Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här scenariot arbetar ekonomiavdelningens säkerhetsåtgärder med central informationssäkerhet för att ange behovet av en central åtkomstprincip så att de kan skydda arkiverad ekonomiinformation som lagras på filservrar. Den arkiverade finansinformationen från varje land kan nås som skrivskyddat för ekonomianställda från samma land. En central ekonomiadministratörsgrupp kan komma åt ekonomiinformationen från alla länder.
Implementeringen av en central åtkomstprincip innehåller följande faser:
| Phase | Description |
|---|---|
| Plan: Identifiera behovet av princip och den konfiguration som krävs för distribution | Identifiera behovet av en princip och den konfiguration som krävs för distributionen. |
| Implementera: Konfigurera komponenterna och principen | Konfigurera komponenterna och principen. |
| Distribuera den centrala åtkomstpolicyn | Distribuera principen. |
| Behåll: Ändra och mellanlagra policyn | Principändringar och planering. |
Konfigurera en testmiljö
Innan du börjar måste du konfigurera labb för att testa det här scenariot. Stegen för att konfigurera labbet beskrivs i detalj i bilaga B: Konfigurera testmiljön.
Plan: Identifiera behovet av princip och den konfiguration som krävs för distribution
Det här avsnittet innehåller en serie steg på hög nivå som underlättar planeringsfasen för distributionen.
| Steg # | Step | Example |
|---|---|---|
| 1.1 | Företag fastställer att en central åtkomstprincip krävs | För att skydda ekonomiinformation som lagras på filservrar arbetar ekonomiavdelningens säkerhetsåtgärder med central informationssäkerhet för att ange behovet av en central åtkomstprincip. |
| 1.2 | Uttrycka åtkomstprincipen | Ekonomidokument bör endast läsas av medlemmar i ekonomiavdelningen. Ekonomiavdelningens medlemmar bör endast få åtkomst till dokument i sitt eget land. Endast ekonomiadministratörer ska ha skrivåtkomst. Ett undantag tillåts för medlemmar i gruppen FinanceException. Den här gruppen har läsbehörighet. |
| 1.3 | Uttrycka åtkomstprincipen i Windows Server 2012-konstruktioner | Targeting: - Resource.Department innehåller ekonomi Åtkomstregler: – Tillåt läsning User.Country=Resource.Country OCH User.department=Resource.Department Exception: Tillåt läs medlemskap(Finansundantag) |
| 1.4 | Fastställa vilka filegenskaper som krävs för principen | Tagga filer med: -Avdelning |
| 1.5 | Fastställa de anspråkstyper och grupper som krävs för principen | Anspråkstyper: -Land Användargrupper: - FinanceAdmin |
| 1.6 | Fastställa vilka servrar som principen ska tillämpas på | Tillämpa principen på alla ekonomifilservrar. |
Implementera: Konfigurera komponenterna och principen
Det här avsnittet visar ett exempel som distribuerar en central åtkomstprincip för ekonomidokument.
| Steg # | Step | Example |
|---|---|---|
| 2.1 | Skapa anspråkstyper | Skapa följande anspråkstyper: -Avdelning |
| 2.2 | Skapa resursegenskaper | Skapa och aktivera följande resursegenskaper: -Avdelning |
| 2.3 | Konfigurera en central åtkomstregel | Skapa en regel för ekonomidokument som innehåller principen som fastställdes i föregående avsnitt. |
| 2.4 | Konfigurera en central åtkomstprincip (CAP) | Skapa en CAP med namnet Finance Policy och lägg till regeln Finance Documents i den CAP-en. |
| 2.5 | Målinrikta central åtkomstpolicy till filservrarna | Publicera finanspolicyn CAP på filservrarna. |
| 2.6 | Aktivera KDC-stöd för påståenden, komplex autentisering och Kerberos-skydd. | Aktivera KDC-stöd för anspråk, sammansatt autentisering och Kerberos-skydd för contoso.com. |
I följande procedur skapar du två anspråkstyper: Land och avdelning.
Skapa anspråkstyper
Öppna Server DC1 i Hyper-V Manager och logga in som contoso\administrator med lösenordet pass@word1.
Öppna Active Directory Administrationscenter.
Klicka på ikonen Trädvy, expandera Dynamisk åtkomstkontroll och välj sedan Anspråkstyper.
Högerklicka på Anspråkstyper, klicka på Nytt och klicka sedan på Anspråkstyp.
Tip
Du kan också öppna fönstret Skapa anspråkstyp: från fönstret Uppgifter . I fönstret Uppgifter klickar du på Ny och sedan på Anspråkstyp.
I listan Källattribut rullar du ned listan med attribut och klickar på avdelning. Detta bör fylla i fältet Visningsnamn med avdelning. Klicka på OK.
I fönstret Uppgifter klickar du på Ny och sedan på Anspråkstyp.
Rulla ned listan med attribut i listan Källattribut och klicka sedan på attributet c (Country-Name). I fältet Visningsnamn skriver du land.
I avsnittet Föreslagna värden väljer du Följande värden föreslås: och klickar sedan på Lägg till.
I fälten Värde och Visningsnamn skriver du USA och klickar sedan på OK.
Upprepa ovanstående steg. I dialogrutan Lägg till ett förslagsvärde skriver du JP i fälten Värde och Visningsnamn och klickar sedan på OK.
Windows PowerShell motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
Tip
Du kan använda Visningsprogrammet för Windows PowerShell-historik i Active Directory Administrationscenter för att söka efter Windows PowerShell-cmdletar för varje procedur som du utför i Active Directory Administrationscenter. Mer information finns i Visningsprogram för Windows PowerShell-historik
Nästa steg är att skapa resursegenskaper. I följande procedur skapar du en resursegenskap som automatiskt läggs till i listan Globala resursegenskaper på domänkontrollanten, så att den är tillgänglig för filservern.
Skapa och aktivera fördefinierade resursegenskaper
I den vänstra rutan i Active Directory Administrationscenter klickar du på Trädvy. Expandera Dynamisk åtkomstkontroll och välj sedan Resursegenskaper.
Högerklicka på Resursegenskaper, klicka på Nytt och klicka sedan på Referensresursegenskap.
Tip
Du kan också välja en resursegenskap i fönstret Uppgifter . Klicka på Ny och sedan på Referensresursegenskap.
I Välj en anspråkstyp för att dela listan med föreslagna värden klickar du på land.
I fältet Visningsnamn skriver du land och klickar sedan på OK.
Dubbelklicka på listan Resursegenskaper och rulla ned till resursegenskapen Avdelning . Högerklicka och klicka sedan på Aktivera. Detta aktiverar den inbyggda resursegenskapen Avdelning .
I listan Resursegenskaper i navigeringsfönstret i Active Directory Administrationscenter har du nu två aktiverade resursegenskaper:
Country
Department
Windows PowerShell motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS
Nästa steg är att skapa centrala åtkomstregler som definierar vem som kan komma åt resurser. I det här scenariot är affärsreglerna:
Ekonomidokument kan endast läsas av medlemmar i ekonomiavdelningen.
Ekonomiavdelningens medlemmar kan endast komma åt dokument i sitt eget land.
Endast ekonomiadministratörer kan ha skrivåtkomst.
Vi tillåter ett undantag för medlemmar i gruppen FinanceException. Den här gruppen har läsbehörighet.
Administratören och dokumentägaren har fortfarande fullständig åtkomst.
Eller för att uttrycka reglerna med Windows Server 2012-konstruktioner:
Mål: Resource.Department innehåller Ekonomi
Åtkomstregler:
Tillåt Läsning Användare.Land=Resurs.Land OCH Användare.avdelning = Resurs.Avdelning
Tillåt fullständig kontroll av User.MemberOf(FinanceAdmin)
Tillåt läsning av användarens medlemskap i FinanceException
Så här skapar du en central åtkomstregel
I den vänstra rutan i Active Directory Administrationscenter klickar du på Trädvy, väljer Dynamisk åtkomstkontroll och klickar sedan på Centrala åtkomstregler.
Högerklicka på Centrala åtkomstregler, klicka på Nytt och klicka sedan på Central åtkomstregel.
I fältet Namn skriver du Ekonomidokumentregel.
I avsnittet Målresurser klickar du på Redigera och i dialogrutan Central åtkomstregel klickar du på Lägg till ett villkor. Lägg till följande villkor: [Resurs] [Avdelning] [Lika med] [Värde] [Ekonomi] och klicka sedan på OK.
I avsnittet Behörigheter väljer du Använd följande behörigheter som aktuella behörigheter, klickar på Redigera och i dialogrutan Avancerade säkerhetsinställningar för behörigheter klickar du på Lägg till.
