數據恢復代理(data recovery agent,DRA)是有權解密其它用戶加密過數據的微軟Windows用戶。對授權人的DRA權利分配為IT部門提供了在緊急情況下解密加數據的方法。
數據恢復代理(data recovery agent,DRA)可以在域(domain)、站點、組織單位或本地機器級別上進行定義。在中小型企業中,網路管理員常常是認定的DRA。
簡而言之,以下是它的工作過程:網路管理員運用微軟Windows活動目錄中的組策略來給每個人指派一個用於加密的公共密鑰和他們自己個人的用於解密的每人密鑰。這樣確保了用戶只能解密他們創建的內容,而不能解密其他人的。但是數據恢復代理(data recovery agent,DRA)得到一個可以解密所有用公共密鑰加密內容的私人密鑰。
在Windows 2000中,本地管理員是默認的數據恢復代理(data recovery agent,DRA)。在Windows XP Professional、Windows 7、Windows Server 2003和Windows Server 2008 R2中,沒有默認的DRA。相反地,管理員必須生成個恢復代理證書,它授權訪問加密資源的用戶許可。但果恢復代理證書在資源加密後創建,那么A不能解密這些資源。