利用NTFS权限,可以控制用户账号和组对文件夹及个别文件的访问。
NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT16或者FAT32文件系统格式化的磁盘分区。
Windows Server 2016只为用NTFS进行格式化的磁盘分区提供NTFS权限。为了保护 NTFS 磁盘分区上的文件和文件夹,要为需要访问该资源的每一个用户账号授予 NTFS 权限。用户必须获得明确的授权才能访问资源。用户账号如果没有被组授予权限,它就不能访问相应的文件或者文件夹。不管用户是访问文件还是访问文件夹,也不管这些文件或文件夹是在计算机上还是在网络上,NTFS的安全性功能都有效。
对于NTFS磁盘分区上的每一个文件和文件夹,NTFS都存储一个远程ACL。ACL中包含那些被授权访问该文件或者文件夹的所有用户账号、组和计算机,还包含它们被授予的访问类型。为了让用户能够访问某个文件或者文件夹,针对用户账号、组或者该用户所属的计算机,ACL中必须包含一个相对应的元素,这样的元素叫作访问控制项(Access Control Entry,ACE)。为了让用户能够访问文件或者文件夹,访问控制元素必须具有用户所请求的访问类型。如果 ACL 中没有相应的ACE存在,Windows Server 2016就拒绝该用户访问相应的资源。
1、NTFS权限的类型
可以利用NTFS权限指定哪些用户、组和计算机能够访问文件和文件夹。NTFS权限也指明哪些用户、组和计算机能够操作文件或文件夹中的内容。
1. NTFS文件夹权限
可以通过授予文件夹权限,控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。下表列出了可以授予的标准NTFS文件夹权限和各个权限提供的访问类型。
标准NTFS文件夹权限列表:
注意:“只读”“隐藏”“归档”和“系统文件”等都是文件夹属性,不是NTFS权限。
2. NTFS文件权限
可以通过授予文件权限,控制对文件的访问。下表列出了可以授予的标准 NTFS文件权限和各个权限提供给用户的访问类型。
标准NTFS文件权限列表:
注意:无论用什么权限保护文件,被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。尽管“列出文件夹内容”和“读取和运行”看起来有相同的特殊权限,但这些权限在继承时却有所不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承,并且它只在查看文件夹权限时才会显示。“读取和运行”可以被文件和文件夹继承,并且在查看文件和文件夹权限时始终出现。
2、多重NTFS权限
如果将针对某个文件或者文件夹的权限授予个别用户账号,又授予某个组,而该用户是该组的一个成员,那么该用户就对同样的资源有了多个权限。关于NTFS如何组合多个权限,存在一些规则和优先权。除此之外,在复制或者移动文件和文件夹时,对权限也会产生影响。
1. 权限累积
一个用户对某个资源的有效权限是授予这一用户账号的 NTFS 权限与授予该用户所属组的NTFS权限的组合。例如,如果用户Long对文件夹Folder有“读取”权限,该用户Long是某个组Sales的成员,而该组Sales对该文件夹Folder有“写入”权限,那么该用户Long对该文件夹Folder就有“读取”和“写入”两种权限。
2. 文件权限超越文件夹权限
NTFS的文件权限超越NTFS的文件夹权限。例如,某个用户对某个文件有“修改”权限,那么即使他对包含该文件的文件夹只有“读取”权限,他仍然能够修改该文件。
3. 拒绝权限超越其他权限
可以拒绝某用户账号或者组对特定文件或者文件夹的访问,为此,将“拒绝”权限授予该用户账号或者组即可。这样,即使某个用户作为某个组的成员具有访问该文件或文件夹的权限,但是因为将“拒绝”权限授予了该用户,所以该用户具有的任何其他权限也被阻止了。因此,对权限的累积规则来说,“拒绝”权限是一个例外。应该避免使用“拒绝”权限,因为允许用户和组进行某种访问比明确拒绝他们进行某种访问更容易做到。巧妙地构造组和组织文件夹中的资源,使用各种各样的“允许”权限就足以满足需要,从而可避免使用“拒绝”权限。
例如,用户Long同时属于Sales组和Manager组,文件File1和File2是文件夹Folder下面的两个文件。其中,Long拥有对Folder的“读取”权限,Sales拥有对Folder的“读取”和“写入”权限,Manager则被禁止对File2的写入操作。那么Long的最终权限是什么?
