Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet beskriver stegen för att skapa ett praktiskt labb för att testa dynamisk åtkomstkontroll. Instruktionerna är avsedda att följas sekventiellt eftersom det finns många komponenter som har beroenden.
Prerequisites
Maskinvaru- och programvarukrav
Krav för att konfigurera testlabbet:
En värdserver som kör Windows Server 2008 R2 med SP1 och Hyper-V
En kopia av Windows Server 2012 ISO
En kopia av Windows 8 ISO
Microsoft Office 2010
En server som kör Microsoft Exchange Server 2003 eller senare
Du måste skapa följande virtuella datorer för att testa scenarierna för dynamisk åtkomstkontroll:
DC1 (domänkontrollant)
DC2 (domänkontrollant)
FILE1 (filserver och Active Directory Rights Management Services)
SRV1 (POP3- och SMTP-server)
CLIENT1 (klientdator med Microsoft Outlook)
Lösenorden för de virtuella datorerna ska vara följande:
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
Alla andra konton: pass@word1
Skapa de virtuella testlabbdatorerna
Installera rollen Hyper-V
Du måste installera Hyper-V-rollen på en dator som kör Windows Server 2008 R2 med SP1.
Så här installerar du Hyper-V-rollen
Klicka på Start och sedan på Serverhanteraren.
I området Rollsammanfattning i huvudfönstret Serverhanteraren klickar du på Lägg till roller.
På sidan Välj serverroller klickar du på Hyper-V.
På sidan Skapa virtuella nätverk klickar du på ett eller flera nätverkskort om du vill göra deras nätverksanslutning tillgänglig för virtuella datorer.
På sidan Bekräfta installationsval klickar du på Installera.
Datorn måste startas om för att slutföra installationen. Klicka på Stäng för att slutföra guiden och klicka sedan på Ja för att starta om datorn.
När du har startat om datorn loggar du in med samma konto som du använde för att installera rollen. När guiden Återuppta konfiguration har slutfört installationen klickar du på Stäng för att slutföra guiden.
Skapa ett internt virtuellt nätverk
Nu ska du skapa ett internt virtuellt nätverk med namnet ID_AD_Network.
Så här skapar du ett virtuellt nätverk
Öppna Hyper-V Manager.
På menyn Åtgärder klickar du på Virtual Network Manager.
Under Skapa virtuellt nätverk väljer du Intern.
Klicka på Lägg till. Sidan Nytt virtuellt nätverk visas.
Skriv ID_AD_Network som namn på det nya nätverket. Granska de andra egenskaperna och ändra dem om det behövs.
Klicka på OK för att skapa det virtuella nätverket och stäng Virtual Network Manager, eller klicka på Använd för att skapa det virtuella nätverket och fortsätta använda Virtual Network Manager.
Skapa domänkontrollanten
Skapa en virtuell dator som ska användas som domänkontrollant (DC1). Installera den virtuella datorn med Hjälp av Windows Server 2012 ISO och ge den namnet DC1.
Så här installerar du Active Directory Domain Services
Anslut den virtuella datorn till ID_AD_Network. Logga in på DC1 som administratör med lösenordet pass@word1.
I Serverhanteraren klickar du på Hanteraoch klickar sedan på Lägg till roller och funktioner.
På sidan Innan du börjar klickar du på Nästa.
På sidan Välj installationstyp klickar du på Rollbaserad eller Funktionsbaserad installation och klickar sedan på Nästa.
På sidan Välj målserver klickar du på Nästa.
På sidan Välj serverroller klickar du på Active Directory Domain Services. I dialogrutan Lägg till roller och funktioner klickar du på Lägg till funktioner och klickar sedan på Nästa.
På sidan Välj funktioner klickar du på Nästa.
På sidan Active Directory Domain Services granskar du informationen och klickar sedan på Nästa.
På sidan Bekräfta installationsval klickar du på Installera. Förloppsindikatorn för funktionsinstallationen på sidan Resultat anger att rollen installeras.
På sidan Resultat kontrollerar du att installationen har slutförts och klickar på Stäng. I Serverhanteraren klickar du på varningsikonen med ett utropstecken i det övre högra hörnet på skärmen bredvid Hantera. I listan Uppgifter klickar du på länken Flytta upp den här servern till en domänkontrollant .
På sidan Distributionskonfiguration klickar du på Lägg till en ny skog, skriver namnet på rotdomänen , contoso.com och klickar sedan på Nästa.
På sidan Alternativ för domänkontrollant väljer du domän- och skogsfunktionsnivåer som Windows Server 2012, anger DSRM-lösenordet pass@word1 och klickar sedan på Nästa.
På sidan DNS-alternativ klickar du på Nästa.
På sidan Ytterligare alternativ klickar du på Nästa.
På sidan Sökvägar skriver du platserna för Active Directory-databasen, loggfilerna och SYSVOL-mappen (eller accepterar standardplatser) och klickar sedan på Nästa.
På sidan Granskningsalternativ bekräftar du dina val och klickar sedan på Nästa.
På sidan Kravkontroll bekräftar du att verifieringen av förhandskraven har slutförts och klickar sedan på Installera.
På sidan Resultat kontrollerar du att servern har konfigurerats som en domänkontrollant och klickar sedan på Stäng.
Starta om servern för att slutföra AD DS-installationen. (Som standard sker detta automatiskt.)
Skapa följande användare med hjälp av Active Directory Administrationscenter.
Skapa användare och grupper på DC1
Logga in på contoso.com som administratör. Starta Active Directory Administrations-center.
Skapa följande säkerhetsgrupper:
Gruppnamn E-postadress FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Skapa följande organisationsenhet (OU):
OU-namn Computers FileServerOU FILE1 Skapa följande användare med de attribut som anges:
User Username E-postadress Department Group Country/Region Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com Operations FinanceException US Maira Wenzel MWenzel MWenzel@contoso.com HR US Jeff Låg JLow JLow@contoso.com HR US RMS-server rms rms@contoso.com Mer information om hur du skapar säkerhetsgrupper finns i Skapa en ny grupp på Windows Server-webbplatsen.
Skapa ett gruppolicyobjekt
Hovra markören i det övre högra hörnet av skärmen och klicka på sökikonen. I rutan Sök skriver du grupprinciphantering och klickar på Grupprinciphantering.
Expand Forest: contoso.com och expandera sedan Domäner, navigera till contoso.com, expandera (contoso.com) och välj sedan FileServerOU. Högerklicka på Skapa ett GPO i den här domänen och länka det här
Ange ett beskrivande namn för grupprincipobjektet, till exempel FlexibleAccessGPO, och klicka sedan på OK.
Aktivera dynamisk åtkomstkontroll för contoso.com
Öppna konsolen Grupprinciphantering, klicka på contoso.com och dubbelklicka sedan på Domänkontrollanter.
Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.
Dubbelklicka på Datorkonfiguration i fönstret Redigerare för grupprinciphantering, dubbelklicka på Principer, dubbelklicka på Administrativa mallar, dubbelklicka på System och dubbelklicka sedan på KDC.
Dubbelklicka på KDC-stöd för anspråk, sammansatt autentisering och Kerberos-skydd och välj alternativet bredvid Aktiverad. Du måste aktivera den här inställningen för att använda principer för central åtkomst.
Öppna en upphöjd kommandotolk och kör följande kommando:
gpupdate /force
Skapa filservern och AD RMS-servern (FILE1)
Skapa en virtuell dator med namnet FILE1 från Windows Server 2012 ISO.
Anslut den virtuella datorn till ID_AD_Network.
Anslut den virtuella datorn till den contoso.com domänen och logga sedan in på FILE1 som contoso\administrator med hjälp av lösenordet pass@word1.
Installera Resource Manager för File Services
Så här installerar du filtjänstrollen och hanteraren för filserverresurser
I Serverhanteraren klickar du på Lägg till roller och funktioner.
På sidan Innan du börjar klickar du på Nästa.
På sidan Välj installationstyp klickar du på Nästa.
På sidan Välj målserver klickar du på Nästa.
På sidan Välj serverroller expanderar du Fil- och lagringstjänster, markerar kryssrutan bredvid Fil- och iSCSI-tjänster, expanderar och väljer Hanteraren för filserverresurser.
I guiden Lägg till roller och funktioner klickar du på Lägg till funktioner och klickar sedan på Nästa.
På sidan Välj funktioner klickar du på Nästa.
På sidan Bekräfta installationsval klickar du på Installera.
På sidan Installationsstatus klickar du på Stäng.
Installera Microsoft Office-filterpaketen på filservern
Du bör installera Microsoft Office-filterpaketen på Windows Server 2012 för att aktivera IFilters för en bredare matris med Office-filer än vad som anges som standard. Windows Server 2012 har inga IFilters för Microsoft Office Files installerade som standard, och filklassificeringsinfrastrukturen använder IFilters för att utföra innehållsanalys.
Information om hur du laddar ned och installerar IFilters finns i Microsoft Office 2010-filterpaket.