Note
Alternativet 'Använd följande behörigheter som föreslagna behörigheter' låter dig skapa policyn i staging. För mer information om hur du gör detta kan du läsa under avsnittet "Underhåll: Ändring och mellanlagring av principer" i detta ämne.
I dialogrutan Behörighetspost för Behörigheter klickar du på Välj ett huvudnamn, skriver Autentiserade användare och klickar sedan på OK.
I dialogrutan Behörighetspost för behörigheter klickar du på Lägg till ett villkor och lägger till följande villkor: [Användare] [land] [Någon av] [Resurs] [land] Klicka på Lägg till ett villkor. [Och] Klicka på [Användare] [Avdelning] [Någon av] [Resurs] [Avdelning]. Ange Behörigheter till Läs.
Klicka på OK och sedan på Lägg till. Klicka på Välj ett huvudnamn, skriv FinanceAdmin och klicka sedan på OK.
Välj behörigheterna Ändra, Läsa och exekvera, Läsa, Skriv och klicka sedan på OK.
Klicka på Lägg till, klicka på Välj ett huvudnamn, skriv FinanceException och klicka sedan på OK. Välj de behörigheter som ska läsas och läsas och köras.
Klicka på OK tre gånger för att slutföra och återgå till Active Directory Administrationscenter.
Windows PowerShell motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
Important
I ovanstående cmdlet-exempel bestäms säkerhetsidentifierare (SID) för gruppen FinanceAdmin och användare vid skapandetillfället och skiljer sig i ditt exempel. Till exempel måste det angivna SID-värdet (S-1-5-21-178716779-1215870801-2157059049-1113) för FinanceAdmins ersättas med det faktiska SID för gruppen FinanceAdmin som du skulle behöva skapa i distributionen. Du kan använda Windows PowerShell för att slå upp SID-värdet för den här gruppen, tilldela det värdet till en variabel och sedan använda variabeln här. Mer information finns i Windows PowerShell-tips: Arbeta med SID:er.
Nu bör du ha en central åtkomstregel som gör att personer kan komma åt dokument från samma land och samma avdelning. Regeln tillåter att gruppen FinanceAdmin redigerar dokumenten, och gruppen FinanceException kan läsa dokumenten. Den här regeln riktar sig endast mot dokument som klassificerats som Ekonomi.
Så här lägger du till en central åtkomstregel i en central åtkomstprincip
I den vänstra rutan i Active Directory Administrationscenter klickar du på Dynamisk åtkomstkontroll och klickar sedan på Principer för central åtkomst.
I fönstret Uppgifter klickar du på Ny och sedan på Central åtkomstprincip.
I Skapa princip för central åtkomst:skriver du Ekonomiprincip i rutan Namn .
I Centrala åtkomstregler för medlem klickar du på Lägg till.
Dubbelklicka på regeln Ekonomidokument för att lägga till den i listan Lägg till följande centrala åtkomstregler och klicka sedan på OK.
Slutför genom att klicka på OK . Nu bör du ha en central åtkomstpolicy med namnet Ekonomipolicy.
Windows PowerShell motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
Tillämpa den centrala åtkomstprincipen mellan filservrar med hjälp av grupprincip
På startskärmen skriver du Grupprinciphantering i rutan Sök. Dubbelklicka på Grupprinciphantering.
Tip
Om inställningen Visa administrativa verktyg är inaktiverad visas inte mappen Administrationsverktyg och dess innehåll i resultatet Inställningar .
Tip
I produktionsmiljön bör du skapa en organisationsenhet för filserver (OU) och lägga till alla dina filservrar i den här organisationsenheten, som du vill tillämpa den här principen på. Du kan sedan skapa en gruppolicy och lägga till den här organisationsenheten i den policyn.
I det här steget redigerar du grupprincipobjektet som du skapade i avsnittet Skapa domänkontrollanten i testmiljön för att inkludera den centrala åtkomstprincip som du skapade. I redigeraren grupprinciphantering navigerar du till och väljer organisationsenheten i domänen (contoso.com i det här exemplet): Grupprinciphantering, Skog: contoso.com, Domäner, contoso.com, Contoso, FileServerOU.
Högerklicka på FlexibleAccessGPO och klicka sedan på Redigera.
I fönstret Redigerare för grupprinciphantering går du till Datorkonfiguration, expanderar Principer, expanderar Windows-inställningar och klickar på Säkerhetsinställningar.