由于使用了“拒绝”权限,用户Long拥有对Folder和File1的“读取”和“写入”权限,但对File2只有“读取”权限。
注意:在Windows Server 2016中,用户不具有某种访问权限和明确地拒绝用户的访问权限,这二者之间是有区别的。“拒绝”权限是通过在ACL中添加一个针对特定文件或者文件夹的拒绝元素而实现的。这就意味着管理员还有另外一种拒绝访问的手段,而不仅仅是不允许某个用户访问文件或文件夹。
3、共享文件夹权限与NTFS文件系统权限的组合
如何快速有效地控制对 NTFS 磁盘分区上的网络资源的访问呢?答案就是利用默认的共享文件夹权限共享文件夹,然后通过授予 NTFS 权限控制对这些文件夹的访问。当共享的文件夹位于NTFS格式的磁盘分区上时,该共享文件夹的权限与NTFS权限进行组合,用以保护文件资源。
要为共享文件夹设置NTFS权限,可在DC1上的共享文件夹的属性对话框中单击“共享权限”选项卡,即可设置NTFS权限,如下图所示。
“share1属性”对话框:
共享文件夹权限具有以下特点:
- 共享文件夹权限只适用于文件夹,而不适用于单独的文件,并且只能为整个共享文件夹设置共享权限,而不能对共享文件夹中的文件或子文件夹进行设置。所以,共享文件夹权限不如NTFS文件系统权限详细。
- 共享文件夹权限并不对直接登录到计算机上的用户起作用,只适用于通过网络连接该文件夹的用户,即共享权限对直接登录到服务器上的用户是无效的。
- 在 FAT/FAT32系统卷上,共享文件夹权限是保证网络资源被安全访问的唯一方法。原因很简单,就是NTFS权限不适用于FAT/FAT32卷。
- 默认的共享文件夹权限是读取,并被指定给Everyone组。
共享权限分为读取、修改和完全控制。不同权限以及对用户访问能力的控制如下表所示。
共享文件夹权限列表:
当管理员对 NTFS权限和共享文件夹的权限进行组合时,结果是组合的 NTFS 权限,或者是组合的共享文件夹权限,哪个范围更窄取哪个。
当在NTFS卷上为共享文件夹授予权限时,应遵循以下规则:
- 可以对共享文件夹中的文件和子文件夹应用NTFS权限。可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限;
- 除共享文件夹权限外,用户必须具有该共享文件夹包含的文件和子文件夹的 NTFS权限,才能访问那些文件和子文件夹;
- 在NTFS卷上必须要求NTFS权限。默认Everyone组具有“完全控制”权限;
4、继承与阻止NTFS权限
1. 使用权限的继承性
默认情况下,授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件。当授予访问某个文件夹的NTFS权限时,就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹,以及在该文件夹中创建的任何新文件和新的子文件夹。
如果想让文件夹或者文件具有不同于它们父文件夹的权限,必须阻止权限的继承性。
2. 阻止权限的继承性
阻止权限的继承,也就是阻止子文件夹和文件从父文件夹继承权限。为了阻止权限的继承,要删除继承来的权限,只保留被明确授予的权限。
被阻止从父文件夹继承权限的子文件夹现在就成为新的父文件夹。包含在这一新的父文件夹中的子文件夹和文件将继承授予它们父文件夹的权限。
以 test2文件夹为例,若要禁止权限继承,可打开该文件夹的“属性”对话框,单击“安全”选项卡,单击“高级”→“权限”按钮,出现下图所示的“test2的高级安全设置”对话框。
选中某个要阻止继承的权限,单击“禁用继承”按钮,在弹出的“阻止继承”菜单中选择“将已继承的权限转换为此对象的显示权限”或“从此对象中删除所有已继承的权限”命令。
5、复制和移动文件及文件夹
1. 复制文件和文件夹
当从一个文件夹向另一个文件夹复制文件或文件夹时,或者从一个磁盘分区向另一个磁盘分区复制文件或文件夹时,这些文件或文件夹具有的权限可能发生变化。复制文件或文件夹对NTFS权限产生下述效果:
- 当在单个NTFS磁盘分区内或在不同的NTFS磁盘分区之间复制文件夹或文件时,文件夹或文件的复件将继承目的地文件夹的权限。
- 当将文件或文件夹复制到非NTFS磁盘分区(如文件分配表FAT格式的磁盘分区)时,因为非NTFS磁盘分区不支持NTFS权限,所以这些文件夹或文件就丢失了它们的NTFS权限。
注意:为了在单个NTFS磁盘分区之内或者在NTFS磁盘分区之间复制文件和文件夹,必须具有对源文件夹的“读取”权限,并且具有对目的地文件夹的“写入”权限。
2. 移动文件和文件夹
当移动某个文件或文件夹的位置时,针对这些文件或文件夹的权限可能发生变化,这主要依赖于目的地文件夹的权限情况。
移动文件或文件夹对NTFS权限产生下述效果:
- 当在单个NTFS磁盘分区内移动文件夹或文件时,该文件夹或文件保留它原来的权限。
- 当在NTFS磁盘分区之间移动文件夹或文件时,该文件夹或文件将继承目的地文件夹的权限。当在 NTFS 磁盘分区之间移动文件夹或文件时,实际是将文件夹或文件复制到新的位置,然后从原来的位置删除它。
- 当将文件或文件夹移动到非NTFS磁盘分区时,因为非NTFS磁盘分区不支持NTFS权限,所以这些文件夹和文件就丢失了它们的NTFS权限。
注意:为了在单个NTFS磁盘分区之内或者多个NTFS磁盘分区之间移动文件和文件夹,必须具有对目的地文件夹的“写入”权限,并且具有对源文件夹的“修改”权限。之所以要求“修改”权限,是因为移动文件或者文件夹时,在将文件或者文件夹复制到目的地文件夹之后,Windows Server 2016将从源文件夹中删除该文件。
上面的复制和移动规则如下图所示:
6、利用NTFS权限管理数据
在NTFS磁盘中,系统会自动设置默认的权限值,并且这些权限会被其子文件夹和文件所继承。为了控制用户对某个文件夹以及该文件夹中的文件和子文件夹的访问,就需指定文件夹权限。不过,要设置文件或文件夹的权限,必须是Administrators组的成员、文件或者文件夹的拥有者、具有完全控制权限的用户。
需要预先在DC1上建立C:\network文件夹和本地域用户sales。
1. 授予标准NTFS权限
授予标准NTFS权限包括授予NTFS文件夹权限和NTFS文件权限。
1)NTFS文件夹权限
STEP 1 打开DC1的文件资源管理器窗口,右键单击要设置权限的文件夹,如network,在弹出的快捷菜单中选择“属性”命令,打开“network属性”对话框,单击“安全”选项卡,如图所示。
STEP 2 默认已经有了一些权限设置,这些设置是从父文件夹(或磁盘)继承来的。例如,在该图“Administrators”用户的权限中,灰色阴影对勾的权限就是继承的权限。
STEP 3 如果要给其他用户指派权限,可单击“编辑”按钮,出现下图所示的“network的权限”对话框。
STEP 4 单击“添加”→“高级”→“立即查找”按钮,从本地计算机上添加拥有对该文件夹访问和控制权限的用户或用户组,如sales,如下图所示。
“选择用户、计算机、服务账户或组”对话框:
STEP 5 选择后单击“确定”按钮,拥有对该文件夹访问和控制权限的用户或用户组就被添加到“组或用户名”列表框中。特别注意,如果新添加的用户的权限不是从父项继承的,那么他们所有的权限都可以被修改。
STEP 6 如果不想继承上一层的权限,可参照“任务5-5 继承与阻止NTFS权限”的内容进行修改。
2)NTFS文件权限
文件权限的设置与文件夹权限的设置类似。要想对NTFS文件指派权限,直接在文件上单击鼠标右键,在弹出的快捷菜单中选择“属性”命令,然后单击“安全”选项卡,即可为该文件设置相应权限。
2. 授予特殊访问权限
标准的NTFS权限通常能提供足够的权限,用以控制对用户的资源的访问,以保护用户的资源。但是,如果需要更为特殊的访问级别,就可以使用NTFS的特殊访问权限。
