用途：主要是访止用户忘记密码或者离职后，不知道密码的情况打开该用户加密的文件。

    关于加密文件，主要有两种工作环境，一种是工作组，另一种是域。

    工作组的环境下主要有两种情况

    一：在用户加密文件之前,已经创建好"密码恢复代理”，这个时候可以使用“密码恢复代理”打开该用户加密文件。

    二：在用户加密文件之前，没有创建“密码恢复代理”，在这个情况下只有该用户有权限打开该加密文件，其它用户没有权限打开该加密文件包括本地管理员（到现在为止，还不知道有什么办法可以打开该加密文件啊，哈）。

    备注：当该用户加密文件后，千万不要强行更改该用户的密码，否则该用户也不能打开该加密文件。强行修改密码指的是：应用控制面板的管理工具直接点击该用户重新设置密码。

    还有补充一下yansy老师帖子的第三点：

    3、对于已加密的数据进行移动或传输时，在移动或传输过程中数据是被解密的，待移动到相应的位置后再次被加密。如果加密数据被移动到了非NTFS分区，数据会被自动解密。（注意一下：当加密数据被移动到了非NTFS分区，数据会被自动解密；这句话的具体意思应该是：只有该加密的用户有权限将该加密文件移动到非NTFS分区，然后会自动解密，但是用其它用户的话，是没有权限将该文件移动到非NTFS分区，你也不要想用这个办法来解密啊，哈）

    好现在进入实验，在域的环境下如何用域的管理员打开客户端用户在本地的加密文件。

    在域的环境下，本身一开始就已经创建了一个“密码恢复代理”，所以根本不存在工作组创建“密码恢复代理”之前之后的问题。

   

  　　  现在用户B，在C盘创建一个文件夹”B”，在文件夹里再创建一个文本文件“B.txt”.

    用户B现在对文件夹“B”加密，加密后文件夹B已经变成红色。

   

 

    现在注销用户B，用域管理员登陆到该计算机，看一下是否可以打开用户B的创建的文件。报错：“拒绝访问”，前面不是说域的情况下已经创建了“密码恢复代理”吗？但是那个是在域控制器创建，不是在整个域范围创建。还要做一步才可以用管理员去打开该文夹。（注意：假如用户B是在域控器的共享文件夹里面将某些文夹加密，那个时候管理员就可以直接双击打开该文件啦，就是因为已经在域控制器创建“密码恢复代理”）。

   

    在域控制器里面，将“密码恢复代理”证书导出，下一步

   

  　　  继续下一步

 

    继续下一步

   

 

    继续下一步，随便输入一个密码

  

 

    保存证书的位置

   

  　　   证书导出成功，然后将该证书复制到该计算机（文件加密的计算机）

   

 

    双击证书，将该证书导入（我是用域管理员在这台机器上做的）

   

 

    选择证书路径，然后点击下一步

   

 

    输入刚才导出证书的密码

   

　　   继续，下一步

   

 

    导入证书完成

  

    好现在试一下是否可以用域管理员去打开刚才B用户加密的文夹啦！哈哈…

   

    终于完成啦,以后就不怕那些用户忘记密码或者离职后,做成无法打开该文夹啦…还有一点要注意啊,就是在域的情况下,帮用户改密码的时候,千万不要在域控制器里面直接重设用户的密码啊,这样子操作会做成该用户无法打开该用户以前的加密码的文件啊……谢谢各位多指教啊…哈哈….

    补充一下如何让用户无法对文件夹加密啊，除掉个“勾”就行啦。。哈