Развертывание централизованной политики доступа (обучающий пример)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом сценарии группа безопасности финансового отдела работает с центральным отделом безопасности, чтобы определить потребность в централизованной политике доступа и защитить архивные финансовые данные на файловых серверах. Доступ для чтения к архивным финансовым данным из каждой страны могут получить только финансисты из той же страны. Центральная группа администраторов может получать доступ к финансовым данным из любой страны.

Развертывание централизованной политики доступа состоит из следующих этапов:

Этап	Description
План. Определение необходимости политики и конфигурации, необходимой для развертывания	Определение необходимости в политике и конфигурации для развертывания.
Реализация: настройка компонентов и политики	Настройка компонентов и политики.
Развертывание центральной политики доступа	Развертывание политики.
Обслуживание: изменение и этап политики	Изменения политики и промежуточные.

Настройка тестовой среды

Прежде чем приступать, вам необходимо настроить лабораторию для тестирования этого сценария. Инструкции по настройке лаборатории подробно описаны в приложении B. Настройка тестовой среды.

План. Определение необходимости политики и конфигурации, необходимой для развертывания

В этом разделе представлено высокоуровневое описание планирования развертывания.

Номер шага	Этап	Пример
1,1	Компания решает, что необходима централизованная политика доступа	Для защиты финансовых данных на файловых серверах группа безопасности финансового отдела вместе с центральным отделом безопасности определяет потребность в централизованной политике доступа.
1.2	Выражение политики доступа	Финансовые документы должны быть доступны для чтения только сотрудникам финансового отдела. Сотрудники финансового отдела должны получать доступ к документам только в своей стране. Только у администраторов финансового отдела есть доступ для записи. Исключение предоставляется членам группы FinanceException. Эта группа обладает правами для чтения.
1,3	Экспресс-политика доступа в конструкциях Windows Server 2012	Цель: — Resource.Department содержит финансы Правила доступа: — Разрешить чтение User.Country=Resource.Country AND User.department = Resource.Department — Разрешить полный контроль User.MemberOf(Finance Администратор) Исключение: Allow read memberOf(FinanceException)
1.4	Определение свойств файла, необходимых для политики	Отметьте файлы как: -Отдел -Страны
1.5	Определение типов утверждений и групп, необходимых для политики	Типы утверждений: -Страны -Отдел Группы пользователей - Финансы Администратор - FinanceException
1,6	Определение серверов, к которым следует применить эту политику	Примените политику.

Реализация: настройка компонентов и политики

В этом разделе представлен пример, который развертывает централизованную политику доступа для финансовых документов.

Номер шага	Этап	Пример
2.1	Создание типов утверждений	Создайте следующие типы утверждений: -Отдел -Страны
2,2	Создание свойства ресурсов	Создайте и включите следующие свойства ресурсов: -Отдел -Страны
2.3	Настройка правила централизованного доступа	Создайте правило "Финансовые документы", которое содержит политику, определенную в предыдущем разделе.
2.4	Настройка централизованной политики доступа (CAP)	Создайте централизованную политику доступа с именем "Финансовая политика" и добавьте в нее правило "Финансовые документы".
2.5	Применение централизованной политики доступа к файловым серверам	Опубликуйте политики "Финансовая политика" на файловых серверах.
2.6	Включите поддержку KDC для утверждений, комплексной проверки подлинности и защиты Kerberos.	Включите поддержку KDC для утверждений, комплексной проверки подлинности и защиты Kerberos для contoso.com.

В следующей процедуре создается два типа утверждений: страна и департамент.

Создание типов утверждений

1. Откройте сервер DC1 в диспетчере Hyper-V и войдите в систему в качестве contoso\administrator с помощью пароля pass@word1.

2. Откройте центр администрирования Active Directory.

3. Щелкните значок "Представление дерева", разверните динамические контроль доступа и выберите "Типы утверждений".

   Щелкните правой кнопкой мыши Типы утверждений, нажмите кнопку "Создать" и выберите "Тип утверждения".

   Совет

   Можно также открыть окно "Создать тип утверждения": в области задач . В области "Задачи" нажмите кнопку "Создать" и нажмите кнопку "Тип утверждения".

4. В списке исходных атрибутов прокрутите список атрибутов вниз и щелкните отдел. Это должно заполнить поле отображаемого имени отделом. Щелкните OK.

