數據恢復代理

數據恢復代理（data recovery agent，DRA）可以在域（domain）、站點、組織單位或本地機器級別上進行定義。在中小型企業中，網絡管理員常常是認定的DRA。

簡而言之，以下是它的工作過程：網絡管理員運用微軟Windows活動目錄中的組策略來給每個人指派一個用於加密的公共密鑰和他們自己個人的用於解密的每人密鑰。這樣確保了用户只能解密他們創建的內容，而不能解密其他人的。但是數據恢復代理（data recovery agent，DRA）得到一個可以解密所有用公共密鑰加密內容的私人密鑰。

在Windows 2000中，本地管理員是默認的數據恢復代理（data recovery agent，DRA）。在Windows XP Professional、Windows 7、Windows Server 2003和Windows Server 2008 R2中，沒有默認的DRA。相反地，管理員必須生成個恢復代理證書，它授權訪問加密資源的用户許可。但果恢復代理證書在資源加密後創建，那麼A不能解密這些資源。