Distribuire i criteri di accesso centrale (passaggi dimostrativi)

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In questo scenario, i responsabili della sicurezza del reparto finanziario collaborano con i responsabili della sicurezza centrale delle informazioni per specificare l'esigenza di un criterio di accesso centrale, in modo da permettere di proteggere le informazioni finanziarie archiviate nei file server. Le informazioni finanziarie archiviate per ogni paese sono accessibili in sola lettura dai dipendenti del reparto finanziario dello stesso paese. Un gruppo di amministratori finanziari centrali può accedere alle informazioni finanziarie di tutti i paesi.

La distribuzione di un criterio di accesso centrale include le fasi seguenti:

Fase Descrizione
Pianificazione: identificare la necessità di criteri e la configurazione necessaria per la distribuzione Identificare la necessità di un criterio e la configurazione necessaria per la distribuzione.
Implementazione: configurare i componenti e i criteri Configurare i componenti e i criteri.
Distribuire i criteri di accesso centrale Distribuire il criterio.
Mantenimento: modificare e usare la gestione temporanea dei criteri Modificare e usare la gestione temporanea dei criteri.

Configurare un ambiente di test

Prima di iniziare, è necessario configurare un ambiente di testing per lo scenario. I passaggi per la configurazione del lab vengono illustrati in dettaglio in Appendice B: Configurazione dell'ambiente di test.

Pianificazione: identificare la necessità di criteri e la configurazione necessaria per la distribuzione

In questa sezione sono disponibili le procedure generali che semplificano la fase di pianificazione della distribuzione.

N.ro passaggio Procedi Esempio
1.1 Un'azienda stabilisce che è necessario definire un criterio di accesso centrale Per proteggere le informazioni finanziarie archiviate nei file server, i responsabili della sicurezza del reparto finanziario collaborano con i responsabili della sicurezza centrale delle informazioni per specificare l'esigenza di un criterio di accesso centrale.
1.2 Esprimere il criterio di accesso I documenti finanziari devono essere letti solo dai membri del reparto finanziario. I membri del reparto finanziario devono accedere solo ai documenti relativi al proprio paese. L'accesso in scrittura deve essere concesso solo agli amministratori del reparto finanziario. Sarà permessa un'eccezione per i membri del gruppo FinanceException. A questo gruppo sarà assegnato l'accesso in lettura.
1.3 Esprimere i criteri di accesso nei costrutti di Windows Server 2012 Destinazione:

- Resource.Department contiene Finanza

Regole di accesso:

- Consentire la lettura di User.Country=Resource.Country E User.department = Resource.Department
- Consentire Controllo completo di User.MemberOf(FinanceAdmin)

Eccezione:

Allow read memberOf(FinanceException)
1.4 Determinare le proprietà di file necessarie per il criterio Assegnare tag ai file con:

- Reparto
- Paese
1,5 Determinare i tipi di attestazioni e i gruppi necessari per i criteri Tipi di attestazione:

- Paese
- Reparto

Gruppi di utenti:

- FinanceAdmin
- FinanceException
1.6 Determinare i server a cui applicare il criterio Applicare il criterio a tutti i file server del reparto finanziario.

Implementazione: configurare i componenti e i criteri

In questa sezione è disponibile un esempio di distribuzione di un criterio di accesso centrale per documenti finanziari.

N.ro passaggio Procedi Esempio
2.1 Creare tipi di attestazioni Creare i tipi di attestazioni seguenti:

- Reparto
- Paese
2.2 Creare proprietà delle risorse Creare e abilitare le proprietà seguenti delle risorse:

- Reparto
- Paese
2.3 Configurare una regola di accesso centrale Creare una regola Finance Documents che include il criterio definito nella sezione precedente.
2.4 Configurare un criterio di accesso centrale Creare un criterio di accesso centrale denominato Finance Policy e aggiungervi la regola Finance Documents.
2.5 Specificare i file server come destinazione del criterio di accesso centrale Pubblicare il criterio di accesso centrale Finance Policy nei file server.
2.6 Abilitare il supporto KDC di attestazioni, autenticazione composta e blindatura Kerberos. Abilitare il supporto KDC di attestazioni, autenticazione composta e blindatura Kerberos per contoso.com.

