを読み書きできません。FWIW、共有を介してディレクトリを作成および削除できます。

Bruce Jackson のブログで読んだことによると、「問題なく動作する」はずですが、現在、EFS の有効化または無効化はトグルとして機能しています。EFS オフ=> 共有への/からのドラッグ アンド ドロップはうまく機能します。

SQL Server は独自のローカル アカウントで実行されており、他のすべての操作 (SSMS、Windows Explorer などを使用) をドメイン アカウントとして実行しています。これはローカル管理者であり、SQL Server の dbo にマップされています。十分な権限が必要だと思います。また、SSMS を介した BLOBS のクエリは正常に機能します。EFS が有効になっていると壊れるのは、Win32/UNC 共有アクセスだけです。

誰が何がうまくいかないのか知っていますか？