Агент відновлення (recovery agent) - це користувачі, які мають право на відновлення зашифрованих файлів в домені. Для додавання нових користувачів в якості агентів відновлення останнім слід надати сертифікати відновлення від центрів сертифікації підприємства (локальний сертифікат, виданий адміністратором локальної мережі, не підходить).
1. Відкрийте оснастку Active Directory - користувачі й комп'ютери (Active Directory - Users and Computers) (Пуск> Програми> Адміністрування> Active Directory - користувачі й комп'ютери (Start> Programs> Administrative Tools> Active Directory - Users and Computers)).
2. Клацніть правою кнопкою на домені і виберіть в контекстному меню команду Властивості (Properties).
3. перескочити на вкладку Групова політика (Group Policy).
4. Виберіть розділ Default Group Policy і натисніть на кнопці Edit.
5. Виберіть команду Конфігурація комп'ютера> Конфігурація Windows> Параметри безпеки> Політики відкритого ключа> Агенти відновлення шифрованих даних (Computer Configuration> Windows Settings> Security Settings> Public Key Policies> Encrypted Data Recovery Agents).
6. Клацніть правою кнопкою миші на опції Агенти відновлення шифрованих даних (Encrypted Data Recovery Agents) та клікніть на кнопці Додати (Add).
7. Натисніть на кнопці Далі (Next) у вікні програми Майстер додавання агента відновлення (Add Recovery Agent Wizard).
8. Натисніть на кнопці Огляд папок (Browse Directory). Знайдіть обліковий запис необхідного користувача і натисніть на кнопці OK.
9. Натисніть на кнопці Далі (Next).
10. Натисніть на кнопці Готово (Finish).
Оновлення політику за допомогою наступної команди:
secedit / refreshpolicy machine_policy
Агент може відновлювати файли, зашифровані тільки після створення агента. Якщо зашифрований файл дешифрований і зашифрований ще раз або навіть просто відкритий, новий агент отримає можливість відновлювати такі файли, так як файл "обновить" свої сертифікати відновлення (якщо була змінена політика відновлення).
Локальний адміністратор на окремому ПК або адміністратор, що реєструється першим на контролері домену, за замовчуванням є агентами відновлення. Це можна змінити, видаливши агента відновлення, створеного за замовчуванням і передавши статус агента будь-якого іншого користувача. Іншими словами, системний адміністратор, який не є агентом відновлення, не має права прочитати зашифровані файли іншого користувача. Призначення першого зареєстрованого адміністратора агентом відновлення реалізовано з метою спростити процес адміністрування системи. Корпоративним користувачам можна порадити змінити агентів відновлення, створених за замовчуванням.