Nella procedura seguente vengono creati due tipi di attestazione: Paese e Reparto.

Per creare tipi di attestazioni

  1. Aprire Server DC1 nella console di gestione di Hyper-V e accedere come contoso\administrator, con la password pass@word1.

  2. Aprire Centro di amministrazione di Active Directory.

  3. Fare clic sull'icona Visualizzazione albero, espandere Controllo dinamico degli accessi e quindi selezionare Tipi di attestazione.

    Fare clic con il pulsante destro del mouse su Tipi di attestazione, scegliere Nuovo e quindi fare clic su Tipo di attestazione.

    Suggerimento

    È anche possibile aprire una finestra Creare tipo di attestazione: dal riquadro Attività. Nel riquadro Attività, fare clic su Nuovo e quindi su Tipo di attestazione.

  4. Nell'elenco Attributo di origine, scorrere verso il basso l'elenco degli attributi e fare clic su Reparto. Verrà popolato il campo Nome visualizzato con Reparto. Fare clic su OK.

  5. Nel riquadro Attività, fare clic su Nuovo e quindi su Tipo di attestazione.

  6. Nell'elenco Attributo di origine, scorrere verso il basso l'elenco degli attributi e quindi fare clic sull'attributo c (Country-Name). Nel campo Nome visualizzato, digitare Paese.

  7. Nella sezione Valori suggeriti, selezionare Sono consigliati i valori seguenti: e quindi fare clic su Aggiungi.

  8. Nei campi Valore e Nome visualizzato, digitare Stati Uniti d’America e quindi fare clic su OK.

  9. Ripetere il passaggio precedente. Nella finestra di dialogo Aggiungi valore di suggerimento, digitare JP nei campi Valore e Nome visualizzato e quindi fare clic su OK.

solution guidesComandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

Suggerimento

È possibile usare il Visualizzatore della cronologia di Windows PowerShell nel Centro di amministrazione di Active Directory per cercare i cmdlet di Windows PowerShell per ogni procedura eseguita nel Centro di amministrazione di Active Directory. Per altre informazioni, vedere Visualizzatore della cronologia di Windows PowerShell

Il passaggio successivo consiste nel creare le proprietà delle risorse. Nella procedura seguente sarà creata una proprietà della risorsa che sarà aggiunta automaticamente all'elenco di proprietà di risorse globali nel controller di dominio, in modo da risultare disponibile per il file server.

Per creare e abilitare proprietà delle risorse create in precedenza

  1. Nel riquadro sinistro del Centro di amministrazione di Active Directory fare clic su Visualizzazione albero. Espandere Controllo dinamico degli accessi e quindi selezionare Proprietà della risorsa.

  2. Fare clic con il pulsante destro del mouse su Proprietà della risorsa, fare clic su Nuovo e quindi fare clic su Proprietà della risorsa di riferimento.

    Suggerimento

    È anche possibile scegliere una proprietà della risorsa dal riquadro Attività. Fare clic su Nuovo e quindi su Proprietà della risorsa di riferimento.

  3. In Selezionare un tipo di attestazione per condividere il relativo elenco dei valori suggeriti, fare clic su Paese.

  4. Nel campo Nome visualizzato, digitare Paese e quindi fare clic su OK.

  5. Fare doppio clic sull'elenco Proprietà della risorsae scorrere verso il basso fino alla proprietà della risorsa Reparto. Fare clic con il pulsante destro del mouse e quindi scegliere Abilita. In questo modo verrà abilitata la proprietà della risorsa Reparto predefinita.

  6. Nell'elenco Proprietà della risorsa, nel riquadro di spostamento del Centro di amministrazione di Active Directory, saranno ora disponibili due proprietà delle risorse abilitate:

    • Paese

    • Reparto

solution guidesComandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

Il passaggio successivo consiste nel creare regole di accesso centrale per definire gli utenti autorizzati ad accedere alle risorse. Di seguito sono riportate le regola di business di questo scenario:

  • I documenti finanziari possono essere letti solo dai membri del reparto finanziario.

  • I membri del reparto finanziario possono accedere solo ai documenti relativi al proprio paese.

  • L'accesso in scrittura può essere concesso solo agli amministratori del reparto finanziario.

