Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Windows Server 2012 är en anspråkstyp ett påstående om det objekt som det är associerat med. Anspråkstyper definieras per forest i Active Directory. Det finns många scenarier där ett säkerhetsobjekt kan behöva passera en förtroendegräns för att få åtkomst till resurser i en betrodd skog. Med transformering av anspråk mellan skogar i Windows Server 2012 kan du omvandla utgående och inkommande anspråk som passerar skogar så att anspråken identifieras och accepteras i den betrodda och den tillförlitliga skogen. Några av de verkliga scenarierna för omvandling av anspråk är:
Betrodda skogar kan använda anspråkstransformering som ett skydd mot utökade privilegier genom att filtrera inkommande anspråk med specifika värden.
Betrodda skogar kan också utfärda anspråk för huvudmän som kommer över en gräns för betrodd relation om den betrodda skogen inte stöder eller utfärdar några anspråk.
Betrodda skogar kan använda anspråkstransformering för att förhindra att vissa anspråkstyper och anspråk med vissa värden går ut till den betrodda skogen.
Du kan också använda anspråkstransformering för att mappa olika anspråkstyper mellan förtroendeskapande och betrodda skogar. Detta kan användas för att generalisera anspråkstypen, anspråksvärdet eller båda. Utan detta måste du standardisera data mellan skogarna innan du kan använda anspråken. Att generalisera anspråk mellan betrodda och betrodda skogar minskar IT-kostnaderna.
Regler för anspråkstransformering
Syntaxen för transformeringsregelspråket delar upp en enskild regel i två huvuddelar: en serie villkorsinstruktioner och ärendeuttrycket. Varje villkorsuttryck har två underkomponenter: anspråksidentifieraren och villkoret. Ärendeuttrycket innehåller nyckelord, avgränsare och ett problemuttryck. Villkorssatsen börjar eventuellt med en variabel för anspråksidentifierare som representerar det matchade indataanspråket. Villkoret kontrollerar uttrycket. Om indataanspråket inte matchar villkoret ignorerar transformeringsmotorn problemuttrycket och utvärderar nästa indataanspråk mot transformeringsregeln. Om alla villkor matchar indataanspråket bearbetas ärendeutdraget.
Detaljerad information om språk för anspråksregler finns i Språket för anspråkstransformeringsregler.
Länka principer för anspråkstransformering till skogar
Det finns två komponenter som ingår i konfigurationen av principer för anspråkstransformering: principobjekt för anspråkstransformering och transformeringslänken. Principobjekten finns i konfigurationsnamngivningskontexten i en skog och innehåller mappningsinformation för anspråken. Länken anger vilka litade och betrodda skogar som mappningen gäller för.
Det är viktigt att förstå om skogen är den förtroendefulla eller betrodda skogen eftersom detta är grunden för att länka transformeringsprincipobjekt. Den betrodda skogen är till exempel den skog som innehåller användarkonton som kräver åtkomst. Den betrodda skogen är den skog som innehåller resurser som du vill ge användarna åtkomst till. Anspråk färdas i samma riktning som säkerhetsobjektet som kräver åtkomst. Om det till exempel finns ett enkelriktat förtroende från contoso.com domänskogen till adatum.com domänskogen flödar anspråken från adatum.com till contoso.com, vilket gör att användare från adatum.com kan få tillgång till resurser i contoso.com.
Som standard tillåter en betrodd skog att alla utgående anspråk passerar, medan en förtroendefull skog ignorerar alla inkommande anspråk som den tar emot.
I det här scenariot
Följande vägledning är tillgänglig för det här scenariot:
Roller och funktioner som ingår i det här scenariot
I följande tabell visas de roller och funktioner som ingår i det här scenariot och beskriver hur de stöder det.
| Role/feature | Hur det stöder det här scenariot |
|---|---|
| Active Directory-domäntjänster | I det här scenariot måste du konfigurera två Active Directory-skogar med ett dubbelriktat förtroende. Du har anspråk i båda skogarna. Du kan också ange principer för central åtkomst i den betrodda skog där resurserna finns. |
| Rollen Fil- och lagringstjänster | I det här scenariot tillämpas dataklassificeringen på resurserna på filservrarna. Den centrala åtkomstprincipen tillämpas på den mapp där du vill bevilja användaråtkomst. Efter omvandlingen ger anspråket användaren åtkomst till resurser baserat på den centrala åtkomstprincip som tillämpas på mappen på filservern. |