5. В области "Задачи" нажмите кнопку "Создать" и нажмите кнопку "Тип утверждения".

6. В списке атрибутов источника прокрутите список атрибутов вниз и щелкните атрибут c (Country-Name). В поле "Отображаемое имя" введите страну.

7. В разделе "Предлагаемые значения" выберите следующие значения: и нажмите кнопку "Добавить".

8. В полях "Значение" и "Отображаемое имя" введите US и нажмите кнопку "ОК".

9. Повторите указанное выше действие. В диалоговом окне "Добавление предложения" введите JP в полях "Значение" и "Отображаемое имя" и нажмите кнопку "ОК".

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

Совет

Вы можете использовать средство просмотра журнала Windows PowerShell в центре администрирования Active Directory для поиска командлетов Windows PowerShell для каждой процедуры, выполняемой в центре администрирования Active Directory. Дополнительные сведения см. в средстве просмотра журнала Windows PowerShell

Следующий шаг — создание свойств ресурсов. В следующей процедуре вы создадите свойство ресурса, которое автоматически добавляется в список глобальных свойств ресурсов на контроллере домена, чтобы он был доступен на файловом сервере.

Создание и включение предварительно созданных свойств ресурсов

1. В левой области центра администрирования Active Directory щелкните Представление в виде дерева. Разверните динамические контроль доступа и выберите "Свойства ресурса".

2. Щелкните правой кнопкой мыши свойства ресурса, нажмите кнопку "Создать", а затем щелкните "Эталонное свойство ресурса".

   Совет

   Вы также можете выбрать свойство ресурса в области "Задачи ". Нажмите кнопку "Создать" , а затем щелкните "Эталонное свойство ресурса".

3. В разделе "Выбор типа утверждения", чтобы предоставить общий доступ к списку предлагаемых значений, щелкните страну.

4. В поле "Отображаемое имя" введите страну и нажмите кнопку "ОК".

5. Дважды щелкните список свойств ресурсов, прокрутите вниз до свойства ресурса Department . Щелкните правой кнопкой мыши и нажмите кнопку "Включить". Это позволит включить встроенное свойство ресурса Department .

6. В списке свойств ресурсов на панели навигации Центра Администратор истивного центра Active Directory теперь будут доступны два включенных свойства ресурса:

   • Страна или регион

   • Отдел

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

Следующий шаг — создание централизованных правил доступа, которые определяют, кто может получить доступ к ресурсам. В этом сценарии используются следующие бизнес-правила:

• Финансовые документы доступны для чтения только сотрудникам финансового отдела.

• Сотрудники финансового отдела могут получить доступ к документам только в своей стране.

• Только у администраторов финансового отдела есть доступ для записи.

• Исключение предоставляется членам группы FinanceException. Эта группа обладает правами для чтения.

• Администратор и владелец документа обладают полным доступом.

Или выразить правила с помощью конструкций Windows Server 2012:

Назначение: Resource.Department содержит финансы

Правила доступа:

• Allow Read User.Country=Resource.Country AND User.department = Resource.Department

• Allow Full control User.MemberOf(FinanceAdmin)

• Allow Read User.MemberOf(FinanceException)

Создание правила централизованного доступа

1. В левой области Администратор центра Active Directory щелкните "Представление дерева", выберите "Динамический контроль доступа" и выберите "Центральные правила доступа".

2. Щелкните правой кнопкой мыши центральные правила доступа, нажмите кнопку "Создать" и выберите "Центральное правило доступа".

3. В поле "Имя" введите правило "Финансы документов".

4. В разделе "Целевые ресурсы " нажмите кнопку "Изменить" и в диалоговом окне "Центральное правило доступа" нажмите кнопку "Добавить условие". Добавьте следующее условие: [Ресурс] [Отдел] [Равно] [Значение] [Финансы], а затем нажмите кнопку "ОК".

5. В разделе "Разрешения" выберите "Использовать следующие разрешения в качестве текущих разрешений", нажмите кнопку "Изменить" и в диалоговом Параметры окне "Расширенная безопасность" для разрешений нажмите кнопку "Добавить".

   Примечание.

   Используйте следующие разрешения в качестве предлагаемого параметра разрешений , чтобы создать политику в промежуточном режиме. Дополнительные сведения о том, как это сделать, см. в разделе "Обслуживание: изменение и этап политики" в этом разделе.