Expandera Filsystem, högerklicka på Central åtkomstprincip och klicka sedan på Hantera centrala åtkomstprinciper.
I dialogrutan Konfiguration av centrala åtkomstprinciper lägger du till Ekonomiprincip och klickar sedan på OK.
Rulla ned till Konfiguration av avancerad granskningsprincip och expandera den.
Expandera Granskningsprinciper och välj Objektåtkomst.
Dubbelklicka på Granska mellanlagring av central åtkomstprincip. Markera alla tre kryssrutorna och klicka sedan på OK. Med det här steget kan systemet ta emot revisionshändelser som rör central åtkomststaggningspolicyer.
Dubbelklicka på revisionskontroll för filsystem. Markera alla tre kryssrutorna och klicka sedan på OK.
Stäng redigeraren för grupprinciphantering. Du har nu inkluderat den centrala åtkomstpolicyn i gruppprincipen.
För att domänkontrollanter ska kunna tillhandahålla anspråk eller enhetsauktoriseringsdata måste domänkontrollanterna konfigureras för att stödja dynamisk åtkomstkontroll.
Aktivera stöd för anspråk och sammansatt autentisering för contoso.com
Öppna Grupprinciphantering, klicka på contoso.com och klicka sedan på Domänkontrollanter.
Högerklicka på Default Domain Controllers Policy, och klicka sedan på Redigera.
Dubbelklicka på Datorkonfiguration i fönstret Redigerare för grupprinciphantering, dubbelklicka på Principer, dubbelklicka på Administrativa mallar, dubbelklicka på System och dubbelklicka sedan på KDC.
Dubbelklicka på KDC-stöd för anspråk, sammansatt autentisering och Kerberos-skydd. I dialogrutan KDC-stöd för anspråk, sammansatt autentisering och Kerberos-skydd klickar du på Aktiverad och väljer Stöds i listrutan Alternativ . (Du måste aktivera den här inställningen för att använda användaranspråk i principer för central åtkomst.)
Stäng grupprincip Management.
Öppna en kommandotolk och skriv
gpupdate /force.
Distribuera den centrala åtkomstprincipen
| Steg # | Step | Example |
|---|---|---|
| 3.1 | Tilldela CAP till lämpliga delade mappar på filservern. | Tilldela den centrala åtkomstprincipen till lämplig delad mapp på filservern. |
| 3.2 | Kontrollera att åtkomsten är korrekt konfigurerad. | Kontrollera åtkomsten för användare från olika länder och avdelningar. |
I det här steget tilldelar du den centrala åtkomstprincipen till en filserver. Du loggar in på en filserver som tar emot den centrala åtkomstprincip som du skapade föregående steg och tilldelar principen till en delad mapp.
Tilldela en central åtkomstprincip till en filserver
I Hyper-V Manager ansluter du till server FILE1. Logga in på servern med hjälp av contoso\administrator med lösenordet: pass@word1.
Öppna en upphöjd kommandotolk och skriv: gpupdate /force. Detta säkerställer att dina grupprincipändringar träder i kraft på servern.
Du måste också uppdatera globala resursegenskaper från Active Directory. Öppna ett upphöjt Windows PowerShell-fönster och skriv
Update-FSRMClassificationpropertyDefinition. Klicka på RETUR och stäng sedan Windows PowerShell.Tip
Du kan också uppdatera globala resursegenskaper genom att logga in på filservern. Om du vill uppdatera globala resursegenskaper från filservern gör du följande
- Logga in på File Server FILE1 som contoso\administrator med hjälp av lösenordet pass@word1.
- Öppna Hanteraren för filserverresurser. Om du vill öppna Hanteraren för filserverresurser klickar du på Start, skriver resurshanteraren för filservern och klickar sedan på Hanteraren för filserverresurser.
- I Hanteraren för filserverresurser klickar du på Filklassificeringshantering , högerklickar på Klassificeringsegenskaper och klickar sedan på Uppdatera.
Öppna Utforskaren och klicka på enhet D i det vänstra fönstret. Högerklicka på mappen Ekonomidokument och klicka på Egenskaper.
Klicka på fliken Klassificering , klicka på Land och välj sedan USA i fältet Värde .
Klicka på Avdelning, välj sedan Ekonomi i fältet Värde och klicka sedan på Använd.
Note
Kom ihåg att den centrala åtkomstprincipen har konfigurerats för att rikta in sig på filer för ekonomiavdelningen. Föregående steg markerar alla dokument i mappen med attributen Land och Avdelning.
