Развертывание утверждений между лесами (обучающий пример)
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе мы рассмотрим базовый сценарий, в котором объясняется, как настроить преобразования утверждений между доверительными и доверенными лесами. Вы узнаете, как можно создавать объекты политики преобразования утверждений и связываться с доверием в лесу доверия и доверенном лесу. Затем вы проверите сценарий.
Обзор сценария
Корпорация Adatum предоставляет финансовые услуги компании Contoso, Ltd. Каждый квартал бухгалтеры Adatum копируют свои электронные таблицы учетной записи в папку на файловом сервере, расположенном в Contoso, Ltd. Существует двустороннее доверие, настроенное от Contoso к Adatum. Contoso, Ltd. хочет защитить общую папку, чтобы только сотрудники Adatum могли получить доступ к удаленной общей папке.
В этом сценарии:
Настройка преобразования утверждений в доверенном лесу (Adatum)
Настройка преобразования утверждений в лесу доверия (Contoso)
Настройка необходимых компонентов и тестовой среды
Конфигурация теста включает настройку двух лесов: Adatum Corporation и Contoso, Ltd и двустороннее доверие между Contoso и Adatum. "adatum.com" является доверенным лесом и "contoso.com" является доверенным лесом.
Сценарий преобразования утверждений демонстрирует преобразование утверждения в доверенном лесу в утверждение в доверенном лесу. Для этого необходимо настроить новый лес с именем adatum.com и заполнить лес тестовыми пользователями с корпоративным значением Adatum. Затем необходимо настроить двустороннее доверие между contoso.com и adatum.com.
Внимание
При настройке лесов Contoso и Adatum необходимо убедиться, что оба корневых домена находятся на уровне функциональных возможностей домена Windows Server 2012 для преобразования утверждений.
Для лаборатории необходимо настроить следующее. Эти процедуры подробно описаны в приложении B. Настройка тестовой среды
Чтобы настроить лабораторию для этого сценария, необходимо реализовать следующие процедуры:
Чтобы завершить этот сценарий, используйте следующие сведения:
| Объект | Сведения |
|---|---|
| Пользователи | Джефф Лоу( Contoso) |
| Утверждения пользователей в Adatum и Contoso | Идентификатор: ad://ext/Company:ContosoAdatum, Исходный атрибут: компания Предлагаемые значения: Contoso, Adatum Важно. Для работы преобразования утверждений необходимо задать идентификатор типа утверждения "Компания" как в Contoso, так и в Adatum. |
| Централизованное правило доступа в Contoso | AdatumEmployeeAccessRule |
| Центральная политика доступа в Contoso | Политика доступа только Adatum |
| Политики преобразования утверждений в Adatum и Contoso | DenyAllExcept Company |
| Папка файлов в Contoso | D:\EARNINGS |
Настройка преобразования утверждений в доверенном лесу (Adatum)
На этом шаге вы создадите политику преобразования в Adatum, чтобы запретить все утверждения, кроме компании, чтобы передать в Contoso.
Модуль Active Directory для Windows PowerShell предоставляет аргумент DenyAllExcept , который удаляет все, кроме указанных утверждений в политике преобразования.
Чтобы настроить преобразование утверждений, необходимо создать политику преобразования утверждений и связать ее между доверенными и доверенными лесами.
Создание политики преобразования утверждений в Adatum
Создание политики преобразования Adatum для запрета всех утверждений, кроме "Компания"
Войдите в контроллер домена, adatum.com как Администратор istrator с помощью пароля pass@word1.
Откройте командную строку с повышенными привилегиями в Windows PowerShell и введите следующее:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Установка ссылки преобразования утверждений на объект домена доверия Adatum
На этом шаге вы применяете только что созданную политику преобразования утверждений к объекту домена доверия Adatum для Contoso.
Применение политики преобразования утверждений
Войдите в контроллер домена, adatum.com как Администратор istrator с помощью пароля pass@word1.
Откройте командную строку с повышенными привилегиями в Windows PowerShell и введите следующее:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Настройка преобразования утверждений в лесу доверия (Contoso)
На этом шаге вы создадите политику преобразования утверждений в Contoso (доверительном лесу), чтобы запретить все утверждения, кроме компании. Необходимо создать политику преобразования утверждений и связать ее с доверием леса.
Создание политики преобразования утверждений в Contoso
Создание политики преобразования Adatum для запрета всех, кроме "Company"
Войдите в контроллер домена, contoso.com как Администратор istrator с помощью пароля pass@word1.
Откройте командную строку с повышенными привилегиями в Windows PowerShell и введите следующее:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Установка ссылки преобразования утверждений для объекта домена доверия Contoso
На этом шаге вы применяете только что созданную политику преобразования утверждений к объекту домена contoso.com доверия для Adatum, чтобы разрешить передаче "Company" в contoso.com. Объект домена доверия называется adatum.com.
Установка политики преобразования утверждений
Войдите в контроллер домена, contoso.com как Администратор istrator с помощью пароля pass@word1.
Откройте командную строку с повышенными привилегиями в Windows PowerShell и введите следующее:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Проверка сценария
На этом шаге вы попытаетесь получить доступ к папке D:\EARNINGS, настроенной на файловом сервере FILE1, чтобы проверить, имеет ли пользователь доступ к общей папке.
Чтобы убедиться, что пользователь Adatum может получить доступ к общей папке
Войдите на клиентский компьютер, CLIENT1 как Джефф Лоу с помощью пароля pass@word1.
Перейдите к папке \\FILE1.contoso.com\Доход.
Джефф Лоу должен иметь доступ к папке.
Дополнительные сценарии для политик преобразования утверждений
Ниже приведен список дополнительных распространенных случаев преобразования утверждений.
| Сценарий | Политика |
|---|---|
| Разрешить всем утверждениям, поступающим из Adatum, пройти через Contoso Adatum | Код- New-ADClaimTransformPolicy ' -Description:"Политика преобразования утверждений, позволяющая всем утверждениям" -Name:"AllowAllClaimsPolicy" ' -AllowAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"AllowAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
| Запретить все утверждения, поступающие из Adatum, чтобы пройти через Contoso Adatum | Код- New-ADClaimTransformPolicy ' -Description:"Политика преобразования утверждений, чтобы запретить все утверждения" -Name:"DenyAllClaimsPolicy" ' -DenyAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"DenyAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com"' |
| Разрешить всем утверждениям, поступающим из Adatum, кроме "Company" и "Department", чтобы перейти к Contoso Adatum | Код - New-ADClaimTransformationPolicy ' -Description:"Политика преобразования утверждений для разрешения всех утверждений, кроме компании и отдела", ' -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -AllowAllExcept:company, department ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
См. также
Список всех командлетов Windows PowerShell, доступных для преобразования утверждений, см . в справочнике по командлетам PowerShell Active Directory.
Для сложных задач, связанных с экспортом и импортом сведений о конфигурации DAC между двумя лесами, используйте справочник по Динамической контроль доступа PowerShell