Konfigurera e-postaviseringar på FILE1
När du skapar kvoter och filgallringar kan du skicka e-postaviseringar till användare när deras kvotgräns närmar sig eller när de har försökt spara filer som har blockerats. Om du rutinmässigt vill meddela vissa administratörer om kvot- och filgallringshändelser kan du konfigurera en eller flera standardmottagare. Om du vill skicka dessa meddelanden måste du ange vilken SMTP-server som ska användas för vidarebefordran av e-postmeddelanden.
Konfigurera e-postalternativ i Hanteraren för filserverresurser
Öppna Hanteraren för filserverresurser. Om du vill öppna Hanteraren för filserverresurser klickar du på Start, skriver resurshanteraren för filservern och klickar sedan på Hanteraren för filserverresurser.
Högerklicka på Hanteraren för filserverresurser i hanteraren för filserverresurser och klicka sedan på Konfigurera alternativ. Dialogrutan Alternativ för hanteraren för filserverresurser öppnas.
På fliken E-postaviseringar , under SMTP-servernamn eller IP-adress, anger du värdnamnet eller IP-adressen för SMTP-servern som vidarebefordrar e-postmeddelanden.
Om du rutinmässigt vill meddela vissa administratörer om kvot- eller filgallringshändelser skriver du under Standardadministratörsmottagare varje e-postadress, fileadmin@contoso.comtill exempel . Använd formatet account@domain och använd semikolon för att separera flera konton.
Skapa grupper på FILE1
Skapa säkerhetsgrupper på FILE1
Logga in på FILE1 som contoso\administrator med lösenordet: pass@word1.
Lägg till NT AUTHORITY\Authenticated Users i gruppen WinRMRemoteWMIUsers__ .
Skapa filer och mappar på FILE1
Skapa en ny NTFS-volym på FILE1 och skapa sedan följande mapp: D:\Finance Documents.
Skapa följande filer med den angivna informationen:
Ekonomi Memo.docx: Lägg till lite ekonomirelaterad text i dokumentet. Till exempel " Affärsreglerna om vem som kan komma åt ekonomidokument har ändrats. Ekonomidokument används nu endast av medlemmar i gruppen FinanceExpert. Inga andra avdelningar eller grupper har åtkomst." Du måste utvärdera effekten av den här ändringen innan du implementerar den i miljön. Se till att det här dokumentet har CONTOSO CONFIDENTIAL som sidfot på varje sida.
Begäran om godkännande för Hire.docx: Skapa ett formulär inom detta dokument som samlar in information om ansökande. Du måste ha följande fält i dokumentet: Sökandens namn, personnummer, jobbtitel, föreslagen lön, startdatum, chefnamn, avdelning. Lägg till ytterligare ett avsnitt i dokumentet som har ett formulär för övervakarens signatur, godkänd lön, överensstämmelse med erbjudandet och erbjudandets status. Aktivera dokumenträttshantering.
Word Document1.docx: Lägg till lite testinnehåll i det här dokumentet.
Word Document2.docx: Lägg till testinnehåll i det här dokumentet.
Workbook1.xlsx
Workbook2.xlsx
Skapa en mapp på skrivbordet med namnet Reguljära uttryck. Skapa ett textdokument under mappen RegEx-SSN. Skriv följande innehåll i filen och spara och stäng sedan filen: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
Dela mappen D:\Finance Documents som ekonomidokument och låt alla ha läs- och skrivåtkomst till resursen.
Note
Principer för central åtkomst är inte aktiverade som standard på system- eller startvolymen C:.
Installera Active Directory Rights Management Services
Lägg till Active Directory Rights Management Services (AD RMS) och alla nödvändiga funktioner via Serverhanteraren. Välj alla standardvärden.
Så här installerar du Active Directory Rights Management Services
Logga in på FILE1 som CONTOSO\Administrator eller som medlem i gruppen Domänadministratörer.
Important
För att kunna installera AD RMS-serverrollen måste installationskontot (i det här fallet CONTOSO\Administrator) få medlemskap i både den lokala gruppen Administratörer på serverdatorn där AD RMS ska installeras samt medlemskap i gruppen Företagsadministratörer i Active Directory.
I Serverhanteraren klickar du på Lägg till roller och funktioner. Guiden Lägg till roller och funktioner visas.
På skärmen Innan du börjar klickar du på Nästa.
På skärmen Välj installationstyp klickar du på Roll/Funktionsbaserad installation och klickar sedan på Nästa.
På skärmen Välj servermål klickar du på Nästa.
På skärmen Välj serverroller markerar du rutan bredvid Active Directory Rights Management Services och klickar sedan på Nästa.
I dialogrutan Lägg till funktioner som krävs för Active Directory Rights Management Services? klickar du på Lägg till funktioner.
På skärmen Välj serverroller klickar du på Nästa.
På skärmen Välj funktioner att installera klickar du på Nästa.
På skärmen Active Directory Rights Management Services klickar du på Nästa.
På skärmen Välj rolltjänster klickar du på Nästa.
På skärmen Webbserverroll (IIS) klickar du på Nästa.
På skärmen Välj rolltjänster klickar du på Nästa.
På skärmen Bekräfta installationsval klickar du på Installera.
När installationen har slutförts klickar du på Utför ytterligare konfiguration på skärmen Installationsstatus. Konfigurationsguiden för AD RMS visas.
På AD RMS-skärmen klickar du på Nästa.
På skärmen AD RMS-kluster väljer du Skapa ett nytt AD RMS-rotkluster och klickar sedan på Nästa.
På skärmen Konfigurationsdatabas klickar du på Använd intern Windows-databas på den här servern och klickar sedan på Nästa.
Note
Användning av den interna Windows-databasen rekommenderas endast för testmiljöer eftersom den inte stöder fler än en server i AD RMS-klustret. Produktionsdistributioner bör använda en separat databasserver.
På skärmen Tjänstkonto i Domänanvändarkonto klickar du på Ange och anger sedan användarnamnet (contoso\rms) och Lösenord (pass@word1) och klickar på OK och klickar sedan på Nästa.
På skärmen Kryptografiskt läge klickar du på Kryptografiskt läge 2.
På skärmen Klusternyckellagring klickar du på Nästa.
På skärmen Lösenord för klusternyckel skriver du pass@word1 i rutorna Lösenord och Bekräfta lösenord och klickar sedan på Nästa.
På skärmen Klusterwebbplats kontrollerar du att Standardwebbplats är markerad och klickar sedan på Nästa.
På skärmen Klusteradress väljer du alternativet Använd en okrypterad anslutning . I rutan Fullständigt kvalificerat domännamn skriver du FILE1.contoso.com och klickar sedan på Nästa.
På skärmen Licensgivarens certifikatnamn godkänner du standardnamnet (FILE1) i textrutan och klickar på Nästa.
På skärmen SCP-registrering väljer du Registrera SCP nu och klickar sedan på Nästa.
På skärmen Bekräftelse klickar du på Installera.
På skärmen Resultat klickar du på Stäng och sedan på Stäng på skärmen Installationsstatus . När du är klar loggar du ut och loggar in som contoso\rms med det angivna lösenordet (pass@word1).
Starta AD RMS-konsolen och gå till Rättighetsprincipmallar.
Öppna AD RMS-konsolen genom att i Serverhanteraren klicka på Lokal server i konsolträdet, klicka sedan på Verktyg och sedan på Active Directory Rights Management Services.
Klicka på mallen Skapa distribuerad rättighetsprincip på den högra panelen, klicka på Lägg till och välj följande information:
Språk: amerikansk engelska
Namn: Contoso Finance Admin Endast
Beskrivning: Endast för administratörer av Contoso Finance
Klicka på Lägg till och sedan på Nästa.
Under avsnittet Användare och rättigheter klickar du på Användare och rättigheter, klickar på Lägg till, skriver financeadmin@contoso.comoch klickar på OK.
Välj Fullständig kontroll och lämna Bevilja ägare (författare) fullständig kontroll utan förfallodatum markerad.
Klicka på de återstående flikarna utan ändringar och klicka sedan på Slutför. Logga in som CONTOSO\Administrator.
Bläddra till mappen C:\inetpub\wwwroot\_wmcs\certification, välj filen ServerCertification.asmx och lägg till Autentiserade användare för att ha läs- och skrivbehörighet till filen.
Öppna Windows PowerShell och kör
Get-FsrmRmsTemplate. Kontrollera att du kan se RMS-mallen som du skapade i föregående steg i den här proceduren med det här kommandot.
Important
Om du vill att filservrarna ska ändras omedelbart så att du kan testa dem måste du göra följande:
Öppna en upphöjd kommandotolk på filservern FILE1 och kör följande kommandon:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
På domänkontrollanten (DC1) replikerar du Active Directory.
Mer information om steg för att tvinga replikering av Active Directory finns i Active Directory-replikering
I stället för att använda guiden Lägg till roller och funktioner i Serverhanteraren kan du använda Windows PowerShell för att installera och konfigurera AD RMS-serverrollen enligt följande procedur.
