数据恢复代理（data recovery agent，DRA）可以在域（domain）、站点、组织单位或本地机器级别上进行定义。在中小型企业中，网络管理员常常是认定的DRA。

简而言之，以下是它的工作过程：网络管理员运用微软Windows活动目录中的组策略来给每个人指派一个用于加密的公共密钥和他们自己个人的用于解密的每人密钥。这样确保了用户只能解密他们创建的内容，而不能解密其他人的。但是数据恢复代理（data recovery agent，DRA）得到一个可以解密所有用公共密钥加密内容的私人密钥。

在Windows 2000中，本地管理员是默认的数据恢复代理（data recovery agent，DRA）。在Windows XP Professional、Windows 7、Windows Server 2003和Windows Server 2008 R2中，没有默认的DRA。相反地，管理员必须生成个恢复代理证书，它授权访问加密资源的用户许可。但果恢复代理证书在资源加密后创建，那么A不能解密这些资源。