Klicka på fliken Säkerhet och klicka sedan på Avancerat. Klicka på fliken Central princip .
Klicka på Ändra, välj Ekonomiprincip på den nedrullningsbara menyn och klicka sedan på Använd. Du kan se Regeln för Ekonomidokument som anges i policyn. Expandera objektet om du vill visa alla behörigheter som du angav när du skapade regeln i Active Directory.
Klicka på OK för att återgå till Utforskaren.
I nästa steg ser du till att åtkomsten är korrekt konfigurerad. Användarkonton måste ha det rätta avdelningsattributet inställt (ange detta med hjälp av Active Directory Administrationscenter). Det enklaste sättet att visa de effektiva resultaten av den nya principen är att använda fliken Effektiv åtkomst i Utforskaren. Fliken Effektiv åtkomst visar åtkomsträttigheterna för ett visst användarkonto.
Så här undersöker du åtkomsten för olika användare
I Hyper-V Manager ansluter du till server FILE1. Logga in på servern med hjälp av contoso\administrator. Gå till D:\ i Utforskaren. Högerklicka på mappen Ekonomidokument och klicka sedan på Egenskaper.
Klicka på fliken Säkerhet , klicka på Avancerat och klicka sedan på fliken Effektiv åtkomst .
Om du vill undersöka behörigheterna för en användare klickar du på Välj en användare, skriver in användarens namn och klickar sedan på Visa effektiv åtkomst för att se de gällande åtkomsträttigheterna. Till exempel:
Myriam Delesalle (MDelesalle) är på ekonomiavdelningen och bör ha läsbehörighet till mappen.
Miles Reid (MReid) är medlem i gruppen FinanceAdmin och bör ha ändra åtkomst till mappen.
Esther Valle (EValle) är inte på ekonomiavdelningen; Hon är dock medlem i gruppen FinanceException och bör ha läsbehörighet.
Maira Wenzel (MWenzel) är inte på ekonomiavdelningen och är inte medlem i gruppen FinanceAdmin eller FinanceException. Hon bör inte ha någon åtkomst till mappen.
Observera att den sista kolumnen med namnet Åtkomst begränsas av i fönstret för effektiv åtkomst. Den här kolumnen anger vilka portar som påverkar personens behörigheter. I det här fallet tillåter behörigheterna Dela och NTFS alla användare fullständig kontroll. Den centrala åtkomstprincipen begränsar dock åtkomsten baserat på de regler som du konfigurerade tidigare.
Underhåll: Ändra och ställa in policyn
| Steg # | Step | Example |
|---|---|---|
| 4.1 | Konfigurera enhetsanspråk för klienter | Ange grupppolicyinställningen för att aktivera enhetsanspråk |
| 4.2 | Aktivera ett anspråk för enheter. | Aktivera landanspråkstypen för enheter. |
| 4.3 | Lägg till en mellanlagringsprincip i den befintliga centrala åtkomstregeln som du vill ändra. | Ändra regeln för finansiella dokument för att lägga till en interimspolicy. |
| 4.4 | Visa resultaten av inlastningspolicyn. | Sök efter Ester Velles behörigheter. |
Konfigurera grupppolicyinställning för att aktivera berättigande för enheter
Logga in på DC1, öppna Grupprinciphantering, klicka på contoso.com, klicka på Standarddomänprincip, högerklicka och välj Redigera.
I fönstret Redigerare för grupprinciphantering går du till Datorkonfiguration, Principer, Administrativa mallar, System, Kerberos.
Välj Kerberos-klientstöd för anspråk, sammansatt autentisering och Kerberos-skydd och klicka på Aktivera.
Så här aktiverar du ett anspråk för enheter
Öppna Server DC1 i Hyper-V Manager och logga in som contoso\Administrator med lösenordet pass@word1.
Öppna Active Directory Administrationscenter på menyn Verktyg .
Klicka på Trädvy, expandera Dynamisk åtkomstkontroll, dubbelklicka på Anspråkstyper och dubbelklicka på landanspråket .
I Anspråk av den här typen kan utfärdas för följande klasser markerar du kryssrutan Dator . Klicka på OK. Nu ska kryssrutorna Användare och Dator markeras. Landinställningen kan nu användas med enheter utom användare.