  • Sarà permessa un'eccezione per i membri del gruppo FinanceException. A questo gruppo sarà assegnato l'accesso in lettura.

  • L'amministratore e il proprietario del documento disporranno comunque di accesso completo.

In alternativa, per esprimere le regole con costrutti di Windows Server 2012:

Targeting: Resource.Department contiene Finanza

Regole di accesso:

  • Allow Read User.Country=Resource.Country AND User.department = Resource.Department

  • Allow Full control User.MemberOf(FinanceAdmin)

  • Allow Read User.MemberOf(FinanceException)

Per creare una regola di accesso centrale

  1. Nel riquadro sinistro del Centro di amministrazione di Active Directory, fare clic su Visualizzazione albero, selezionare Controllo dinamico degli accessi e quindi fare clic su Regole di accesso centrale.

  2. Fare clic con il pulsante destro del mouse su Regole di accesso centrale, scegliere Nuovo e quindi fare clic su Regole di accesso centrale.

  3. Nel campo Nome, digitare Regola dei documenti finanziari.

  4. Nella sezione Risorse target, fare clic su Modifica e nella finestra di dialogo Regola di accesso centrale, fare clic su Aggiungere una condizione. Aggiungere la condizione seguente: [Risorsa] [Reparto] [Equivale] [Valore] [Finanza], quindi fare clic su OK.

  5. Nella sezione Autorizzazioni, selezionare Usare le autorizzazioni seguenti come autorizzazioni correnti, fare clic su Modifica e, nella finestra di dialogo Impostazioni di sicurezza avanzate per le autorizzazioni, fare clic su Aggiungi.

    Nota

    L’opzione Usare le autorizzazioni seguenti come autorizzazioni proposte consente di creare i criteri nella gestione temporanea. Per altre informazioni su come eseguire questa operazione, vedere la sezione Mantenimento: modificare e usare la gestione temporanea della sezione dei criteri in questo argomento.

  6. Nella finestra di dialogo Voce di autorizzazione per le autorizzazioni, fare clic su Seleziona un'entità di sicurezza, digitare Utenti autenticati e quindi fare clic su OK.

  7. Nella finestra di dialogo Voce di autorizzazione per autorizzazioni, fare clic su Aggiungi una condizione e aggiungere le condizioni seguenti: [Utente] [Paese] [Uno qualsiasi di] [Risorsa] [Paese] Fare clic su Aggiungi una condizione. [E] Fare clic su [Utente] [Reparto] [Uno qualsiasi di] [Risorsa] [Reparto]. Impostare le Autorizzazioni su Lettura.

  8. Fare clic su OK e quindi su Aggiungi. Fare clic su Selezionare un'entità di sicurezza, digitare FinanceAdmin e quindi fare clic su OK.

  9. Selezionare le autorizzazioni Modifica, Lettura ed esecuzione, Lettura, Scrittura e quindi fare clic su OK.

  10. Fare clic su Aggiungi, fare clic su Seleziona un'entità di sicurezza, digitare FinanceException e quindi fare clic su OK. Selezionare le autorizzazioni in modo che siano Lettura e Lettura ed esecuzione.

  11. Fare tre volte clic su OK per completare la procedura, quindi tornare al Centro di amministrazione di Active Directory.

solution guidesComandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

Importante

Nel cmdlet di esempio precedente gli ID di sicurezza (SID, Security Identifier) per il gruppo FinanceAdmin e gli utenti sono determinati al momento della creazione e saranno diversi nell'esempio eseguito in computer diversi. Ad esempio, il valore SID specificato (S-1-5-21-1787166779-1215870801-2157059049-1113) per FinanceAdmins deve essere sostituito con il valore SID effettivo per il gruppo FinanceAdmin da creare nella distribuzione in uso. È possibile usare Windows PowerShell per cercare il valore SID di questo gruppo, assegnare tale valore a una variabile e quindi usare la variabile qui. Per altre informazioni, vedere Suggerimento di Windows PowerShell: Usare i SID.

Dovrebbe essere ora disponibile una regola di accesso centrale che permette agli utenti di accedere a documenti dello stesso paese e dello stesso reparto. La regola permette al gruppo FinanceAdmin di modificare i documenti e al gruppo FinanceException di leggere i documenti. Questa regola è relativa solo ai documenti classificati come Finance.