Installera och konfigurera ett AD RMS-kluster i Windows Server 2012 med Windows PowerShell
Logga in som CONTOSO\Administrator med lösenordet: pass@word1.
Important
För att kunna installera AD RMS-serverrollen måste installationskontot (i det här fallet CONTOSO\Administrator) få medlemskap i både den lokala gruppen Administratörer på serverdatorn där AD RMS ska installeras samt medlemskap i gruppen Företagsadministratörer i Active Directory.
Högerklicka på Windows PowerShell-ikonen i aktivitetsfältet på serverdatorn och välj Kör som administratör för att öppna en Windows PowerShell-prompt med administratörsbehörighet.
Om du vill använda ServerHanteraren-cmdletar för att installera AD RMS-serverrollen skriver du:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementToolsSkapa Windows PowerShell-enheten för att representera den AD RMS-server som du installerar.
Om du till exempel vill skapa en Windows PowerShell-enhet med namnet RC för att installera och konfigurera den första servern i ett AD RMS-rotkluster skriver du:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootClusterAnge egenskaper för objekt i enhetens namnområde som representerar nödvändiga konfigurationsinställningar.
Om du till exempel vill ange AD RMS-tjänstkontot skriver du följande i Kommandotolken i Windows PowerShell:
$svcacct = Get-CredentialNär dialogrutan Windows-säkerhet visas skriver du domännamnet CONTOSO\RMS för AD RMS-tjänstkontot och det tilldelade lösenordet.
Ange sedan följande för att tilldela AD RMS-tjänstkontot till AD RMS-klusterinställningarna:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacctAnge sedan AD RMS-servern så att den använder den interna Windows-databasen i Kommandotolken för Windows PowerShell:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $trueFör att på ett säkert sätt lagra lösenordet för klusternyckeln i en variabel skriver du följande i Kommandotolken för Windows PowerShell:
$password = Read-Host -AsSecureString -Prompt "Password:"Skriv lösenordet för klusternyckeln och tryck sedan på RETUR.
Om du vill tilldela lösenordet till AD RMS-installationen skriver du följande i Kommandotolken för Windows PowerShell:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $passwordOm du vill ange AD RMS-klusteradressen skriver du följande i Kommandotolken för Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"Om du vill tilldela SLC-namnet för AD RMS-installationen skriver du följande i Kommandotolken för Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"Ange sedan tjänstanslutningspunkten (SCP) för AD RMS-klustret i Kommandotolken för Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $trueKör cmdleten Install-ADRMS . Förutom att installera AD RMS-serverrollen och konfigurera servern installerar den här cmdleten även andra funktioner som krävs av AD RMS om det behövs.
Om du till exempel vill ändra till Windows PowerShell-enheten med namnet RC och installera och konfigurera AD RMS skriver du kommandot:
Set-Location RC:\ Install-ADRMS -Path.Skriv "Y" när cmdleten uppmanar dig att bekräfta att du vill starta installationen.
Logga ut som CONTOSO\Administrator och logga in som CONTOSO\RMS med det angivna lösenordet ("pass@word1").
Important
För att kunna hantera AD RMS-servern måste kontot du är inloggad på och använda för att hantera servern (i det här fallet CONTOSO\RMS) ges medlemskap i både den lokala gruppen Administratörer på AD RMS-serverdatorn samt medlemskap i gruppen Företagsadministratörer i Active Directory.
Högerklicka på Windows PowerShell-ikonen i aktivitetsfältet på serverdatorn och välj Kör som administratör för att öppna en Windows PowerShell-prompt med administratörsbehörighet.
Skapa Windows PowerShell-enheten för att representera den AD RMS-server som du konfigurerar.
Om du till exempel vill skapa en Windows PowerShell-enhet med namnet RC för att konfigurera AD RMS-rotklustret skriver du:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope GlobalOm du vill skapa en ny rättighetsmall för Contosos ekonomiadministratör och tilldela den användarrättigheter med fullständig kontroll i AD RMS-installationen skriver du följande i Kommandotolken för Windows PowerShell:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')Kontrollera att du kan se den nya rättighetsmallen för Contosos ekonomiadministratör i Windows PowerShell-kommandotolken:
Get-FsrmRmsTemplateGranska utdata från den här cmdleten för att bekräfta att RMS-mallen som du skapade i föregående steg finns.
Skapa e-postservern (SRV1)
SRV1 är SMTP/POP3-e-postservern. Du måste konfigurera det så att du kan skicka e-postmeddelanden som en del av Access-Denied hjälpscenariot.
Konfigurera Microsoft Exchange Server på den här datorn. Mer information finns i Installera Exchange Server.