6. В диалоговом окне "Разрешение для разрешений" нажмите кнопку "Выбрать участника", введите "Прошедшие проверку подлинности пользователи" и нажмите кнопку "ОК".

7. В диалоговом окне "Запись разрешений для разрешений" нажмите кнопку "Добавить условие" и добавьте следующие условия: [Пользователь] [страна] [Любой из] [Ресурс] [страна] Нажмите кнопку "Добавить условие". [И] Щелкните [пользователь] [департамент] [любой из] [ресурс] [отдел]. Задайте разрешения для чтения.

8. Нажмите кнопку "ОК" и нажмите кнопку "Добавить". Нажмите кнопку "Выбрать субъект", введите "Финансы"Администратор и нажмите кнопку "ОК".

9. Выберите разрешения "Изменить", "Чтение" и "Выполнить", "Чтение", "Запись" и нажмите кнопку "ОК".

10. Нажмите кнопку "Добавить", выберите субъект, введите FinanceException и нажмите кнопку "ОК". Выберите разрешения для чтения и чтения и выполнения.

11. Нажмите кнопку ОК три раза, чтобы завершить операцию и вернуться в центр администрирования Active Directory.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

Внимание

В примере командлета выше идентификаторы безопасности (SID) для группы FinanceAdmin и пользователей определяются во время создания. В вашем примере они будут отличаться. Например, значение SID (S-1-5-21-1787166779-1215870801-2157059049-1113) для FinanceAdmins необходимо заменить фактическим SID группы FinanceAdmin, которую вы создадите в развертывании. Вы можете использовать Windows PowerShell для поиска значения идентификатора безопасности этой группы, назначить это значение переменной, а затем использовать эту переменную здесь. Дополнительные сведения см . в совете Windows PowerShell: работа с идентификаторами SID.

Вы создали централизованное правило доступа, которое позволяет пользователям получить доступ к документам из той же страны и того же отдела. Правило позволяет группе FinanceAdmin изменять документы, а группе FinanceException — читать документы. Это правило предназначено только для документов, которые классифицированы как финансовые.

Добавление централизованного правила доступа в централизованную политику доступа

1. В левой области Администратор центра Active Directory щелкните динамический контроль доступа, а затем щелкните "Центральные политики доступа".

2. В области "Задачи" нажмите кнопку "Создать" и нажмите кнопку "Центральная политика доступа".

3. В поле "Создать центральную политику доступа": введите политику финансов в поле "Имя".

4. В правилах доступа центра участников нажмите кнопку "Добавить".

5. Дважды щелкните правило "Финансы", чтобы добавить его в список "Добавить следующие центральные правила доступа" и нажмите кнопку "ОК".

6. Нажмите кнопку ОК для завершения. Вы добавили централизованную политику доступа "Финансовая политика".

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

Применение централизованной политики доступа на файловых серверах с помощью групповой политики

1. На начальномэкране в поле поиска введите групповую политику управления. Дважды щелкните групповую политику управления.

   Совет

   Если параметр show Администратор istrative tools отключен, папка Администратор istrative Tools и ее содержимое не будут отображаться в результатах Параметры.

   Совет

   В производственной среде следует создать подразделение "Файловый сервер" и добавить в него все ваши файловые серверы, к которым будет применена политика. Затем можно создать групповую политику и добавить в нее созданное подразделение.

2. На этом шаге вы измените объект групповой политики, созданный в разделе "Сборка контроллера домена" в тестовой среде, чтобы включить созданную центральную политику доступа. В редакторе управления групповыми политиками перейдите к домену и выберите подразделение в домене (contoso.com в этом примере): управление групповыми политиками, лес: contoso.com, домены, contoso.com, Contoso, FileServerOU.

3. Щелкните правой кнопкой мыши FlexibleAccessGPO и нажмите кнопку "Изменить".

4. В окне редактора управления групповыми политиками перейдите в раздел "Конфигурация компьютера", разверните раздел "Политики", разверните узел Windows Параметры и щелкните "Безопасность Параметры".

5. Разверните узел Файловая система, щелкните правой кнопкой Централизованная политика доступаи выберите Управление централизованными политиками доступа.

6. В диалоговом окне "Конфигурация центральных политик доступа" добавьте политику финансов и нажмите кнопку "ОК".