Per aggiungere una regola di accesso centrale a un criterio di accesso centrale

  1. Nel riquadro sinistro del Centro di amministrazione di Active Directory, fare clic su Controllo dinamico degli accessi e quindi su Criteri di accesso centrale.

  2. Nel riquadro Attività, fare clic su Nuovo e quindi su Criteri di accesso centrale.

  3. In Crea criteri di accesso centrale:, digitare Criteri finanziari nella casella Nome.

  4. In Regole di accesso centrale del membro, fare clic su Aggiungi.

  5. Fare doppio clic sulla Regola dei documenti finanziari per aggiungerla all'elenco Aggiungere le regole di accesso centrale seguenti e quindi fare clic su OK.

  6. Fare clic su OK per terminare. Dovrebbe essere disponibile un criterio di accesso centrale denominato Finance Policy.

solution guidesComandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

Per applicare il criterio di accesso centrale nei file server usando Criteri di gruppo

  1. Nella schermata Start, nella casella di ricerca, digitare Gestione dei criteri di gruppo. Fare doppio clic su Gestione dei criteri di gruppo.

    Suggerimento

    Se l'impostazione Mostra strumenti di amministrazione è disabilitata, la cartella Strumenti di amministrazione e il relativo contenuto non verranno visualizzati nei risultati delle Impostazioni.

    Suggerimento

    Nell'ambiente di produzione creare un'unità organizzativa File Server e aggiungervi tutti i file server a cui applicare il criterio. È quindi possibile creare un criterio di gruppo e aggiungervi questa unità organizzativa.

  2. In questo passaggio si modifica l'oggetto Criteri di gruppo creato nella sezione Compilare il controller di dominio nell'ambiente di test, per includere i criteri di accesso centrale creati. Nell'Editor Gestione Criteri di gruppo, passare a e selezionare l'unità organizzativa nel dominio (contoso.com per questo esempio): Gestione Criteri di gruppo, Foresta: contoso.com, Domini, contoso.com, Contoso, FileServerOU.

  3. Fare clic con il pulsante destro del mouse su FlexibleAccessGPO e quindi fare clic su Modifica.

  4. Nella finestra Editor Gestione Criteri di gruppo, passare a Configurazione computer, espandere Criteri, espandere Impostazioni di Windows e fare clic su Impostazioni di sicurezza.

  5. Espandere File system, fare clic con il pulsante destro del mouse su Central Access Policye quindi scegliere Gestisci criteri di accesso centrale.

  6. Nella finestra di dialogo Configurazione dei criteri di accesso centrale, aggiungere Criteri finanziari e quindi fare clic su OK.

  7. Scorrere verso il basso fino a Configurazione avanzata dei criteri di controllo ed espandere la sezione.

  8. Espandere Criteri di controllo e selezionare Accesso a oggetti.

  9. Fare doppio clic su Gestione temporanea dei criteri di accesso centrale di controllo. Selezionare tutte e tre le caselle di controllo e quindi fare clic su OK. Questo passaggio permette al sistema di ricevere eventi di controllo correlati a Gestione temporanea Criteri di accesso.

  10. Fare doppio clic su Proprietà del file system di controllo. Selezionare tutte e tre le caselle di controllo, quindi fare clic su OK.

  11. Chiudere Editor Gestione Criteri di gruppo. Il criterio di accesso centrale è stato incluso in Criteri di gruppo.

Affinché i controller di dominio di un dominio forniscano attestazioni o dati di autorizzazione del dispositivo, i controller di dominio devono essere configurati per supportare il controllo dinamico degli accessi.

Per abilitare il supporto per le attestazioni e l'autenticazione composta per contoso.com

  1. Aprire Gestione dei criteri di gruppo, fare clic su contoso.com e quindi su Controller di dominio.

  2. Fare clic con il pulsante destro su Criterio controller di dominio predefinito, poi fare clic su Modifica.

  3. Nella finestra Editor Gestione Criteri di gruppo fare doppio clic su Configurazione computer, quindi su Criteri, Modelli amministrativi, Sistemae infine su KDC.