在文件或文件夹属性的“安全”选项卡中(如network),单击“高级”→“权限”按钮,打开“network的高级安全设置”对话框,单击“sales”选项,如下图所示。
“network的高级安全设置”对话框:
单击“编辑”按钮,打开下图所示的“network的权限项目”对话框,可以更精确地设置“sales”用户的权限。其中“显示基本权限”和“显示高级权限”在单击后交替出现。
“network的权限项目”对话框:
特殊访问权限(即高级权限)有14项,把它们组合在一起就构成了标准的NTFS权限。例如,标准的“读取”权限包含“列出文件夹/读取数据”“读取属性”“读取权限”“读取扩展属性”等特殊访问权限。
其中有两个特殊访问权限对管理文件和文件夹的访问来说特别有用。
1)更改权限
如果为某用户授予这一权限,该用户就具有了针对文件或者文件夹修改权限的能力。
可以将针对某个文件或者文件夹修改权限的能力授予其他管理员和用户,但是不授予他们对该文件或者文件夹的“完全控制”权限。通过这种方式,这些管理员或用户就不能删除或者写入该文件或文件夹,但是可以为该文件或者文件夹授权。
为了将修改权限的能力授予管理员,将针对该文件或文件夹的“更改权限”的权限授予Administrators组即可。
2)取得所有权
如果为某用户授予这一权限,该用户就具有了取得文件和文件夹的所有权的能力。
可以将文件和文件夹的拥有权从一个用户账号或者组转移到另一个用户账号或者组。也可以将“所有者”权限给予某个人。而作为管理员,也可以取得某个文件或者文件夹的所有权。
对取得某个文件或者文件夹的所有权来说,需要应用下述规则:
- 当前的拥有者或者具有“完全控制”权限的任何用户,可以将“完全控制”这一标准权限或者“取得所有权”这一特殊访问权限授予另一个用户账号或者组。这样,该用户账号或者该组的成员就能取得所有权。
- Administrators 组的成员可以取得某个文件或者文件夹的所有权,而不管为该文件夹或者文件授予了怎样的权限。如果某个管理员取得了所有权,则Administrators组也取得了所有权。因而该管理员组的任何成员都可以修改针对该文件或者文件夹的权限,并且可以将“取得所有权”这一权限授予另一个用户账号或者组。例如,如果某个雇员离开了原来的公司,某个管理员即可取得该雇员的文件的所有权,再将“取得所有权”这一权限授予另一个雇员,然后这一雇员就取得了前一雇员的文件的所有权。
注意:为了成为某个文件或者文件夹的拥有者,具有“取得所有权”这一权限的某个用户或者组的成员必须明确地获得该文件或者文件夹的所有权。不能自动将某个文件或者文件夹的所有权授予任何一个人。文件的拥有者、管理员组的成员,或者任何一个具有“完全控制”权限的人都可以将“取得所有权”权限授予某个用户账号或者组,这样就使他们获得了所有权。
7、压缩文件
将文件压缩后可以减少它们占用磁盘的空间。系统支持 NTFS 压缩与压缩(zipped)文件夹两种不同的压缩方法,其中NTFS压缩仅NTFS磁盘支持。其后的任务都在MS1计算机实现。
1. NTFS压缩
STEP 1 对NTFS磁盘内的文件进行压缩的方法为:用鼠标右键单击该文件,在弹出的快捷菜单中选择“属性”→“高级”命令,勾选“压缩内容以便节省磁盘空间”复选框,如下图所示。
STEP 2 若要压缩文件夹,用鼠标右键单击该文件夹,在弹出的快捷菜单中选择“属性”→“高级”命令,勾选“压缩内容以便节省磁盘空间”复选框,单击“确定”按钮,如下图所示。
- 仅将更改应用于此文件夹:以后在此文件夹内添加的文件、子文件夹与子文件夹内的文件都会被自动压缩,但不会影响到此文件夹内现有的文件与文件夹。
- 将更改应用于此文件夹、子文件夹和文件:不但以后在此文件夹内新建的文件、子文件夹与子文件夹内的文件都会被自动压缩,同时会将已经存在于此文件夹内的现有文件、子文件夹与子文件夹内的文件一并压缩。
STEP 3 也可以针对整个磁盘进行压缩:用鼠标右键单击磁盘(如C:),在弹出的快捷菜单中选择“属性”命令,勾选“压缩此驱动器以节约磁盘空间”复选框。