7. Прокрутите вниз до конфигурации расширенной политики аудита и разверните ее.

8. Разверните политики аудита и выберите "Доступ к объектам".

9. Дважды щелкните промежуточное хранение политики центрального доступа аудита. Выберите все три поля проверка и нажмите кнопку "ОК". Это позволит системе получать события аудита, связанные со сверкой централизованных политик доступа.

10. Дважды щелкните " Аудит свойств файловой системы". Выберите все три поля проверка и нажмите кнопку "ОК".

11. Закройте редактор управления групповыми политиками. Централизованная политика доступа добавлена в групповую политику.

Для контроллеров домена для предоставления утверждений или данных авторизации устройства контроллеры домена должны быть настроены для поддержки динамического управления доступом.

Включение поддержки для утверждений и комплексной проверки подлинности для домена contoso.com

1. Откройте службу управления групповыми политиками, щелкните contoso.com и щелкните " Контроллеры домена".

2. Нажмите правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем нажмите Изменить.

3. В окне редактора управления групповой политикой дважды щелкните Конфигурация компьютера, дважды щелкните Политики, дважды щелкните Административные шаблоны, дважды щелкните Системаи дважды щелкните KDC.

4. Дважды щелкните службу поддержки KDC для утверждений, составной проверки подлинности и защиты Kerberos. В диалоговом окне поддержки KDC для утверждений, комплексной проверки подлинности и защиты Kerberos щелкните "Включено" и выберите "Поддерживаемые" в раскрывающемся списке "Параметры". (Этот параметр необходимо включить, чтобы применять утверждения пользователей в централизованных политиках доступа.)

5. Закройте Управление групповой политикой.

6. Откройте командную строку и введите: gpupdate /force.

Развертывание центральной политики доступа

Номер шага	Этап	Пример
3.1	Назначьте централизованную политику доступа соответствующим общим папкам на файловом сервере.	Назначьте централизованную политику доступа соответствующей общей папке на файловом сервере.
3.2	Убедитесь, что доступ правильно настроен.	Проверьте доступ пользователей из разных стран и отделов.

На этом шаге вы назначите централизованную политику доступа к файловому серверу. Вы войдете на файловый сервер, который принимает централизованную политику доступа, созданную ранее, и назначите политику общей папке.

Назначение централизованной политики доступа файловому серверу

1. В диспетчере Hyper-V подключитесь к серверу FILE1. Войдите на сервер с помощью contoso\administrator с паролем: pass@word1.

2. Откройте командную строку с повышенными привилегиями и введите gpupdate /force. Эта команда применяет изменения групповой политики на сервере.

3. Вам также необходимо обновить глобальные свойства ресурсов из Active Directory. Откройте командное окно Windows PowerShell с повышенными привилегиями и введите: Update-FSRMClassificationpropertyDefinition. Нажмите клавишу ВВОД и закройте Windows PowerShell.

   Совет

   Вы также можете обновить глобальные свойства ресурсов, войдя на файловый сервер. Чтобы обновить глобальные свойства ресурсов с файлового сервера, выполните следующие действия.

   1. Войдите в файловый сервер FILE1 от имени contoso\administrator с помощью пароля pass@word1.
   2. Откройте диспетчер ресурсов файлового сервера. Чтобы открыть диспетчер ресурсов файлового сервера, нажмите кнопку Пуск, введите диспетчер ресурсов файлового сервераи щелкните Диспетчер ресурсов файлового сервера.
   3. В диспетчере ресурсов файлового сервера щелкните "Управление классификацией файлов", щелкните правой кнопкой мыши свойства классификации и нажмите кнопку "Обновить".

4. Откройте Windows Обозреватель и в левой области щелкните диск D. Щелкните правой кнопкой мыши папку "Документы финансов" и выберите пункт "Свойства".

5. Перейдите на вкладку "Классификация" , выберите страну и выберите США в поле "Значение ".

6. Щелкните "Отдел", а затем выберите "Финансы" в поле "Значение" и нажмите кнопку "Применить".

   Примечание.

   Помните, что эта централизованная политика доступа была настроена для файлов из финансового отдела. Предыдущие действия отмечают все документы в папке атрибутами "Страна" и "Отдел".