Skapa den virtuella klientdatorn (CLIENT1)
Så här skapar du den virtuella klientdatorn
Anslut CLIENT1 till ID_AD_Network.
Installera Microsoft Office 2010.
Logga in som Contoso\Administrator och använd följande information för att konfigurera Microsoft Outlook.
Ditt namn: Filadministratör
E-postadress: fileadmin@contoso.com
Kontotyp: POP3
Inkommande e-postserver: Statisk IP-adress för SRV1
Utgående e-postserver: Statisk IP-adress för SRV1
Användarnamn: fileadmin@contoso.com
Kom ihåg lösenord: Välj
Skapa en genväg till Outlook på skrivbordet contoso\administrator.
Öppna Outlook och åtgärda alla meddelanden som startas första gången.
Ta bort alla testmeddelanden som har genererats.
Skapa en ny genväg på skrivbordet för alla användare på den virtuella klientdatorn som pekar på \\FILE1\Finance Documents.
Starta om efter behov.
Aktivera Access-Denied hjälp på den virtuella klientdatorn
Öppna Registereditorn och gå till HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Ange EnableShellExecuteFileStreamCheck till 1.
Värde: DWORD
Labbkonfiguration för distribution av anspråk mellan skogar
Skapa en virtuell dator för DC2
Skapa en virtuell dator från Windows Server 2012 ISO.
Skapa namnet på den virtuella datorn som DC2.
Anslut den virtuella datorn till ID_AD_Network.
Important
Om du ansluter virtuella datorer till en domän och distribuerar anspråkstyper mellan skogar måste de virtuella datorerna kunna matcha FQDN:erna för de relevanta domänerna. Du kan behöva konfigurera DNS-inställningarna manuellt på de virtuella datorerna för att åstadkomma detta. Mer information finns i Konfigurera ett virtuellt nätverk.
Alla avbildningar av virtuella datorer (servrar och klienter) måste konfigureras om för att använda en statisk IP-version 4-adress (IPv4) och DNS-klientinställningar (Domain Name System). Mer information finns i Konfigurera en DNS-klient för statisk IP-adress.
Konfigurera en ny skog med namnet adatum.com
Så här installerar du Active Directory Domain Services
Anslut den virtuella datorn till ID_AD_Network. Logga in på DC2 som administratör med lösenordet Pass@word1.
I Serverhanteraren klickar du på Hanteraoch klickar sedan på Lägg till roller och funktioner.
På sidan Innan du börjar klickar du på Nästa.
På sidan Välj installationstyp klickar du på Rollbaserad eller Funktionsbaserad installation och klickar sedan på Nästa.
På sidan Välj målserver klickar du på Välj en server från serverpoolen, klickar på namnen på den server där du vill installera Active Directory Domain Services (AD DS) och klickar sedan på Nästa.
På sidan Välj serverroller klickar du på Active Directory Domain Services. I dialogrutan Lägg till roller och funktioner klickar du på Lägg till funktioner och klickar sedan på Nästa.
På sidan Välj funktioner klickar du på Nästa.
På sidan AD DS granskar du informationen och klickar sedan på Nästa.
På sidan Bekräftelse klickar du på Installera. Förloppsindikatorn för funktionsinstallationen på sidan Resultat anger att rollen installeras.
På sidan Resultat kontrollerar du att installationen lyckades och klickar sedan på varningsikonen med ett utropstecken i det övre högra hörnet på skärmen bredvid Hantera. I listan Uppgifter klickar du på länken Flytta upp den här servern till en domänkontrollant .
Important
Om du stänger installationsguiden nu i stället för att klicka på Höj upp den här servern till en domänkontrollant kan du fortsätta AD DS-installationen genom att klicka på Uppgifter i Serverhanteraren.
På sidan Distributionskonfiguration klickar du på Lägg till en ny skog, skriver namnet på rotdomänen , adatum.com och klickar sedan på Nästa.
På sidan Alternativ för domänkontrollant väljer du domän- och skogsfunktionsnivåer som Windows Server 2012, anger DSRM-lösenordet pass@word1 och klickar sedan på Nästa.
På sidan DNS-alternativ klickar du på Nästa.
På sidan Ytterligare alternativ klickar du på Nästa.
På sidan Sökvägar skriver du platserna för Active Directory-databasen, loggfilerna och SYSVOL-mappen (eller accepterar standardplatser) och klickar sedan på Nästa.
På sidan Granskningsalternativ bekräftar du dina val och klickar sedan på Nästa.
På sidan Kravkontroll bekräftar du att verifieringen av förhandskraven har slutförts och klickar sedan på Installera.