STEP 4 当用户或应用程序要读取压缩文件时,系统会将文件由磁盘内读出、自动将解压缩后的内容提供给用户或应用程序,然而存储在磁盘内的文件仍然是处于压缩状态的;而将数据写入文件时,它们也会被自动压缩后再写入磁盘内的文件。
可以将压缩或加密的文件以不同的颜色来显示,方法为:用鼠标右键单击“开始”菜单,在弹出的快捷菜单中选择“文件资源管理器”→“查看”→“选项”命令,然后单击“查看”选项卡,如下图所示,勾选“用彩色显示加密或压缩的NTFS文件”复选框。
2. 文件复制或剪切时压缩属性的变化
当NTFS磁盘内的文件被复制或搬移到另一个文件夹后,其压缩属性的变化如图所示。
3. 压缩(zipped)文件夹
无论是FAT16、FAT32、exFAT、NTFS或ReFS磁盘内都可以建立压缩(zipped)文件夹,在利用文件资源管理器建立压缩(zipped)文件夹后,被复制到此文件夹内的文件都会被自动压缩。
可以在不需要自行解压缩的情况下,直接读取压缩(zipped)文件夹内的文件,甚至可以直接执行其中的程序。压缩(zipped)文件夹的文件夹名的扩展名为.zip,它可以被 WinZip、WinRAR等文件压缩工具程序解压缩。
STEP 1 可以打开“文件资源管理器”窗口,双击“network”文件夹,在界面右侧空白处单击鼠标右键,在弹出的快捷菜单中选择“新建”→“压缩(zipped)文件夹”命令来新建压缩(zipped)文件夹,如下图所示。
STEP 2 也可以通过选择需要压缩的文件,然后单击鼠标右键,在弹出的快捷菜单中选择“发送到”→“压缩 (zipped)文件夹”命令建立一个保存这些文件的压缩(zipped)文件夹,如图所示。
将多个文件发送到压缩(zipped)文件夹:
STEP 3 压缩(zipped)文件夹的扩展名为.zip,不过系统默认会隐藏扩展名,如果要显示扩展名,请用鼠标右键单击“开始”菜单,在弹出的快捷菜单中选择“文件资源管理器”→“查看”命令,勾选“文件扩展名”复选框。
如果计算机内安装有WinZip或WinRAR等软件,则在文件资源管理器中双击压缩 (zipped )文件夹时,系统会通过这些软件来打开压缩(zipped)文件夹。
8、加密文件系统
加密文件系统(Encrypting File System, EFS)提供文件加密的功能,文件经过加密后,只有当初将其加密的用户或被授权的用户能够读取,因此可以增加文件的安全性。只有NTFS 磁盘内的文件、文件夹才可以被加密,如果将文件复制或剪切到非NTFS磁盘内,则此新文件会被解密。
文件压缩与加密无法并存。要加密已压缩的文件,则该文件会自动被解压缩。要压缩已加密的文件,则该文件会自动被解密。
1. 对文件与文件夹加密
STEP 1 对文件加密。用鼠标右键单击该文件,在弹出的快捷菜单中单击“属性”→“高级”按钮,在弹出的“高级属性”对话框中勾选“加密内容以便保护数据”复选框,单击“确定”按钮,再单击“应用”按钮,在弹出的“加密警告”对话框中选中“加密文件及其父文件夹(推荐)”选项,或“只加密文件”单选按钮。如果选择“加密文件及其父文件夹(推荐)”单选按钮,则以后在此文件夹内新添加的文件都会自动被加密,如下图所示。
文件加密:
STEP 2 对文件夹加密。选中文件夹,单击鼠标右键,在弹出的快捷菜单中单击“属性”→“高级”按钮,在弹出的“高级属性”对话框中勾选“加密内容以便保护数据”复选框,单击“确定”按钮,再单击“应用”按钮,弹出下图所示的对话框,选中“将更改应用于此文件夹、子文件夹和文件”单选按钮。
“确认属性更改”对话框:
- 仅将更改应用于此文件夹:以后在此文件夹内添加的文件、子文件夹与子文件夹内的文件都会被自动加密,但不会影响到此文件夹内现有的文件与文件夹。
- 将更改应用于此文件夹、子文件夹和文件:不但以后在此文件夹内新增加的文件、子文件夹与子文件夹内的文件都会被自动加密,同时会将已经存在于此文件夹内的 现有文件、子文件夹与子文件夹内的文件都一并加密。
