.
Обратившись в Интернет в поисках решения, я обнаружил, что это распространенная проблема, но не мог найти очевидного решения. Поэтому я провел небольшое исследование и разработал процедуру для надежного устранения неполадки.
Прежде чем применить процедуру, необходимо убедиться, что эта проблема действительно свойственна клиентской системе. На клиенте перейдите в папку \%SystemRoot%\CSC и поищите во вложенных папках файлы с именами, выделенными зеленым цветом.
Если зеленые файлы есть, то шифрование автономных файлов действует. Если зеленых файлов нет, установите на клиенте флажок Encrypt offline files to secure data. В панели управления выберите Folder Options, а затем щелкните на вкладке Offline Files. Если флажок Encrypt offline files to secure data затенен, как показано на экране, значит, проблема существует. Чтобы устранить ее, выполните следующие шаги.
.jpg) |
| Экран. Флажок Encrypt offline files to secure data затенен, но не установлен |
1. Убедитесь, что на клиенте установлено исправление KB810859. Без него кэш Offline Files никогда не будет шифроваться, если только на компьютере не зарегистрирован пользователь с правами администратора. Это исправление есть в пакете SP3 для XP. Если пакет SP3 не установлен, исправление можно загрузить по адресу support.microsoft.com/kb/810859.
2. Убедитесь, что на компьютере, используемом для управления групповой политикой, размещен обновленный файл system.adm. Перейдите к \%windir%\inf и откройте файл system.adm в «Блокноте». Найдите строку
CLIENTEXT {C631dF4C-088F-4156-B058-4375F0853Cd8}
Если ее нет, установите исправление KB810859 на этом компьютере и введите строку вручную, следуя инструкциям в статье «The 'Encrypt the Offline Files cache' Group Policy setting does not take effect when a user logs on to a Windows XP-based computer».
3. На компьютере, используемом для управления групповой политикой, откройте объект групповой политики (GPO), в котором установлен параметр Encrypt the Offline Files Cache. Удалите объект GPO, присвоив ему значение Not Configured и нажав кнопку Apply. Затем вновь включите объект GPO, присвоив значение Enabled, и нажмите кнопку Apply. В результате будет обновлен атрибут gPCMachineExtensionNames в объекте GPO, который запустит новую функцию, реализованную в исправлении. Если пропустить этот шаг, устранить проблему не удастся.
4. Выполните шаг 3 на всех других объектах GPO с параметром Encrypt the Offline Files Cache.
5. Проверьте, есть ли на клиенте автономные файлы. На первый взгляд это очевидно, но параметр Encrypt the Offline Files Cache не применяется, если нет автономных файлов для шифрования.
6. На данном этапе параметр Encrypt the Offline Files Cache включен, но не применяется к вновь созданному или незашифрованному кэшу Offline Files до следующего интервала обновления групповой политики, который по умолчанию на большинстве компьютеров составляет 90 минут. Это просчет разработчиков. В результате автономные файлы, синхронизируемые в первый раз, не шифруются, и в течение некоторого времени компьютер потенциально уязвим. Кроме того, существует опасность, что на жестком диске останутся копии незашифрованных автономных файлов. По этой причине я рекомендую открыть окно командной строки на компьютере, на котором кэш Offline Files синхронизирован, и запустить команду
gpupdate
Спустя несколько секунд начнется процесс шифрования, и файлы в папке \%SystemRoot%\CSC начнут окрашиваться в зеленый цвет. Также будет установлен флажок Encrypt offline files to secure data на клиенте.
Вся приведенная информация разбросана по различным сайтам (за исключением добавленного мною шага 6). Собрав всю информацию в шестиэтапной процедуре, я постарался сэкономить читателям несколько часов, которые в противном случае пришлось бы потратить на поиск в Интернете ответа на вопрос «Почему мои автономные файлы не шифруются?»
Крис Хилл (chill@crgs.co.uk) — системный администратор школы Colchester Royal Grammar School в Колчестере, Великобритания