7. Перейдите на вкладку "Безопасность " и нажмите кнопку "Дополнительно". Перейдите на вкладку "Центральная политика ".

8. Щелкните " Изменить", выберите "Финансовая политика " в раскрывающемся меню и нажмите кнопку "Применить". В политике отображается правило "Документы финансов". Вы можете развернуть его, чтобы просмотреть все разрешения, заданные при создании правила в Active Directory.

9. Нажмите кнопку ОК , чтобы вернуться в проводник.

На следующем шаге вы убедитесь, что доступ правильно настроен. Для учетных записей должен быть задан соответствующий атрибут "Отдел" (с помощью центра администрирования Active Directory). Самый простой способ просмотра эффективных результатов новой политики — использовать вкладку "Эффективный доступ" в Windows Обозреватель. На вкладке "Действующий доступ" отображаются права доступа для данной учетной записи пользователя.

Просмотр прав доступа различных пользователей

1. В диспетчере Hyper-V подключитесь к серверу FILE1. Войдите на сервер как contoso\administrator. В проводнике перейдите к диску D:\. Щелкните правой кнопкой мыши папку "Документы финансов" и выберите пункт "Свойства".

2. Перейдите на вкладку "Безопасность ", нажмите кнопку "Дополнительно" и перейдите на вкладку "Эффективный доступ ".

3. Чтобы проверить разрешения для пользователя, нажмите кнопку "Выбрать пользователя", введите имя пользователя и нажмите кнопку "Просмотреть действующий доступ", чтобы просмотреть действующие права доступа. Например:

   • Myriam Delesalle (MDelesalle) работает в финансовом отделе. У нее должно быть разрешение на чтение папки.

   • Miles Reid (MReid) входит в группу FinanceAdmin и у него должно быть разрешение на изменение папки.

   • Esther Valle (EValle) не работает в финансовом отделе, однако она является членом группы FinanceException и у нее должен быть доступ для чтения.

   • Maira Wenzel (MWenzel) не работает в финансовом отделе и не является членом групп FinanceException и FinanceException. У нее не должно быть никаких прав доступа к папке.

   Обратите внимание, что последний столбец с именем Access ограничен в окне эффективного доступа. В этом столбце показано, какие ворота влияют на разрешения пользователя. В этом случае разрешения "Общий доступ" и"NTFS" предоставляют всем пользователям полный доступ. Однако централизованная политика доступа ограничивает разрешения на основе правил, настроенных ранее.

Обслуживание: изменение и этап политики

Номер шага	Этап	Пример
4,1	Настройка утверждений устройств для клиентов	Настройка параметра групповой политики для включения утверждений устройств
4.2	Включение утверждений для устройств.	Включите тип утверждений "страна" для устройств.
4.3	Добавьте промежуточную политику в существующее централизованное правило доступа, которое вы хотите изменить.	Измените правило финансового документа, чтобы добавить промежуточную политику.
4.4.	Просмотрите результаты применения промежуточной политики.	Проверьте разрешения Ester Velle.

Настройка параметра групповой политики для включения утверждений устройств

1. Войдите в DC1, откройте групповую политику управления политиками, щелкните contoso.com, щелкните политику домена по умолчанию, щелкните правой кнопкой мыши и выберите пункт "Изменить".

2. В окне редактора управления групповыми политиками перейдите в раздел "Конфигурация компьютера", "Политики", Администратор istrative Templates, System, Kerberos.

3. Выберите поддержку клиентов Kerberos для утверждений, составной проверки подлинности и защиты Kerberos и нажмите кнопку "Включить".

Включение утверждений для устройств

1. Откройте сервер DC1 в диспетчере Hyper-V и войдите в систему в качестве contoso\Администратор istrator с помощью пароля pass@word1.

2. В меню "Сервис" откройте Центр Администратор истивного центра Active Directory.

3. Щелкните "Представление дерева", разверните динамические контроль доступа, дважды щелкните "Типы утверждений" и дважды щелкните утверждение страны.

4. В утверждениях этого типа можно вывести для следующих классов, выберите поле "Компьютер проверка". Щелкните OK. Теперь должны быть выбраны поля проверка пользователей и компьютеров. Утверждение "страна" теперь можно использовать и для устройств.

