Erstellen einer Regel, mit der Benutzer anhand eines eingehenden Anspruchs zugelassen oder abgelehnt werden

  • Artikel

In Windows Server 2016 können Sie mithilfe einer Zugriffssteuerungsrichtlinie eine Regel erstellen, die Benutzer*innen basierend auf einem eingehenden Anspruch den Zugriff gewährt oder verweigert. In Windows Server 2012 R2 können Sie anhand der Regelvorlage Benutzern den Zugriff auf Grundlage eines eingehenden Anspruchs gewähren oder verweigern in Active Directory-Verbunddienste (AD FS) eine Autorisierungsregel erstellen, die Benutzer*innen auf Grundlage des Typs und Werts eines eingehenden Anspruchs den Zugriff auf die vertrauende Seite gewährt oder verweigert.

Beispielsweise können Sie so eine Regel erstellen, die nur Benutzer*innen Zugriff auf die vertrauende Seite gewährt, die über einen Gruppenanspruch mit dem Wert „Domänen-Admins“ verfügen. Wenn Sie allen Benutzer*innen Zugriff auf die vertrauende Seite gewähren möchten, verwenden Sie je nach verwendeter Windows Server-Version die Zugriffssteuerungsrichtlinie Jedem Einzelnen Zugriff gewähren oder die Regelvorlage Alle Benutzer zulassen. Benutzern, denen der Zugriff auf die vertrauende Seite über den Verbunddienst erlaubt wird, kann der Dienst durch die vertrauende Seite dennoch verweigert werden.

Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Zulassen des Benutzerzugriffs auf Grundlage eines eingehenden Anspruchs in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Zugriffssteuerungsrichtlinien. Screenshot that highlights Access Control Policies in the console tree.

  3. Klicken Sie mit der rechten Maustaste, und wählen Sie Zugriffssteuerungsrichtlinie hinzufügen aus. Screenshot that highlights the Add Access Control Policy menu option.

  4. Geben Sie im Feld „Name“ einen Namen für Ihre Richtlinie und eine Beschreibung ein, und klicken Sie auf Hinzufügen. Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. Aktivieren Sie im Regel-Editor unter „Benutzer“ die Option mit bestimmten Ansprüchen in der Anforderung, und klicken Sie unten auf das unterstrichene Wort bestimmten. Screenshot that highlights where to select the underlined specific.

  6. Klicken Sie auf dem Bildschirm Ansprüche auswählen auf das Optionsfeld Ansprüche, wählen Sie den Anspruchstyp, den Operator und den Anspruchswert aus, und klicken Sie dann auf OK. Screenshot that shows where to select the Claims option.

  7. Klicken Sie im Regel-Editor auf OK. Klicken Sie auf dem Bildschirm Zugriffssteuerungsrichtlinie hinzufügen auf OK.

  8. Klicken Sie in der Konsolenstruktur der AD FS-Verwaltung unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts.

  9. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, auf die Sie Zugriff gewähren möchten, und wählen Sie Zugriffssteuerungsrichtlinie bearbeiten... aus. Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. Wählen Sie unter „Zugriffssteuerungsrichtlinie“ Ihre Richtlinie aus, und klicken Sie anschließend auf Übernehmen und dann auf OK. Screenshot that shows where to select Apply and OK.

So erstellen Sie eine Regel zum Ablehnen des Benutzerzugriffs auf Grundlage eines eingehenden Anspruchs in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Zugriffssteuerungsrichtlinien. Screenshot that shows where to select Access Control Policies.

  3. Klicken Sie mit der rechten Maustaste, und wählen Sie Zugriffssteuerungsrichtlinie hinzufügen aus. Screenshot that shows where to add an Access Control Policy.

  4. Geben Sie im Feld „Name“ einen Namen für Ihre Richtlinie und eine Beschreibung ein, und klicken Sie auf Hinzufügen. Screenshot that shows where to enter a name for your policy.

  5. Stellen Sie im Regel-Editor sicher, dass „Jeder“ ausgewählt ist. Aktivieren Sie unter Ausnahme das Kontrollkästchen mit bestimmten Ansprüchen im Anspruch, und klicken Sie unten auf das unterstrichene Wort bestimmten. Screenshot that shows where to make sure that the everyone option is selected.

  6. Klicken Sie auf dem Bildschirm Ansprüche auswählen auf das Optionsfeld Ansprüche, wählen Sie den Anspruchstyp, den Operator und den Anspruchswert aus, und klicken Sie dann auf OK. Screenshot that shows the Select Claims screen.

  7. Klicken Sie im Regel-Editor auf OK. Klicken Sie auf dem Bildschirm Zugriffssteuerungsrichtlinie hinzufügen auf OK.

  8. Klicken Sie in der Konsolenstruktur der AD FS-Verwaltung unter AD FS auf Vertrauensstellungen der vertrauenden Seite. create rule

  9. Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, auf die Sie Zugriff gewähren möchten, und wählen Sie Zugriffssteuerungsrichtlinie bearbeiten... aus. Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. Wählen Sie unter „Zugriffssteuerungsrichtlinie“ Ihre Richtlinie aus, und klicken Sie anschließend auf Übernehmen und dann auf OK. Screenshot that shows how go apply the changes to the Access Control Policy.

So erstellen Sie eine Regel zum Zulassen oder Ablehnen des Benutzerzugriffs auf Grundlage eines eingehenden Anspruchs in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur in der Liste unter AD FS\Vertrauensstellungen\Vertrauensstellungen der vertrauenden Seite auf eine bestimmte Vertrauensstellung, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows the Edit Claim Rules menu option.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf die Registerkarte Ausstellungsautorisierungsregeln oder auf die Registerkarte Delegationsautorisierungsregeln (je nach Art der benötigten Autorisierungsregel), und klicken Sie anschließend auf Regel hinzufügen, um den Assistenten zum Hinzufügen einer Autorisierungsanspruchsregel zu starten. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Benutzern den Zugriff auf Grundlage eines eingehenden Anspruchs gewähren oder verweigern aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. Geben Sie auf der Seite Regel konfigurieren unter Regelname den Anzeigenamen für diese Regel ein, und wählen Sie unter Typ des eingehenden Anspruchs einen Anspruchstyp aus der Liste aus. Geben Sie unter Wert des eingehenden Anspruchs einen Wert ein, oder klicken Sie auf „Durchsuchen“ (falls verfügbar), und wählen Sie einen Wert aus. Wählen Sie anschließend abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus.

    • Benutzern mit diesem eingehenden Anspruch Zugriff gewähren

    • Benutzern mit diesem eingehenden Anspruch Zugriff verweigernScreenshot that shows where to select the incoming claim type.

  7. Klicken Sie auf Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln