如果你用Windows自带的EFS加密了一个文件夹，现在想让团队里其他同事也能打开里面的文件，那得注意了：这事儿没法一键搞定。

EFS默认只认最初加密的那个人，而且它不支持对整个文件夹批量授权——你必须逐个文件、手动把其他用户的证书加进去才行。

下面这个流程，就是帮你把“独享”变成“共享”的关键操作。不过得提醒一句：过程中如果文件被某些程序覆盖保存，之前添加的证书可能会丢失，这点后面会详细说。

一、为其他用户预生成EFS证书

想给同事授权？前提是他得先有自己的EFS证书。系统不会自动给没碰过加密功能的账户生成这玩意儿，所以得先帮他们“初始化”一下。

操作很简单：

• 让需要访问的同事用自己的账号登录电脑。
• 随便找个NTFS分区新建一个文本文件。
• 右键选“属性”→“高级”，勾上“加密内容以便保护数据”。
• 点完确定，证书就默默生成了。

每个要协作的人都得走一遍这个步骤。

二、向单个加密文件添加用户证书

证书准备好了，接下来就是往文件里加人。记住，EFS只认单个文件，所以如果文件夹里有一百个文件，理论上就得操作一百次。

当然，后面会介绍批量方法，但原理上还是一个一个来。

具体步骤：

1. 用最初加密的账号登录。
2. 找到已加密的文件，右键进入“属性”→“高级”→“详细信息”。
3. 点击“添加”，从列表里勾选已经生成证书的同事账号，确认保存。

注意：如果列表里找不到某个人，说明他还没按上一步生成证书。

三、使用cipher命令批量添加证书

真要一个个点，工作量确实吓人。好在Windows留了命令行后路——用cipher工具能批量处理。

操作流程如下：

1. 先以管理员身份打开命令提示符。
2. 用 certutil -store My 命令列出证书信息。
3. 把目标用户的EFS证书导出为.cer文件。
4. 进到加密文件夹目录，执行类似命令：cipher /a /adduser /cerfile:同事证书.cer *.docx

这样，所有加密过的.docx文件就一次性添加上指定用户的访问权了。放心，没加密的文件不会受影响。

四、验证证书添加结果

加完证书不算完，一定要验证是否真的生效。

最直接的办法：让同事用自己的账号登录，尝试打开加密文件。如果能顺利打开，且文件属性里的“用户访问”列表中有他的名字，才算成功。

这里有个常见坑点：EFS只管解密，不管文件权限。就算证书加对了，如果同事连NTFS读取权限都没有，照样打不开。所以两边都得检查。

五、规避EFS共享失效风险的操作限制

最麻烦的环节来了：EFS共享有个设计上的“脆弱点”。

很多常用程序（比如Office、记事本）保存文件时，会直接替换原文件。这个操作会导致文件里除了当前保存者的证书，其他所有人的证书都被清空——这意味着协作瞬间失效。

怎么应对？

• 要么规定所有人不准直接编辑加密文件，只能“另存为”新文件；
• 要么对频繁改动的文件干脆不用EFS，换BitLocker这类全盘加密方案。

如果非得用EFS，那就得约定：每次有人改完文件，加密发起者都得重新执行一遍添加证书的流程。

说到底，EFS的协作机制更像精细的手工活，而不是自动化流水线。用之前，最好评估一下团队的文件编辑频率和协作强度，别等到证书丢了才后悔。

《夸克》非常好用的免费AI浏览器

下载APP查看