当用户或应用程序需要读取加密文件时,系统会将文件由磁盘内读出、自动将解密后的内容提供给用户或应用程序,然而存储在磁盘内的文件仍然是处于加密状态的;而将数据写入文件时,它们也会被自动加密后再写入磁盘内的文件。
如果将一个未加密文件剪切或复制到加密文件夹,该文件会被自动加密。当将一个加密文件剪切或复制到非加密文件夹时,该文件仍然会保持其加密的状态。
利用EFS加密的文件,只有存储在硬盘内才会被加密,在通过网络传输的过程中是没有加密的。如果希望通过网络传输时仍然保持加密的安全状态,可以通过IPSec或WebDev等方式来加密。
2. 授权其他用户可以读取加密的文件
被加密的文件只有文件的所有者可以读取,不过也可以授权给其他用户读取。被授权的用户必须具备EFS证书,而普通用户在第1次执行加密操作后,就会自动被赋予EFS证书,也就可以被授权了。
以下示例假设要授权给域用户Alice。要想授权给域用户Alice,必须保证Alice在MS1上有个人用户证书存在,最简单的方法就是用Alice对某个文件夹加密,从而生成Alice的个人用户证书。授权给Alice的完整步骤如下。
STEP 1 以本地管理员身份登录 MS1,在 network 下新建“testAdministrator”和“test”两个文件,单独对文件“test-Administrator”加密,选择“只加密文件”,避免对其父文件夹加密。
STEP 2 注销MS1,以域用户Alice登录MS1,在network下新建文件夹“test-Alice”,单独对该文件夹加密。加密后的文件和文件夹以彩色显示,如图所示。
被不同用户加密后的文件和文件夹:
STEP 3 分别访问“test”和“test-Administrator”两个文件,由于test文件没有加密,所以能正常访问,但test-Administrator由于被administrator用户加密而拒绝访问。
STEP 4 注销MS1,以本地管理员身份登录MS1,将“test-Administrator”的解密授权给用户Alice。方法为:用鼠标右键单击“test-Administrator”文件,在弹出的快捷菜单中单击“属性”→“高级”按钮,在下图中单击“详细信息”→“添加”→“查找用户”按钮,选择用户“Alice”,然后单击“确定”按钮。
STEP 5 注销MS1,以域用户Alice登录MS1,访问“test-Administrator”文件,能正常访问。
STEP 6 具备恢复证书的用户也可以访问被加密的文件。默认只有域Administrator拥有恢复证书(由图下方的恢复证书处可看出),不过可以通过组策略或本地策略将恢复证书分配给其他用户。以本地策略为例,其设置方法为:选择“服务器管理器”→“工具”→“本地安全策略”→“公钥策略”命令,展开“公钥策略”选项,用鼠标右键单击“加密文件系统”选项,在弹出的快捷菜单中选择“添加数据恢复代理程序”命令。
3. 备份EFS证书
为了避免 EFS 证书丢失或损毁,造成文件无法读取的后果,建议利用证书管理控制台来备份EFS证书,其步骤如下。
STEP 1 在“开始”菜单的“运行”中执行“certmgr.msc”命令,展开“个人”→“证书”选项,用鼠标右键单击预期目的为“加密文件系统”的证书,在弹出的快捷菜单中选择“所有任务”→“导出”命令,然后单击“下一步”按钮,选中“是,导出私钥”单选按钮,单击“下一步”按钮,选择默认的.pfk格式,选中“组或用户名”单选按钮,也可以设置密码(以后只有该用户有权导入,否则需要输入此处的密码),如图所示。
建议将此证书文件备份到另外一个安全的地方。如果有多个EFS证书,请全部导出存档。
STEP 2 如果Alice用户的EFS证书丢失或损毁,造成文件无法读取,可以将备份的EFS证书导入。用鼠标右键单击左侧的“证书”选项,在弹出的快捷菜单中选择“所有任务”→“导入”命令,根据向导完成证书导入即可。