Развертывание утверждений в лесах
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В Windows Server 2012 тип утверждения — это утверждение о объекте, с которым он связан. Типы утверждений задаются в рамках леса Active Directory. Существует множество сценариев, в которых субъекту безопасности может потребоваться проход через границы отношений доверия для доступа к ресурсам в доверенном лесу. Преобразование утверждений между лесами в Windows Server 2012 позволяет преобразовывать исходящие и входящий трафик утверждения, которые проходят по лесам, чтобы утверждения распознались и принимаются в доверительных и доверенных лесах. Ниже приведены некоторые реальные сценарии для преобразования утверждений.
Доверяющие леса могут использовать преобразование утверждений в качестве защиты от несанкционированного повышения привилегий, фильтруя входящие утверждения с определенными значениями.
Доверяющие леса также могут выдавать утверждения для участников, поступающие через границы доверия, если доверенный лес не поддерживает или не выдает все утверждения.
Доверенные леса могут использовать преобразование утверждений для предотвращения выхода определенных утверждений и типов утверждений с определенными значениями из доверяющего леса.
Вы также можете использовать преобразование утверждений для сопоставления различных типов утверждений между доверяющими и доверенными лесами. Это можно использовать для обобщения типа утверждения, значения утверждения или того и другого. Без этого вам придется стандартизовать данные между лесами, прежде чем использовать утверждения. Обобщение утверждений между доверяющими и доверенными лесами снижает затраты на ИТ.
Правила преобразования утверждений
В синтаксисе языка правил преобразования правило подразделяется на две основные части: ряд условных операторов и инструкцию выдачи. Каждый условный оператор имеет два подкомпонента: идентификатор утверждения и условие. Инструкция выдачи содержит ключевые слова, разделители и выражение выдачи. Условный оператор может начинаться с переменной идентификатора утверждения, которая представляет соответствующее входное утверждение. Условие проверяет выражение. Если входное утверждение не соответствует условию, обработчик преобразования игнорирует инструкцию выдачи и приступает к оценке следующего входного утверждения относительно правила преобразования. Если входное утверждение соответствует всем условиям, обрабатывается инструкция выдачи.
Подробные сведения о языке правил для утверждений см. в разделе Claims Transformation Rules Language.
Связывание политик преобразования утверждений с лесами
В настройке политик преобразования утверждений участвуют два компонента: объекты политики преобразования утверждений и связь преобразования. Объекты политики существуют в контексте именования конфигурации в лесу, и они содержат сведения о сопоставлении для утверждений. Связь указывает, к каким доверяющим и доверенным лесам применяется сопоставление.
Важно понять, является ли лес доверяющим или доверенным, так как это является основой для связывания объектов политики преобразования. Например, доверенный лес — это лес, содержащий учетные записи пользователей, которым требуется доступ. Доверяющий лес — это лес, содержащий ресурсы, к которым требуется предоставить доступ пользователям. Утверждения перемещаются по тому же направлению, что и субъект безопасности, которому требуется доступ. Например, если существует одностороннее доверие леса contoso.com лесу adatum.com, утверждения будет перемещаться из adatum.com в contoso.com, что дает возможность пользователям из adatum.com получать доступ к ресурсам в contoso.com.
По умолчанию доверенный лес разрешает проход всех исходящих утверждений, а доверяющий лес удаляет все входящие утверждения, которые он получает.
Содержание сценария
Для этого сценария существует следующее руководство:
Роли и компоненты, используемые в данном сценарии
В следующей таблице перечислены роли и компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.
| Роль/компонент | Способ поддержки сценария |
|---|---|
| Доменные службы Active Directory | В этом случае необходимо настроить два леса Active Directory с двусторонним отношением доверия. Утверждения имеются в обоих лесах. Кроме того, установлены централизованные политики доступа в доверяющем лесу, где находятся ресурсы. |
| Роль служб файлов и хранилищ | В этом сценарии классификация данных применяется к ресурсам на файловых серверах. Централизованная политика доступа применяется к папке, в которой вы хотите предоставить пользователю доступ. После преобразования утверждение предоставляет пользователю доступ к ресурсам на основе централизованной политики доступа, которая применяется к папке на файловом сервере. |