Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här avsnittet går vi igenom ett grundläggande scenario som förklarar hur du konfigurerar anspråkstransformeringar mellan betrodda och betrodda skogar. Du får lära dig hur anspråkstransformeringsprincipobjekt kan skapas och länkas till förtroendet för den betrodda skogen och den betrodda skogen. Sedan validerar du scenariot.
Scenarioöversikt
Adatum Corporation tillhandahåller finansiella tjänster till Contoso, Ltd. Varje kvartal kopierar Adatum-revisorer sina kontokalkytor till en mapp på en filserver som finns på Contoso, Ltd. Det finns ett dubbelriktad förtroende som har konfigurerats från Contoso till Adatum. Contoso, Ltd. vill skydda resursen så att endast Adatum-anställda kan komma åt fjärrresursen.
I det här scenariot:
Konfigurera förutsättningarna och testmiljön
Testkonfigurationen omfattar uppsättning av två skogar: Adatum Corporation och Contoso, Ltd, och en ömsesidig tillit mellan Contoso och Adatum. "adatum.com" är den betrodda skogen och "contoso.com" är den betrodda skogen.
Scenariot för anspråkstransformering visar omvandling av ett anspråk i den betrodda skogen till ett anspråk i den förtroendeskapande skogen. För att göra detta måste du konfigurera en ny skog med namnet adatum.com och fylla i skogen med en testanvändare med företagsvärdet "Adatum". Du måste konfigurera ett tvåvägsförtroende mellan contoso.com och adatum.com.
Important
När du konfigurerar Contoso- och Adatum-skogarna måste du se till att båda rotdomänerna finns på Windows Server 2012 Domain Functional Level för att anspråksomvandlingen ska fungera.
Du måste konfigurera följande för labbet. Dessa procedurer beskrivs i detalj i bilaga B: Konfigurera testmiljön
Du måste implementera följande procedurer för att konfigurera labbet för det här scenariot:
Använd följande information för att slutföra det här scenariot:
| Objects | Details |
|---|---|
| Users | Jeff Low, Contoso |
| Användaranspråk på Adatum och Contoso | ID: ad://ext/Company:ContosoAdatum, Källattribut: företag Föreslagna värden: Contoso, Adatum Viktigt: Du måste ange ID för anspråkstypen "Företag" på både Contoso och Adatum för att anspråksomvandlingen ska fungera. |
| Central åtkomstregel på Contoso | AdatumEmployeeAccessRule |
| Central åtkomstprincip på Contoso | Åtkomstprincip för endast Adatum |
| Principer för anspråksomvandling på Adatum och Contoso | DenyAllExcept-företag |
| Filmapp på Contoso | D:\EARNINGS |
Konfigurera anspråkstransformation i betrott skogsområde (Adatum)
I det här steget skapar du en transformeringsprincip i Adatum för att neka alla anspråk utom "Företag" att vidarebefordra till Contoso.
Active Directory-modulen för Windows PowerShell innehåller argumentet DenyAllExcept , som tar bort allt utom de angivna anspråken i transformeringsprincipen.
För att konfigurera en anspråkstransformering måste du skapa en princip för anspråkstransformering och länka den mellan den betrodda och den förtroendegivande skogen.
Skapa en princip för anspråkstransformering i Adatum
Så här skapar du en transformeringsprincip för Adatum för att neka alla anspråk utom 'Company'
Logga in på domänkontrollanten adatum.com som administratör med lösenordet pass@word1.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv följande:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Ange en länk för anspråkstransformering i Adatums förtroendedomänobjekt
I det här steget tillämpar du den nyligen skapade anspråksomvandlingsprincipen på Adatums förtroendedomänobjekt för Contoso.
Så här tillämpar du principen för anspråkstransformering
Logga in på domänkontrollanten adatum.com som administratör med lösenordet pass@word1.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv följande:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Konfigurera anspråksomvandling i den betrodda skogen (Contoso)
I det här steget skapar du en policy för omvandling av anspråk i Contoso (den betrodda skogen) för att neka alla anspråk utom "Företag". Du måste skapa en princip för anspråkstransformering och länka den till skogsförtroendet.
Skapa en princip för anspråksomvandling i Contoso
För att skapa en transformeringsprincip för Adatum som nekar alla utom "Company"
Logga in på domänkontrollanten contoso.com som administratör med lösenordet pass@word1.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv följande:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Ange en länk för anspråksomvandling i Contosos förtroendedomänobjekt
I det här steget tillämpar du den nyligen skapade principen för anspråkstransformering på det contoso.com betrodda domänobjektet för Adatum för att tillåta att "Företag" skickas vidare till contoso.com. Det betrodda domänobjektet heter adatum.com.
Att ställa in anspråkstransformeringspolicy
Logga in på domänkontrollanten contoso.com som administratör med lösenordet pass@word1.
Öppna en upphöjd kommandotolk i Windows PowerShell och skriv följande:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Verifiera scenariot
I det här steget försöker du komma åt mappen D:\EARNINGS som konfigurerades på filservern FILE1 för att verifiera att användaren har åtkomst till den delade mappen.
För att säkerställa att Adatum-användaren kan komma åt den delade mappen
Logga in på klientdatorn CLIENT1 som Jeff Low med lösenordet pass@word1.
Bläddra till mappen \\FILE1.contoso.com\Earnings.
Jeff Low bör kunna komma åt mappen.
Ytterligare scenarier för principer för anspråkstransformering
Följande är en lista över ytterligare vanliga fall i anspråkstransformering.
| Scenario | Policy |
|---|---|
| Tillåt att alla anspråk som kommer från Adatum går igenom till Contoso Adatum | Kod- New-ADClaimTransformPolicy " -Beskrivning:"Anspråkstransformeringsprincip för att tillåta alla anspråk" ' -Name:"AllowAllClaimsPolicy" ' -AllowAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink " -Identitet:"adatum.com" ' -Policy:"AllowAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
| Neka alla anspråk som kommer från Adatum för att gå igenom till Contoso Adatum | Kod- New-ADClaimTransformPolicy " -Beskrivning:"Anspråkstransformeringsprincip för att neka alla anspråk" ' -Name:"DenyAllClaimsPolicy" ' -DenyAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink " -Identitet:"adatum.com" ' -Policy:"DenyAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com"` |
| Tillåt att alla anspråk som kommer från Adatum utom "Företag" och "Avdelning" går igenom till Contoso Adatum | Code - New-ADClaimTransformationPolicy ' -Beskrivning:"Anspråkstransformeringsprincip för att tillåta alla anspråk utom företag och avdelning" ' -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -AllowAllExcept:company,department ' -Server:"contoso.com" ' Set-ADClaimTransformLink " -Identitet:"adatum.com" ' -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
Se även
För en lista över alla Windows PowerShell-cmdletar som är tillgängliga för kravtransformation, se Active Directory PowerShell Cmdlet Reference.
För avancerade uppgifter som omfattar export och import av DAC-konfigurationsinformation mellan två skogar använder du PowerShell-referensen för dynamisk åtkomstkontroll