Nästa steg är att skapa en principregel för mellanlagring. Mellanlagringsprinciper kan användas för att övervaka effekterna av en ny princippost innan du aktiverar den. I följande steg skapar du ett policyinlägg för mellanlagring och övervakar påverkan på din delade mapp.
Skapa en mellanlagringsprincipregel och lägga till den i den centrala åtkomstprincipen
Öppna Server DC1 i Hyper-V Manager och logga in som contoso\Administrator med lösenordet pass@word1.
Öppna Active Directory Administrationscenter.
Klicka på Trädvy, expandera Dynamisk åtkomstkontroll och välj Centrala åtkomstregler.
Högerklicka på Regeln för ekonomidokument och klicka sedan på Egenskaper.
I avsnittet Föreslagna behörigheter markerar du kryssrutan Aktivera konfiguration av mellanlagring av behörigheter , klickar på Redigera och klickar sedan på Lägg till. I fönstret Behörighetspost för föreslagna behörigheter klickar du på länken Välj en huvudanvändare, anger Autentiserade användare och klickar sedan på OK.
Klicka på länken Lägg till ett villkor och lägg till följande villkor: [Användare] [land] [Något av] [Resurs] [Land].
Klicka på Lägg till ett villkor igen och lägg till följande villkor: [Och] [Enhet] [land] [Något av] [Resurs] [Land]
Klicka på Lägg till ett villkor igen och lägg till följande villkor. [Och] [Användare] [Grupp] [Medlem i någon] [Värde](FinanceException)
Om du vill ange FinanceException klickar du på Lägg till objekt och i fönstret Välj användare, dator, tjänstkonto eller grupp skriver du FinanceException.
Klicka på Behörigheter, välj Fullständig kontroll och klicka på OK.
I fönstret Avancerade säkerhetsinställningar för föreslagna behörigheter väljer du FinanceException och klickar på Ta bort.
Klicka på OK två gånger för att slutföra.
Windows PowerShell motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan råka delas upp på flera rader här på grund av formateringsbegränsningar.
Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
Note
I exemplet ovan visar servervärdet servern i testlabbmiljön. Du kan använda Visningsprogrammet för Windows PowerShell-historik för att söka efter Windows PowerShell-cmdletar för varje procedur du utför i Active Directory Administrationscenter. Mer information finns i Visningsprogram för Windows PowerShell-historik
I den här föreslagna behörighetsuppsättningen har medlemmar i gruppen FinanceException fullständig åtkomst till filer från sitt eget land när de kommer åt dem via en enhet från samma land som dokumentet. Revisionsposter finns tillgängliga i filservrarnas säkerhetslogg när någon från ekonomiavdelningen försöker komma åt filer. Säkerhetsinställningarna implementeras dock inte förrän policyn har befordrats från utkastet.
I nästa procedur kontrollerar du resultatet av mellanlagringsprincipen. Du kommer åt den delade mappen med ett användarnamn som har behörigheter baserat på den aktuella regeln. Esther Valle (EValle) är medlem i FinanceException och hon har för närvarande läsbehörighet. Enligt vår mellanlagringspolicy ska EValle inte ha några rättigheter.
Att verifiera resultaten av staging-policyn
Anslut till FilserverFIL1 i Hyper-V Hanteraren och logga in som contoso\administratör med lösenordet pass@word1.
Öppna ett kommandotolksfönster och skriv gpupdate /force. Detta säkerställer att dina grupprincipändringar börjar gälla på servern.
I Hyper-V Manager ansluter du till server CLIENT1. Logga ut den användare som för närvarande är inloggad. Starta om den virtuella datorn CLIENT1. Logga sedan in på datorn med hjälp av contoso\EValle pass@word1.
Dubbelklicka på genvägen till \\FILE1\Finance Documents. EValle bör fortfarande ha åtkomst till filerna. Växla tillbaka till FILE1.
Öppna Loggboken från genvägen på skrivbordet. Expandera Windows-loggar och välj sedan Säkerhet. Öppna posterna med händelse-ID 4818under uppgiftskategorin Mellanlagring av central åtkomstprincip . Du kommer att se att EValle tilläts åtkomst; men enligt riktlinjer för testmiljön skulle användaren ha nekats åtkomst.
Nästa steg
Om du har ett centralt serverhanteringssystem, till exempel System Center Operations Manager, kan du även konfigurera övervakning för händelser. På så sätt kan administratörer övervaka effekterna av principer för central åtkomst innan de framtvingas.