  4. Fare doppio clic su Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos. Nella finestra di dialogo Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos, fare clic su Abilitato e selezionare Supportato dall'elenco a discesa Opzioni. È necessario abilitare questa impostazione per usare le attestazioni utente nei criteri di accesso centrale.

  5. Chiudere Gestione Criteri di gruppo.

  6. Aprire un prompt dei comandi e digitare gpupdate /force.

Distribuire i criteri di accesso centrale

N.ro passaggio Procedi Esempio
3.1 Assegnare il criterio di accesso centrale alle cartelle condivise appropriate sul file server. Assegnare il criterio di accesso centrale alla cartella condivisa appropriata sul file server.
3.2 Verificare che l'accesso sia stato configurato correttamente. Verificare l'accesso per utenti di diversi paesi e reparti.

In questo passaggio il criterio di accesso centrale sarà assegnato a un file server. Si eseguirà l'accesso a un file server che riceve il criterio di accesso centrale creato nei passaggi precedenti e si assegnerà il criterio a una cartella condivisa.

Per assegnare un criterio di accesso centrale a un file server

  1. Nella Console di gestione di Hyper-V connettersi al server FILE1. Accedere al server usando contoso\administrator con la password: pass@word1.

  2. Aprire un prompt dei comandi con privilegi elevati e digitare: gpupdate /force. In questo modo, le modifiche a Criteri di gruppo saranno applicate al server.

  3. È anche necessario aggiornare le proprietà delle risorse globali da Active Directory. Aprire una finestra di Windows PowerShell con privilegi elevati e digitare Update-FSRMClassificationpropertyDefinition. Fare clic su INVIO, quindi chiudere Windows PowerShell.

    Suggerimento

    È anche possibile aggiornare le proprietà delle risorse globali accedendo al file server. Per aggiornare le proprietà delle risorse globali dal file server, eseguire la procedura seguente:

    1. Accedere al File Server FILE1 come contoso\administrator usando la password pass@word1.
    2. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare gestione risorse file servere quindi fare clic su Gestione risorse file server.
    3. In Gestione risorse file server, fare clic su Gestione classificazione file, fare clic con il pulsante destro del mouse su Proprietà di classificazione e quindi fare clic su Aggiorna.

  4. Aprire Esplora risorse e, nel riquadro sinistro, fare clic sull'unità D. Fare clic con il pulsante destro del mouse sulla cartella Documenti finanziari e quindi fare clic su Proprietà.

  5. Fare clic sulla scheda Classificazione, fare clic su Paese e quindi selezionare Stati Uniti d’America nel campo Valore.

  6. Fare clic su Reparto, quindi selezionare Finanza nel campo Valore e quindi fare clic su Applica.

    Nota

    Come si potrà ricordare, il criterio di accesso centrale è stato configurato in modo da interessare i file per il reparto finanziario. I passaggi precedenti permettono di contrassegnare tutti i documenti nella cartella con gli attributi Country e Department.

  7. Fare clic sulla scheda Sicurezza e quindi fare clic su Avanzate. Fare clic sulla scheda Criteri centrali.

  8. Fare clic su Modifica, selezionare Criteri finanziari dal menu a discesa e quindi fare clic su Applica. È possibile visualizzare la regola dei Documenti finanziari elencata nei criteri. Espandere l'elemento per visualizzare tutte le autorizzazioni impostate durante la creazione della regola in Active Directory.

  9. Fare clic su OK per tornare a Esplora risorse.

Nel passaggio successivo, assicurarsi che l'acceso sia configurato correttamente. L'attributo Department appropriato deve essere impostato negli account utente. Eseguire questa operazione nel Centro di amministrazione di Active Directory. Il modo più semplice per visualizzare i risultati effettivi dei nuovi criteri consiste nell'usare la scheda Accesso effettivo in Esplora risorse. La scheda Accesso effettivo mostra i diritti di accesso per un determinato account utente.

Per esaminare l'accesso per i diversi utenti

  1. Nella Console di gestione di Hyper-V connettersi al server FILE1. Accedere al server usando contoso\administrator. Passare a D:\ in Esplora risorse. Fare clic con il pulsante destro del mouse sulla cartella Documenti finanziari e quindi fare clic su Proprietà.

  2. Fare clic sulla scheda Sicurezza, Avanzate e quindi sulla scheda Accesso effettivo.

  3. Per esaminare le autorizzazioni per un utente, fare clic su Seleziona un utente, digitare il nome dell'utente e quindi fare clic su Visualizza accesso effettivo per visualizzare i diritti di accesso effettivi. Ad esempio:

    • Myriam Delesalle (MDelesalle) lavora nel reparto finanziario e deve disporre di accesso in lettura alla cartella.

    • Miles Reid (MReid) è un membro del gruppo FinanceAdmin e deve disporre di accesso di tipo Modifica alla cartella.

    • Esther Valle (EValle) non lavora nel reparto finanziario, ma è un membro del gruppo FinanceException e deve disporre di accesso in lettura.

    • Maira Wenzel (MWenzel) non lavora nel reparto finanziario e non è un membro dei gruppi FinanceAdmin o FinanceException. Non deve disporre di accesso alla cartella.

    Fare attenzione all'ultima colonna chiamata Accesso limitato da nella finestra di accesso effettivo. Questa colonna indica quali attività di controllo influenzano le autorizzazioni della persona. In questo caso, le autorizzazioni Condivisione e NTFS permettono agli utenti di disporre di controllo completo. Il criterio di accesso centrale, tuttavia, limita l'accesso in base alle regole configurate in precedenza.

Mantenimento: modificare e usare la gestione temporanea dei criteri

N.ro passaggio Procedi Esempio
4.1 Configurare le richieste diritti da dispositivo per i client Configurare le impostazioni di Criteri di gruppo per abilitare le richieste diritti da dispositivo
4.2 Abilitare una richiesta diritti per i dispositivi. Abilitare la richiesta diritti di tipo country per i dispositivi.
4.3 Aggiungere un criterio di gestione temporanea alla regola di accesso centrale esistente da modificare. Modificare la regola Finance Documents Rule per aggiungere un criterio di gestione temporanea.
4.4 Visualizzare i risultati del criterio di gestione temporanea. Verificare le autorizzazioni di Esther Velle.

Per configurare le impostazioni di Criteri di gruppo per abilitare le richieste diritti per i dispositivi

  1. Accedere a DC1, aprire Gestione dei criteri di gruppo, fare clic su contoso.com, fare clic su Criteri di dominio predefinito, fare clic con il pulsante destro del mouse e selezionare Modifica.

  2. Nella finestra Editor Gestione Criteri di gruppo, passare a Configurazione computer, Criteri, Modelli amministrativi, Sistema, Kerberos.

  3. Selezionare Supporto client Kerberos per attestazioni, autenticazione composta e blindatura Kerberos e fare clic su Abilita.

Per abilitare una richiesta diritti per i dispositivi

  1. Aprire Server DC1 nella console di gestione di Hyper-V e accedere come contoso\Administrator, con la password pass@word1.

  2. Dal menu Strumenti, aprire Centro di amministrazione di Active Directory.

  3. Fare clic su Visualizzazione albero, espandere Controllo dinamico degli accessi, fare doppio clic su Tipi di attestazioni e fare doppio clic sull'attestazione Paese.

  4. In Attestazioni di questo tipo possono essere rilasciate per le classi seguenti, selezionare la casella di controllo Computer. Fare clic su OK. Selezionare entrambe le caselle di controllo Utente e Computer. È ora possibile usare l'attestazione country con i dispositivi, oltre che con gli utenti.

Il passaggio successivo consiste nel creare un criterio di gestione temporanea. I criteri di gestione temporanea possono essere usati per monitorare gli effetti di una nuova voce di criterio prima di abilitarla. Nel passaggio successivo sarà creata una voce di criterio di gestione temporanea e ne saranno monitorati gli effetti sulla cartella condivisa.

Per creare una regola di criterio di gestione temporanea e aggiungerla al criterio di accesso centrale

  1. Aprire Server DC1 nella console di gestione di Hyper-V e accedere come contoso\Administrator, con la password pass@word1.

  2. Aprire Centro di amministrazione di Active Directory.

  3. Fare clic su Visualizzazione albero, espandere Controllo dinamico degli accessi e selezionare Regole di accesso centrale.

  4. Fare clic con il pulsante destro del mouse su Regola dei documenti finanziari, quindi fare clic su Proprietà.

  5. Nella sezione Autorizzazioni proposte, selezionare la casella di controllo Abilita configurazione della gestione temporanea delle autorizzazioni, fare clic su Modifica e quindi su Aggiungi. Nella finestra Voce di autorizzazione per le autorizzazioni proposte, fare clic sul collegamento Selezionare un'entità di sicurezza, digitare Utenti autenticati e quindi fare clic su OK.

  6. Fare clic sul collegamento Aggiungi una condizione e aggiungere la condizione seguente: [Utente] [Paese] [Uno qualsiasi di] [Risorsa] [Paese].

  7. Fare di nuovo clic su Aggiungi una condizione e aggiungere di nuovo la condizione seguente: [E] [Dispositivo] [Paese] [Uno qualsiasi di] [Risorsa] [Paese]

  8. Fare clic di nuovo su Aggiungi una condizione e aggiungere la condizione seguente. [E] [Utente] [Gruppo] [Membro di uno qualsiasi di] [Valore] (FinanceException)

  9. Per impostare FinanceException, gruppo, fare clic su Aggiungi elementi e nella finestra Seleziona Utente, Computer, Account del servizio o Gruppo digitare FinanceException.

  10. Fare clic su Autorizzazioni, selezionare Controllo completo e fare clic su OK.

  11. Nella finestra Impostazioni avanzate di sicurezza per le autorizzazioni proposte, selezionare FinanceException e fare clic su Rimuovi.

  12. Fare clic su OK due volte per terminare.

solution guidesComandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

Nota

Nell'esempio di cmdlet precedente il valore Server riflette il Server nell'ambiente di testing. È possibile usare il Visualizzatore della cronologia di Windows PowerShell per cercare i cmdlet di Windows PowerShell per ogni procedura eseguita nel Centro di amministrazione di Active Directory. Per altre informazioni, vedere Visualizzatore della cronologia di Windows PowerShell

Nel set di autorizzazioni proposto i membri del gruppo FinanceException disporranno di Accesso completo ai file del proprio paese quando vi accedono tramite un dispositivo dallo stesso paese in cui si trova il documento. Le voci di controllo sono disponibili nel registro di protezione dei file server quando un utente del reparto finanziario prova ad accedere ai file. Le impostazioni di sicurezza, tuttavia, saranno applicate solo dopo la promozione del criterio dalla gestione temporanea.

Nella procedura seguente saranno verificati i risultati del criterio di gestione temporanea. Accedere alla cartella condivisa con un nome utente che dispone di autorizzazioni in base alla regola corrente. Esther Valle (EValle) è un membro del gruppo FinanceException e attualmente dispone di diritti di lettura. In base al criterio di gestione temporanea, EValle non deve disporre di alcun diritto.

Per verificare i risultati del criterio di gestione temporanea

  1. Connettersi al file server FILE1 nella console di gestione di Hyper-V e accedere come contoso\administrator, con la password pass@word1.

  2. Aprire una finestra del prompt dei comandi e digitare gpupdate /force. In questo modo, le modifiche a Criteri di gruppo saranno applicate al server.

  3. Nella Console di gestione di Hyper-V connettersi al server CLIENT1. Disconnettere l'utente attualmente connesso. Riavviare la macchina virtuale, CLIENT1. Accedere quindi al computer usando contoso\EValle pass@word1.

  4. Fare doppio clic sul collegamento sul desktop a \\FILE1\Documenti finanziari. EValle dovrebbe disporre ancora di accesso ai file. Tornare a FILE1.

  5. Aprire Visualizzatore eventi dal collegamento sul desktop. Espandere Log di Windows e quindi selezionare Sicurezza. Aprire le voci con ID evento 4818 nella categoria di attività Gestione temporanea dei criteri di accesso centrale. Come si può notare, a EValle è stato concesso l'accesso. In base al criterio di gestione temporanea, tuttavia, questo utente non dovrebbe essere autorizzato all'accesso.

Passaggi successivi

Se si usa un sistema di gestione centrale dei server, ad esempio System Center Operations Manager, sarà anche possibile configurare il monitoraggio degli eventi. Ciò permette agli amministratori di monitorare gli effetti dei criteri di accesso centrale prima di applicarli.