På sidan Resultat kontrollerar du att servern har konfigurerats som en domänkontrollant och klickar sedan på Stäng.
Starta om servern för att slutföra AD DS-installationen. (Som standard sker detta automatiskt.)
Important
För att säkerställa att nätverket är korrekt konfigurerat måste du göra följande när du har konfigurerat båda skogarna:
- Logga in på adatum.com som adatum\administrator. Öppna ett kommandotolkfönster, skriv nslookup contoso.com och tryck sedan på RETUR.
- Logga in på contoso.com som contoso\administrator. Öppna ett kommandotolkfönster, skriv nslookup adatum.com och tryck sedan på RETUR.
Om dessa kommandon körs utan fel kan skogarna kommunicera med varandra. Mer information om nslookup-fel finns i felsökningsavsnittet i avsnittet Använda NSlookup.exe
Konfigurera contoso.com som en betrodd domänskog till adatum.com
I det här steget skapar du en förtroenderelation mellan webbplatsen Adatum Corporation och webbplatsen Contoso, Ltd.
Ange Contoso som en tillitsskog för Adatum
Logga in på DC2 som administratör. På startskärmen skriver du domain.msc.
Högerklicka på adatum.com i konsolträdet och klicka sedan på Egenskaper.
På fliken Förtroenden klickar du på Nytt förtroende och sedan på Nästa.
På sidan Förtroendenamn skriver du contoso.com, i fältet DNS-namn (Domain Name System) och klickar sedan på Nästa.
På sidan Förtroendetyp klickar du på Skogsförtroende och sedan på Nästa.
På sidan Förtroenderiktning klickar du på Tvåvägskommunikation.
På sidan Sidor av förtroende klickar du på Både den här domänen och den angivna domänen och klickar sedan på Nästa.
Fortsätt att följa anvisningarna i instruktören.
Skapa ytterligare användare i Adatum-skogen
Skapa användaren Jeff Low med lösenordet pass@word1 och tilldela företagsattributet med värdet Adatum.
Så här skapar du en användare med företagsattributet
Öppna en upphöjd kommandotolk i Windows PowerShell och klistra in följande kod:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Skapa företagsanspråkstypen på adataum.com
Så här skapar du en anspråkstyp med hjälp av Windows PowerShell
Logga in på adatum.com som administratör.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv följande kod:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Aktivera egenskapen Företagsresurs på contoso.com
Så här aktiverar du egenskapen Företagsresurs på contoso.com
Logga in på contoso.com som administratör.
I Serverhanteraren klickar du på Verktyg och sedan på Active Directory Administrationscenter.
I den vänstra rutan i Active Directory Administrationscenter klickar du på Trädvy. I den vänstra rutan klickar du på Dynamisk åtkomstkontroll och dubbelklickar sedan på Resursegenskaper.
Välj Företag i listan Resursegenskaper , högerklicka och välj Egenskaper. I avsnittet Föreslagna värden klickar du på Lägg till för att lägga till de föreslagna värdena: Contoso och Adatum och klickar sedan på OK två gånger.
Välj Företag i listan Resursegenskaper , högerklicka och välj Aktivera.
Aktivera dynamisk åtkomstkontroll på adatum.com
Aktivera dynamisk åtkomstkontroll för adatum.com
Logga in på adatum.com som administratör.
Öppna konsolen Grupprinciphantering, klicka på adatum.com och dubbelklicka sedan på Domänkontrollanter.
Högerklicka på Standardprincip för domänkontrollanter och välj Redigera.
Dubbelklicka på Datorkonfiguration i fönstret Redigerare för grupprinciphantering, dubbelklicka på Principer, dubbelklicka på Administrativa mallar, dubbelklicka på System och dubbelklicka sedan på KDC.
Dubbelklicka på KDC-stöd för anspråk, sammansatt autentisering och Kerberos-skydd och välj alternativet bredvid Aktiverad. Du måste aktivera den här inställningen för att använda principer för central åtkomst.
Öppna en upphöjd kommandotolk och kör följande kommando:
gpupdate /force
Skapa företagsanspråkstypen på contoso.com
Så här skapar du en anspråkstyp med hjälp av Windows PowerShell
Logga in på contoso.com som administratör.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv sedan följande kod:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Skapa den centrala åtkomstregeln
Så här skapar du en central åtkomstregel
I den vänstra rutan i Active Directory Administrationscenter klickar du på Trädvy. I den vänstra rutan klickar du på Dynamisk åtkomstkontroll och sedan på Centrala åtkomstregler.
Högerklicka på Centrala åtkomstregler, klicka på Nytt och sedan på Central åtkomstregel.
I fältet Namn skriver du AdatumEmployeeAccessRule.
I avsnittet Behörigheter väljer du alternativet Använd följande behörigheter som aktuella behörigheter , klickar på Redigera och klickar sedan på Lägg till. Klicka på länken Välj ett huvudnamn , skriv Autentiserade användare och klicka sedan på OK.
I dialogrutan Behörighetspost för behörigheter klickar du på Lägg till ett villkor och anger följande villkor: [Användare] [Företag] [Lika] [Värde] [Adatum]. Behörigheter ska vara Ändra, Läsa och köra, Läsa, Skriva.
Klicka på OK.
Klicka på OK tre gånger för att slutföra och återgå till Active Directory Administrationscenter.
Kommandon som motsvarar Windows PowerShellFöljande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Skapa den centrala åtkomstprincipen
Så här skapar du en princip för central åtkomst
Logga in på contoso.com som administratör.
Öppna en upphöjd kommandotolk i Windows PowerShell och klistra sedan in följande kod:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Publicera den nya policyn via gruppprincip
Så här tillämpar du den centrala åtkomstprincipen mellan filservrar via grupprincip
På startskärmen skriver du Administrationsverktyg och klickar på Inställningar i sökfältet. Klicka på Administrationsverktyg i resultatet Inställningar. Öppna konsolen Grupprinciphantering från mappen Administrationsverktyg .
Tip
Om inställningen Visa administrativa verktyg är inaktiverad visas inte mappen Administrationsverktyg och dess innehåll i resultatet Inställningar .
Högerklicka på domänen contoso.com, klicka på Skapa ett GPO i den här domänen och länka det här
Ange ett beskrivande namn för grupprincipobjektet, till exempel AdatumAccessGPO, och klicka sedan på OK.
Så här tillämpar du den centrala åtkomstprincipen på filservern via grupprincip
På startskärmen skriver du Grupprinciphantering i rutan Sök . Öppna Grupprinciphantering från mappen Administrationsverktyg.
Tip
Om inställningen Visa administrativa verktyg är inaktiverad visas inte mappen Administrationsverktyg och dess innehåll i resultatet Inställningar.
Gå till och välj Contoso enligt följande: Grupprinciphantering\Skog: contoso.com\Domäner\contoso.com.
Högerklicka på AdatumAccessGPO-principen och välj Redigera.
I Redigeraren för grupprinciphantering klickar du på Datorkonfiguration, expanderar Principer, expanderar Windows-inställningar och klickar sedan på Säkerhetsinställningar.
Expandera Filsystem, högerklicka på Central åtkomstprincip och klicka sedan på Hantera centrala åtkomstprinciper.
I dialogrutan Konfiguration av centrala åtkomstprinciper klickar du på Lägg till, väljer Adatum Endast åtkomstprincip och klickar sedan på OK.
Stäng redigeraren för grupprinciphantering. Du har nu lagt till den centrala åtkomstprincipen till Gruppolicy.
Skapa mappen Intäkter på filservern
Skapa en ny NTFS-volym på FILE1 och skapa följande mapp: D:\Earnings.
Note
Principer för central åtkomst är inte aktiverade som standard på system- eller startvolymen C:.
Ange klassificering och tillämpa den centrala åtkomstprincipen i mappen Intäkter
Tilldela den centrala åtkomstprincipen på filservern
I Hyper-V Manager ansluter du till server FILE1. Logga in på servern med hjälp av Contoso\Administrator med lösenordet pass@word1.
Öppna en upphöjd kommandotolk och skriv: gpupdate /force. Detta säkerställer att förändringarna av din gruppolicy träder i kraft på din server.
Du måste också uppdatera globala resursegenskaper från Active Directory. Öppna Windows PowerShell, skriv
Update-FSRMClassificationpropertyDefinitionoch tryck sedan på RETUR. Stäng Windows PowerShell.Öppna Utforskaren och gå till D:\EARNINGS. Högerklicka på mappen Intäkter och klicka på Egenskaper.
Klicka på fliken Klassificering . Välj Företag och sedan Adatum i fältet Värde .
Klicka på Ändra, välj Adatum Endast åtkomstprincip i den nedrullningsbara menyn och klicka sedan på Använd.
Klicka på fliken Säkerhet , klicka på Avancerat och klicka sedan på fliken Central princip . Du bör se AdatumEmployeeAccessRule i listan. Du kan expandera objektet för att visa alla behörigheter som du angav när du skapade regeln i Active Directory.
Klicka på OK för att återgå till Utforskaren.