Следующий шаг — создание правила промежуточной политики. Такие политики можно использовать для отслеживания применения новой записи политики перед ее включением. На следующем шаге вы создадите промежуточную политику и будете отслеживать ее применение к общей папке.

Создание правила промежуточной политики и его добавление в централизованную политику доступа

1. Откройте сервер DC1 в диспетчере Hyper-V и войдите в систему в качестве contoso\Администратор istrator с помощью пароля pass@word1.

2. Откройте центр администрирования Active Directory.

3. Щелкните "Представление дерева", разверните динамические контроль доступа и выберите "Центральные правила доступа".

4. Щелкните правой кнопкой мыши правило "Финансы документов" и выберите пункт "Свойства".

5. В разделе "Предлагаемые разрешения" выберите поле "Включить промежуточную конфигурацию разрешений" проверка, нажмите кнопку "Изменить" и нажмите кнопку "Добавить". В окне "Запись разрешений для предлагаемых разрешений" щелкните ссылку "Выбрать субъект", введите "Прошедшие проверку подлинности" и нажмите кнопку "ОК".

6. Щелкните ссылку "Добавить условие" и добавьте следующее условие: [Пользователь] [страна] [Любой из] [Ресурс] [Страна].

7. Нажмите кнопку " Добавить условие " еще раз и добавьте следующее условие: [И] [Устройство] [страна] [любой из] [ресурс] [страна]

8. Нажмите кнопку " Добавить условие " еще раз и добавьте следующее условие. [и] [Пользователь] [группа] [член любого] [значение](FinanceException)

9. Чтобы задать FinanceException, группу, нажмите кнопку "Добавить элементы" и в окне "Выбор пользователя", "Компьютер", "Учетная запись службы" или "Группа", введите FinanceException.

10. Нажмите кнопку "Разрешения", выберите "Полный доступ" и нажмите кнопку "ОК".

11. В окне предварительной безопасности Параметры для предлагаемых разрешений выберите FinanceException и нажмите кнопку "Удалить".

12. Нажмите кнопку "ОК " два раза, чтобы завершить работу.

Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

Примечание.

В примере командлета выше значение параметра Server указывает на сервер в среде лаборатории тестирования. Вы можете использовать средство просмотра журнала Windows PowerShell для поиска командлетов Windows PowerShell для каждой процедуры, выполняемой в центре администрирования Active Directory. Дополнительные сведения см. в средстве просмотра журнала Windows PowerShell

В этом наборе предложенных разрешений у членов группы FinanceException будет полный доступ к файлам из их страны, если они обращаются к ним с устройства в той же стране, где находится документ. Попытки пользователей финансового отдела получить доступ к файлам записываются в журнал безопасности файловых серверов. Однако параметры безопасности не применяются, пока промежуточный этап политики не завершится.

В следующей процедуре вы проверите результаты применения промежуточной политики. Вы получаете доступ к общей папке, применяя имя пользователя с разрешениями на основе текущего правила. Esther Valle (EValle) входит в группу FinanceException, и у нее есть права на чтение. Согласно нашей промежуточной политике, у пользователя EValle не должно быть никаких прав.

Проверка результатов применения промежуточной политики

1. Подключение на файловый сервер FILE1 в диспетчере Hyper-V и войдите в систему в качестве contoso\administrator с pass@word1 паролем.

2. Откройте окно командной строки и введите gpupdate /force. Эта команда применяет изменения групповой политики на сервере.

3. В диспетчере Hyper-V подключитесь к серверу CLIENT1. Завершите сеанс текущего пользователя. Перезапустите виртуальную машину CLIENT1. Затем войдите на компьютер с помощью contoso\EValle pass@word1.

4. Дважды щелкните ярлык рабочего стола в папке \\FILE1\Finance Documents. У пользователя EValle по-прежнему должен быть доступ к файлам. Переключитесь на сервер FILE1.

5. Откройте Просмотр событий из ярлыка на рабочем столе. Разверните журналы Windows и выберите " Безопасность". Откройте записи с идентификатором события 4818в категории промежуточных задач Центральной политики доступа. Можно увидеть, что пользователю EValle был предоставлен доступ, однако согласно промежуточной политике в доступе было отказано.

Next Steps

Если вы используете централизованную систему управления серверами, такую как System Center Operations Manager, вы также можете настроить мониторинг событий. Это позволит администраторам отслеживать влияние централизованных политик доступа перед их применением.