Смотря что ты хочеш получить.
Для расшифровки будет достаточно заполучить профиль пользователя.

Среди сотни пользователей в АДу, только один должен иметь доступ к шифрованной папке.

Для шифрования файла/папки достаточно активировать данное действие в свойствах объекта, при этом в профиле пользователя будут созданы соответствующие ключи с помощью которых и осуществиться шифрования.

В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.

P.S.> Advanced EFS Data Recovery снимает на раз

Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование

Собственно, нужно зашифровать неким образом папку... Но не ложить её в контейнер, так как она должна быть доступна в сети на чтение все, но изменять - только один маст хев...

Другого, пока что, ничего в голову не идёт...

Права? Не подходит(

а почему не подходит? неужели так критично шифрование данных?
А вообще самая лучшая защита данных в таком случае - ограничение физического доступа к носителю информации и локалку оттуда нафик =)

Опиши более подробнее о том как необходимо организовать работу с этими данными а там гляди что-то и сообразим, ща еще "СпанжБоб" прийдет , он с виндами дружит хорошо.

POS_troi , в корпоративном бизнесе так критично шифрование данных.

эта информация точная, или подозрения ?
Как то читал, что при утечке ключей - невозможно становится расшифровка данных?..
А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует.

P.S. мои обсуждение могут быть НЕ правильным, так что если у вас есть точная информация - исправте меня пожалуйся

2NaX[no]rT

А это уже зависит от начальства.. мои вот например когда-то хотели прайсы СВОИ шифровать 0_о (именно свои а не поставщиков)

EFS достаточно надежен и прост,но для применения надо немного подготовиться.
1)Назначить агента восстановления для домена(т.к не стоит использовать доменного администратора).
2)Сгенерировать для него ключ и импиртировать в AD.
3)Экспортировать ключ на носитель и удалить ключи(при расшифровки импортируем ключ и расшифровываем).
4)Если пользователи загружают профиль с сервера,то настроить IPSEC.
5)Зашифровать TEMP.
6)Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат.

Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован.