Anhang B: Einrichten der Testumgebung
In diesem Thema werden die Schritte zum Erstellen eines praktischen Labors zum Testen der dynamischen Zugriffssteuerung beschrieben. Die Anweisungen müssen schrittweise befolgt werden, da viele Komponenten über Abhängigkeiten verfügen.
Voraussetzungen
Hardware- und Softwareanforderungen
Anforderungen für die Einrichtung des Testlabors:
Ein Hostserver unter Windows Server 2008 R2 mit SP1 und Hyper-V
Eine Kopie der Windows Server 2012-ISO
Eine Kopie der Windows 8-ISO
Microsoft Office 2010
Ein Server unter Microsoft Exchange Server 2003 oder höher
Sie müssen die folgenden virtuellen Computer erstellen, um die Szenarios für die dynamische Zugriffssteuerung zu testen:
DC1 (Domänencontroller)
DC2 (Domänencontroller)
FILE1 (Dateiserver und Active Directory-Rechteverwaltungsdienste)
SRV1 (POP3- und SMTP-Server)
CLIENT1 (Clientcomputer mit Microsoft Outlook)
Die Kennwörter für die virtuellen Computer sollten wie folgt lauten:
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
Bei allen anderen Konten: pass@word1
Erstellen der virtuellen Computer für das Testlabor
Installieren der Hyper-V-Rolle
Sie müssen die Hyper-V-Rolle auf einem Computer unter Windows Server 2008 R2 mit SP1 installieren.
So installieren Sie die Hyper-V-Rolle
Klicken Sie auf Start und anschließend auf „Server-Manager“.
Klicken Sie im Bereich „Rollenübersicht“ des Server-Manager-Hauptfensters auf Rollen hinzufügen.
Klicken Sie auf der Seite Serverrollen auswählen auf Hyper-V.
Klicken Sie auf der Seite Virtuelle Netzwerke erstellen auf mindestens eine Netzwerkkarte, wenn Sie möchten, dass ihre Netzwerkverbindung für virtuelle Computer verfügbar ist.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
Zum Abschließen der Installation muss der Computer neu gestartet werden. Klicken Sie zum Beenden des Assistenten auf Schließen, und klicken Sie anschließend auf Ja, um den Computer neu zu starten.
Melden Sie sich nach dem Neustart des Computers mit demselben Konto an, das Sie zum Installieren der Rolle verwendet haben. Klicken Sie, nachdem der Assistent zum Fortsetzen der Konfiguration die Installation abgeschlossen hat, auf Schließen, um den Assistenten zu beenden.
Erstellen eines internen virtuellen Netzwerks
Im Folgenden erstellen wir ein internes virtuelles Netzwerk mit dem Namen „ID_AD_Network“.
So erstellen Sie ein virtuelles Netzwerk
Öffnen Sie den Hyper-V-Manager.
Klicken Sie im Menü Aktionen auf Manager für virtuelle Netzwerke.
Wählen Sie Intern unter Virtuelles Netzwerk erstellen aus.
Klicken Sie auf Hinzufügen. Es wird die Seite Neues virtuelles Netzwerk angezeigt.
Geben Sie ID_AD_Network als den Namen für das neue Netzwerk ein. Prüfen Sie die anderen Eigenschaften, und ändern Sie sie bei Bedarf.
Klicken Sie auf OK, um das virtuelle Netzwerk zu erstellen, und schließen Sie den Manager für virtuelle Netzwerke, oder klicken Sie auf Übernehmen zum Erstellen des virtuellen Netzwerks, und fahren Sie mithilfe des Managers für virtuelle Netzwerke fort.
Erstellen des Domänencontrollers
Erstellen Sie einen virtuellen Computer, der als der Domänencontroller (DC1) verwendet wird. Installieren Sie den virtuellen Computer mithilfe des Windows Server 2012-ISO-Images, und nennen Sie ihn „DC1“.
So installieren Sie Active Directory-Domänendienste
Verbinden Sie den virtuellen Computer mit „ID_AD_Network“. Melden Sie sich bei DC1 als Administrator mit dem Kennwort pass@word1 an.
Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
Klicken Sie auf der Seite Vorbereitung auf Weiter.
Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.
Klicken Sie auf der Seite Zielserver auswählen auf Weiter.
Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Domänendienste. Klicken Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features auf Features hinzufügen, und klicken Sie auf Weiter.
Klicken Sie auf der Seite Features auswählen auf Weiter.
Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. Die Statusanzeige „Featureinstallation“ auf der Seite „Ergebnisse“ zeigt an, dass die Rolle installiert wird.
Stellen Sie auf der Seite Ergebnisse die erfolgreiche Installation sicher, und klicken Sie auf Schließen. Klicken Sie im Server-Manager auf das Warnsymbol mit dem Ausrufezeichen auf der oberen rechten Ecke des Bildschirms neben Verwalten. Klicken Sie in der Liste „Aufgaben“ auf die Verknüpfung Server zu einem Domänencontroller heraufstufen.
Klicken Sie auf der Seite Bereitstellungskonfiguration auf Neue Gesamtstruktur hinzufügen, geben Sie den Namen der Stammdomäne contoso.com ein, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Domänencontrolleroptionen die Domänen- und Gesamtstruktur-Funktionsebenen wie Windows Server 2012 aus, geben Sie das DSRM-Kennwort pass@word1 ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite DNS-Optionen auf Weiter.
Klicken Sie auf der Seite Zusätzliche Optionen auf Weiter.
Geben Sie auf der Seite Pfade die Speicherorte für die Active Directory-Datenbanken, -Protokolldateien und den Ordner „SYSVOL“ an (oder übernehmen Sie die Standardspeicherorte), und klicken Sie dann auf Weiter.
Bestätigen Sie auf der Seite Optionen prüfen die Einstellungen, und klicken Sie dann auf Weiter.
Bestätigen Sie auf der Seite Voraussetzungsüberprüfung, dass die Validierung der Voraussetzungen abgeschlossen ist, und klicken Sie dann auf Installieren.
Stellen Sie auf der Seite Ergebnisse sicher, dass der Server erfolgreich als Domänencontroller konfiguriert wurde, und klicken Sie dann auf Schließen.
Starten Sie den Server zum Abschließen der AD DS-Installation neu. (Dies erfolgt standardmäßig automatisch.)
Erstellen Sie die folgenden Benutzer mithilfe des Active Directory-Verwaltungscenters.
Erstellen von Benutzern und Gruppen auf DC1
Melden Sie sich bei „contoso.com“ als Administrator an. Starten Sie das Active Directory-Verwaltungscenter.
Erstellen Sie die folgenden Sicherheitsgruppen:
Gruppenname E-Mail-Adresse FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Erstellen Sie die folgende Organisationseinheit:
Name der Organisationseinheit Computer FileServerOU FILE1 Erstellen Sie die folgenden Benutzer mit den angegebenen Attributen:
Benutzer Username E-Mail-Adresse Department Group Land/Region Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com Operations FinanceException US Maira Wenzel MWenzel MWenzel@contoso.com HR US Jeff Low JLow JLow@contoso.com HR US RMS-Server rms rms@contoso.com Weitere Informationen über das Erstellen von Sicherheitsgruppen finden Sie unter Create a New Group auf der Windows Server-Website.
So erstellen Sie ein Gruppenrichtlinienobjekt
Platzieren Sie den Cursor in der oberen rechten Ecke des Bildschirms, und klicken Sie auf das Suchsymbol. Geben Sie im Suchfeld Gruppenrichtlinienverwaltung ein, und klicken Sie auf Gruppenrichtlinienverwaltung.
Erweitern Sie Gesamtstruktur: contoso.com, und erweitern Sie anschließend Domänen. Wechseln Sie zu contoso.com, erweitern Sie (contoso.com), und wählen Sie dann FileServerOU aus. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
Geben Sie einen beschreibenden Namen für das Gruppenrichtlinienobjekt wie FlexibleAccessGPO ein, und klicken Sie dann auf OK.
So aktivieren Sie die dynamische Zugriffssteuerung für „contoso.com“
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf contoso.com, und doppelklicken Sie anschließend auf Domänencontroller.
Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie Bearbeiten aus.
Doppelklicken Sie im Fenster „Gruppenrichtlinienverwaltungs-Editor“ auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Administrative Vorlagen, doppelklicken Sie auf System, und doppelklicken Sie dann auf KDC.
Doppelklicken Sie auf die Option für Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring, und wählen Sie die Option nebenAktiviert aus. Sie müssen diese Einstellung aktivieren, um „Zentrale Zugriffsrichtlinien“ verwenden zu können.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
gpupdate /force
Erstellen des Dateiservers und AD RMS-Servers (FILE1)
Erstellen Sie einen virtuellen Computer mit dem Namen „FILE1“ aus dem Windows Server 2012-ISO-Image.
Verbinden Sie den virtuellen Computer mit „ID_AD_Network“.
Verknüpfen Sie den virtuellen Computer mit der Domäne „contoso.com“, und melden Sie sich dann bei „FILE1“ als „contoso\administrator“ mit dem Kennwort pass@word1 an.
Installieren des Ressourcen-Managers für Dateiserver
So installieren Sie die Rolle „Dateidienste“ und den Ressourcen-Manager für Dateiserver
Klicken Sie im Server-Manager auf Rollen und Features hinzufügen.
Klicken Sie auf der Seite Vorbereitung auf Weiter.
Klicken Sie auf der Seite Installationstyp auswählen auf Weiter.
Klicken Sie auf der Seite Zielserver auswählen auf Weiter.
Erweitern Sie auf der Seite Serverrollen auswählen den Knoten Datei- und Speicherdienste, aktivieren Sie das Kontrollkästchen neben Datei- und iSCSI-Dienste, erweitern und wählen Sie Ressourcen-Manager für Dateiserver aus.
Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Features hinzufügen, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Features auswählen auf Weiter.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
Klicken Sie auf der Seite Installationsfortschritt auf Schließen.
Installieren der Microsoft Office Filter Packs auf dem Dateiserver
Sie sollten die Microsoft Office Filter Packs auf Windows Server 2012 installieren, um IFilters für ein größeres Array an Office-Dateien zu ermöglichen als das standardmäßig bereitgestellte. Windows Server 2012 verfügt über keine standardmäßig installierten IFilter für Microsoft Office-Dateien. Zudem verwendet die Dateiklassifizierungsinfrastruktur IFilter zum Ausführen der Inhaltsanalyse.
Informationen zum Herunterladen und Installieren der IFilter finden Sie unter Microsoft Office 2010 Filter Packs.
Konfigurieren von E-Mail-Benachrichtigungen auf FILE1
Beim Erstellen von Kontingenten und Dateibildschirmen haben Sie die Option, E-Mail-Benachrichtigungen an Benutzer zu senden, wenn ihre Kontingentbegrenzung erreicht wird oder nachdem sie versucht haben, gesperrte Dateien zu speichern. Wenn Sie bestimmte Administratoren routinemäßig über Kontingent- und Dateiprüfungsereignisse benachrichtigen möchten, können Sie einen oder mehrere standardmäßige Empfänger konfigurieren. Zum Senden dieser Benachrichtigungen müssen Sie den zum Weiterleiten der E-Mails verwendeten SMTP-Server angeben.
So konfigurieren Sie E-Mail-Optionen im Ressourcen-Manager für Dateiserver
Öffnen Sie den Ressourcen-Manager für Dateiserver. Klicken Sie zum Öffnen des Ressourcen-Managers für Dateiserver auf Start, geben Sie Ressourcen-Manager für Dateiserver ein, und klicken Sie dann auf Ressourcen-Manager für Dateiserver.
Klicken Sie im Ressourcen-Manager für Dateiserver mit der rechten Maustaste auf Ressourcen-Manager für Dateiserver, und klicken Sie dann auf Optionen konfigurieren. Das Dialogfeld Optionen für den Ressourcen-Manager für Dateiserver wird geöffnet.
Geben Sie auf der Registerkarte E-Mail-Benachrichtigungen unter „SMTP-Servername“ oder „IP-Adresse“ den Hostnamen oder die IP-Adresse für den SMTP-Server ein, der E-Mail-Benachrichtigungen weiterleiten soll.
Wenn Sie bestimmte Administratoren routinemäßig über Kontingent- oder Dateiprüfungsereignisse benachrichtigen möchten, geben Sie unter Standardadministratorempfängerjede E-Mail-Adresse wie fileadmin@contoso.com ein. Verwenden Sie das Format „account@domain“, und verwenden Sie Semikolons zum Trennen mehrerer Konten.
Erstellen von Gruppen auf FILE1
So erstellen Sie Sicherheitsgruppen auf FILE1
Melden Sie sich bei FILE1 als „contoso\administrator“ mit dem folgenden Kennwort an: pass@word1.
Fügen Sie „NT AUTHORITY\Authenticated“-Benutzer zur Gruppe WinRMRemoteWMIUsers__ hinzu.
Erstellen von Dateien und Ordnern auf FILE1
Erstellen Sie ein neues NTFS-Volume auf FILE1, und erstellen Sie dann den folgenden Ordner: D:\Finance Documents.
Erstellen Sie die folgenden Dateien mit den angegebenen Details:
Finance Memo.docx: Fügen Sie etwas finanztechnischen Text in das Dokument ein. Beispiel: „Die Geschäftsregeln in Bezug darauf, wer auf Finanzdokumente zugreifen kann, haben sich geändert. Ausschließlich die Mitglieder der Gruppe 'FinanceExpert' können nun auf die Finanzdokumente zugreifen. Keine anderen Abteilungen oder Gruppen haben darauf Zugriff.“ Sie müssen die Auswirkung dieser Änderung bewerten, bevor Sie sie in Ihrer Umgebung implementieren. Stellen Sie sicher, dass in diesem Dokument in der Fußzeile jeder Seite „CONTOSO CONFIDENTIAL“ steht.
Request for Approval to Hire.docx: Erstellen Sie ein Formular in diesem Dokument, das Bewerberinformationen erfasst. Im Dokument müssen folgende Felder vorhanden sein: Name des Bewerbers, Sozialversicherungsnummer, Position, vorgeschlagenes Gehalt, Startdatum, Name des Vorgesetzten, Abteilung. Fügen Sie einen zusätzlichen Abschnitt in das Dokument ein, das über ein Formular für Unterschrift des Vorgesetzten, genehmigtes Gehalt, Bestätigung des Angebots und Status des Angebots verfügt. Aktivieren Sie das Dokument für die Rechteverwaltung.
Word Document1.docx: Fügen Sie diesem Dokument einige Testinhalte hinzu.
Word Document2.docx: Fügen Sie dem Dokument Testinhalte hinzu.
Workbook1.xlsx
Workbook2.xlsx
Erstellen Sie auf dem Desktop einen Ordner mit dem Namen „Reguläre Ausdrücke“. Erstellen Sie ein Textdokument unter dem Ordner mit dem Namen RegEx-SSN. Geben Sie den folgenden Inhalt in die Datei ein, und speichern und schließen Sie anschließend die Datei: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
Geben Sie den Ordner „D:\Finance Documents“ als „Finance Documents“ frei, und ermöglichen Sie, dass alle Benutzer über Lese-/Schreibzugriff auf die Freigabe verfügen.
Hinweis
Zentrale Zugriffsrichtlinien sind auf dem System oder Startvolume C: standardmäßig nicht aktiviert.
Installieren von Active Directory-Rechteverwaltungsdiensten
Fügen Sie die Active Directory-Rechteverwaltungsdienste (AD RMS) und alle erforderlichen Features über den Server-Manager hinzu. Wählen Sie alle Standardeinstellungen aus.
So installieren Sie Active Directory-Rechteverwaltungsdienste
Melden Sie sich an FILE1 als „CONTOSO\Administrator“ oder als ein Mitglied der Gruppe „Domänen-Admins“ an.
Wichtig
Damit die AD RMS-Serverrolle installiert werden kann, muss dem Installationskonto (in diesem Fall „CONTOSO\Administrator“) sowohl eine Mitgliedschaft auf die logische Administratorengruppe auf dem Servercomputer, auf dem AD RMS installiert wird, als auch eine Mitgliedschaft in der Gruppe „Organisations-Admins“ in Active Directory gewährt werden.
Klicken Sie im Server-Manager auf Rollen und Features hinzufügen. Der Assistent zum Hinzufügen von Rollen und Features erscheint.
Klicken Sie auf dem Bildschirm Vorbemerkungen auf Weiter.
Klicken Sie auf dem Bildschirm Installationstyp auswählen auf Rollen- und Feature-basierte Installation, und klicken Sie anschließend auf Weiter.
Klicken Sie auf dem Bildschirm Serverziele auswählen auf Weiter.
Aktivieren Sie auf dem Bildschirm Serverrollen auswählen das Kontrollkästchen neben Active Directory-Rechteverwaltungsdienste, und klicken Sie dann auf Weiter.
Klicken Sie im Dialogfeld Für Active Directory-Rechteverwaltungsdienste erforderliche Features hinzufügen? auf Features hinzufügen.
Klicken Sie auf dem Bildschirm Serverrollen auswählen auf Weiter.
Klicken Sie auf dem Bildschirm Zu installierende Features auswählen auf Weiter.
Klicken Sie auf dem Bildschirm Active Directory-Rechteverwaltungsdienste auf „Weiter“.
Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.
Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
Klicken Sie nach dem Abschluss der Installation auf der Seite Installationsfortschritt auf Zusätzliche Einstellungen konfigurieren. Der AD RMS-Konfigurations-Assistent wird angezeigt.
Klicken Sie auf dem Bildschirm AD RMS auf Weiter.
Wählen Sie AD RMS-Stammcluster erstellen auf dem Bildschirm AD RMS-Cluster aus, und klicken Sie dann auf Weiter.
Klicken Sie auf dem Bildschirm Konfigurationsdatenbank auf Interne Windows-Datenbank auf diesem Server verwenden, und klicken Sie dann auf Weiter.
Hinweis
Die Verwendung der internen Windows-Datenbank empfiehlt sich nur für Testumgebungen, da sie maximal einen Server im AD RMS-Cluster unterstützt. Produktionsbereitstellungen sollten einen separaten Datenbankserver verwenden.
Klicken Sie auf dem Bildschirm Dienstkonto in Domänenbenutzerkonto auf Angeben, und geben Sie dann den Benutzernamen (contoso\rms) und das Kennwort (pass@word1) an, und klicken Sie anschließend auf OK und dann auf Weiter.
Klicken Sie auf dem Bildschirm Kryptografiemodus auf Kryptografiemodus 2.
Klicken Sie auf dem Bildschirm Clusterschlüsselspeicher auf Weiter.
Geben Sie auf dem Bildschirm Clusterschlüsselkennwort in den Feldern Kennwort und Kennwort bestätigenpass@word1 ein, und klicken Sie dann auf Weiter.
Stellen Sie auf dem Bildschirm Clusterwebsite sicher, dass Standardwebsite ausgewählt ist, und klicken Sie dann auf Weiter.
Wählen Sie auf dem Bildschirm Clusteradresse die Option Unverschlüsselte Verbindung (http://) verwenden aus. Geben Sie FILE1.contoso.com in das Feld Vollqualifizierter Domänenname ein, und klicken Sie dann auf Weiter.
Akzeptieren Sie auf dem Bildschirm Name des lizenzgebenden Zertifikats den Standardnamen (FILE1) im Textfeld, und klicken Sie auf Weiter.
Wählen Sie auf dem Bildschirm Dienstverbindungspunkt registrieren die Option Dienstverbindungspunkt jetzt registrieren auf, und klicken Sie dann auf Weiter.
Klicken Sie auf dem Bildschirm Bestätigung auf Installieren.
Klicken Sie auf dem Bildschirm Ergebnisse auf Schließen, und klicken Sie dann auf Schließen im Bildschirm Installationsstatus. Melden Sie sich, sobald der Vorgang abgeschlossen ist, ab. Melden Sie sich anschließend als „contoso\rms“ mit dem angegebenen Kennwort (pass@word1) an.
Starten Sie die AD RMS-Konsole, und wechseln Sie zu Vorlagen für Benutzerrechterichtlinien.
Klicken Sie zum Öffnen der AD RMS-Konsole in Server-Manager in der Konsolenstruktur auf Lokaler Server. Klicken Sie anschließend auf Extras und dann auf Active Directory-Rechteverwaltungsdienste.
Klicken Sie auf Verteilte Vorlage für Benutzerrechterichtlinien erstellen im rechten Bereich, klicken Sie auf Hinzufügen, und wählen Sie folgende Informationen aus.
Sprache: Englisch (USA)
Name: Contoso Finance Admin Only
Beschreibung: Contoso Finance Admin Only
Klicken Sie auf Hinzufügen und dann auf Weiter.
Klicken Sie im Abschnitt „Benutzer und Rechte“ auf Benutzer und Rechte, klicken Sie auf Hinzufügen, geben Sie financeadmin@contoso.com ein, und klicken Sie dann auf OK.
Wählen Sie Vollzugriff aus, und lassen Sie Besitzer (Autor) permanenten Vollzugriff gewähren ausgewählt.
Klicken Sie sich durch die verbleibenden Registerkarten ohne Änderungen, und klicken Sie dann auf Beenden. Melden Sie sich als %%amp;quot;CONTOSO\Administrator%%amp;quot; an.
Wechseln Sie zum Ordner „C:\inetpub\wwwroot\_wmcs\certification“, wählen Sie die Datei „ServerCertification.asmx“ aus, und fügen Sie „Authentifizierte Benutzer“ hinzu, um über Lese-/Schreibzugriff auf die Datei zu verfügen.
Öffnen Sie Windows PowerShell, und führen Sie
Get-FsrmRmsTemplate
aus. Stellen Sie sicher, dass Sie die von Ihnen in den vorherigen Schritten erstellte RMS-Vorlage in dieser Prozedur mit diesem Befehl anzeigen können.
Wichtig
Wenn Sie möchten, dass Ihre Dateiserver unmittelbar geändert werden, sodass Sie sie testen können, müssen Sie Folgendes vornehmen:
Öffnen Sie auf dem Dateiserver „FILE1“ eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
Replizieren Sie auf dem Domänencontroller (DC1) Active Directory.
Weitere Informationen zu den Schritten für das Erzwingen der Replikation von Active Directory finden Sie unter Active Directory Replication.
Anstelle den Assistenten zum Hinzufügen von Rollen und Features im Server-Manager zu verwenden, können Sie alternativ die Windows PowerShell zum Installieren und Konfigurieren der AD RMS-Serverrolle analog zur Darstellung im folgenden Vorgang verwenden.
So installieren und konfigurieren Sie einen AD RMS-Cluster in Windows Server 2012 mithilfe der Windows PowerShell
Melden Sie sich als „CONTOSO\Administrator“ mit dem folgenden Kennwort an: pass@word1.
Wichtig
Damit die AD RMS-Serverrolle installiert werden kann, muss dem Installationskonto (in diesem Fall „CONTOSO\Administrator“) sowohl eine Mitgliedschaft auf die logische Administratorengruppe auf dem Servercomputer, auf dem AD RMS installiert wird, als auch eine Mitgliedschaft in der Gruppe „Organisations-Admins“ in Active Directory gewährt werden.
Klicken Sie auf dem Server-Desktop mit der rechten Maustaste auf das Windows PowerShell-Symbol auf der Taskleiste, und wählen Sie Als Administrator ausführen aus, um eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten zu öffnen.
Geben Sie zum Verwenden von Server-Manager-Cmdlets für das Installieren der AD RMS-Serverrolle Folgendes ein:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools
Erstellen Sie den Windows PowerShell-Datenträger, um den AD RMS-Server, den Sie installieren, darzustellen.
Geben Sie beispielsweise zum Erstellen eines Windows PowerShell-Datenträgers mit dem Namen „RC“ zum Installieren und Konfigurieren des ersten Servers in einem AD RMS-Stammcluster Folgendes ein:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster
Legen Sie Eigenschaften auf Objekte im Datenträgernamespace fest, die erforderliche Konfigurationseinstellungen widerspiegeln.
Geben Sie beispielsweise zum Festlegen des AD RMS-Dienstkontos an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
$svcacct = Get-Credential
Wenn das Dialogfeld „Windows-Sicherheit“ angezeigt wird, geben Sie den AD RMS-Dienstkonto-Domänenbenutzernamen „CONTOSO\RMS“ sowie das zugehörige Kennwort ein.
Geben Sie als Nächstes Folgendes ein, um das AD RMS-Dienstkonto den AD RMS-Clustereinstellungen zuzuweisen:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct
Geben Sie anschließend an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um den AD RMS-Server so einzustellen, dass er die interne Windows-Datenbank verwendet:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true
Geben Sie danach an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um das Clusterschlüsselkennwort in einer Variablen sicher zu speichern:
$password = Read-Host -AsSecureString -Prompt "Password:"
Geben Sie das Clusterschlüsselkennwort ein, und drücken Sie dann die EINGABETASTE.
Geben Sie als Nächstes an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um das Kennwort zu Ihrer AD RMS-Installation zuzuweisen:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password
Geben Sie anschließend zum Festlegen der AD RMS-Clusteradresse an der Windows PowerShell-Eingabeaufforderung Folgendes ein:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"
Geben Sie als Nächstes an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um den SLC-Namen zu Ihrer AD RMS-Installation zuzuweisen:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"
Geben Sie dann an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um den Dienstverbindungspunkt für den AD RMS-Cluster festzulegen:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true
Führen Sie das Cmdlet Install-ADRMS aus. Zusätzlich zum Installieren der AD RMS-Serverrolle und zur Konfiguration des Servers installiert dieses Cmdlet auch andere Features, die ggf. für AD RMS erforderlich sind.
Geben Sie Folgendes ein, um beispielsweise den Namen „RC“ des Windows PowerShell-Datenträgers zu ändern und um AD RMS zu installieren bzw. zu konfigurieren:
Set-Location RC:\ Install-ADRMS -Path.
Geben Sie „Y“ ein, wenn Sie vom Cmdlet aufgefordert werden, den Start der Installation zu bestätigen.
Melden Sie sich als „CONTOSO\Administrator“ ab, und melden Sie sich als „CONTOSO\RMS“ mithilfe des angegebenen Kennworts („pass@word1“) an.
Wichtig
Damit der AD RMS-Server das Konto verwalten kann, auf dem Sie angemeldet sind und zum Verwalten des Servers (in diesem Fall „CONTOSO\RMS“) verwenden, muss ihm die Mitgliedschaft in der lokalen Administratorgruppe auf dem AD RMS-Servercomputer sowie die Mitgliedschaft in der Gruppe „Organisations-Admins“ in Active Directory gewährt werden.
Klicken Sie auf dem Server-Desktop mit der rechten Maustaste auf das Windows PowerShell-Symbol auf der Taskleiste, und wählen Sie Als Administrator ausführen aus, um eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten zu öffnen.
Erstellen Sie den Windows PowerShell-Datenträger, um den AD RMS-Server, den Sie konfigurieren, darzustellen.
Geben Sie beispielsweise zum Erstellen eines Windows PowerShell-Datenträgers mit dem Namen „RC“ zum Konfigurieren des AD RMS-Stammclusters Folgendes ein:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope Global
Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um eine neue Rechtevorlage für den Contoso-Administrator zu erstellen und ihr Benutzerrechte mit Vollzugriff in Ihrer AD RMS-Installation zuzuweisen:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')
So stellen Sie sicher, dass Sie die neue Rechtevorlage für den Contoso-Finanzadministrator an der Windows PowerShell-Eingabeaufforderung anzeigen können:
Get-FsrmRmsTemplate
Prüfen Sie die Ausgabe dieses Cmdlets, um sicherzustellen, dass die von Ihnen im vorherigen Schritt erstellte RMS-Vorlage vorhanden ist.
Erstellen des E-Mail-Servers (SRV1)
SRV1 ist der SMTP-/POP3-E-Mail-Server. Sie müssen ihn einrichten, sodass Sie E-Mail-Benachrichtigungen als Teil des Szenarios „Unterstützung nach 'Zugriff verweigert'“ senden können.
Konfigurieren Sie Microsoft Exchange Server auf diesem Computer. Weitere Informationen finden Sie unter How to Install Exchange Server.
Erstellen des virtuellen Clientcomputers (CLIENT1)
So erstellen Sie den virtuellen Clientcomputer
Verbinden Sie „CLIENT1“ mit „ID_AD_Network“.
Installieren Sie Microsoft Office 2010.
Melden Sie sich als „Contoso\Administrator“ an, und verwenden Sie die folgenden Informationen zum Konfigurieren von Microsoft Outlook.
Ihr Name: Dateiadministrator
E-Mail-Adresse: fileadmin@contoso.com
Kontotyp: POP3
Eingehender E-Mail-Server: Statische IP-Adresse von SRV1
Ausgehender E-Mail-Server: Statische IP-Adresse von SRV1
Benutzername: fileadmin@contoso.com
Kennwort speichern: Wählen Sie
Erstellen Sie eine Verknüpfung zu Outlook auf dem Desktop „contoso\administrator“.
Öffnen Sie Outlook, und wählen Sie sämtliche „erstmals gestarteten“ Nachrichten aus.
Löschen Sie jede generierte Testnachricht.
Erstellen Sie eine neue Verknüpfung auf dem Desktop für alle Benutzer auf dem virtuellen Clientcomputer, die auf „\\FILE1\Finance Documents“ verweist.
Nehmen Sie ggf. einen Neustart vor.
Aktivieren Sie „Unterstützung nach 'Zugriff verweigert'“ auf dem virtuellen Clientcomputer.
Öffnen Sie den Registrierungs-Editor, und wechseln Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Legen Sie EnableShellExecuteFileStreamCheck auf 1 fest.
Wert: DWORD
Szenario für die Laboreinrichtung für das gesamtstrukturübergreifende Bereitstellen von Ansprüchen
Erstellen eines virtuellen Computers für DC2
Erstellen Sie einen virtuellen Computer aus dem Windows Server 2012-ISO-Image.
Erstellen Sie den virtuellen Computer mit dem Namen „DC2“.
Verbinden Sie den virtuellen Computer mit „ID_AD_Network“.
Wichtig
Das Verknüpfen von virtuellen Computern mit einer Domäne und das gesamtstrukturübergreifende Bereitstellen von Anspruchstypen erfordert, dass die virtuellen Computer die vollqualifizierten Domänennamen der relevanten Domänen auflösen können. Sie müssen die DNS-Einstellungen auf den virtuellen Computern möglicherweise manuell konfigurieren, um dies umzusetzen. Weitere Informationen finden Sie unter Configuring a virtual network.
Sämtliche virtuelle Computerimages (Server und Clients) müssen erneut konfiguriert werden, um eine statische IP-Version 4-Adresse (IPv4) und DNS-Clienteinstellungen (Domain Name System) zu verwenden. Weitere Informationen finden Sie unter Configure a DNS Client for Static IP Address.
Einrichten einer neuen Gesamtstruktur mit dem Namen „adatum.com“
So installieren Sie Active Directory-Domänendienste
Verbinden Sie den virtuellen Computer mit „ID_AD_Network“. Melden Sie sich bei DC2 als Administrator mit dem Kennwort Pass@word1 an.
Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
Klicken Sie auf der Seite Vorbereitung auf Weiter.
Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.
Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, klicken Sie auf die Namen des Servers, auf dem Sie Active Directory-Domänendienste (AD DS) installieren möchten, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Domänendienste. Klicken Sie im Dialogfeld Assistent zum Hinzufügen von Rollen und Features auf Features hinzufügen, und klicken Sie auf Weiter.
Klicken Sie auf der Seite Features auswählen auf Weiter.
Lesen Sie die Informationen auf der Seite AD DS, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Bestätigung auf Installieren. Die Statusanzeige „Featureinstallation“ auf der Seite „Ergebnisse“ zeigt an, dass die Rolle installiert wird.
Stellen Sie auf der Seite Ergebnisse sicher, dass die Installation erfolgreich war. Klicken Sie anschließend auf das Warnsymbol mit einem Ausrufezeichen in der oberen rechten Ecke des Bildschirms neben Verwalten. Klicken Sie in der Liste „Aufgaben“ auf die Verknüpfung Server zu einem Domänencontroller heraufstufen.
Wichtig
Wenn Sie den Installations-Assistenten zu diesem Zeitpunkt schließen und nicht auf Server zu einem Domänencontroller heraufstufen klicken, können Sie die AD DS-Installation fortsetzen, indem Sie auf Aufgaben im Server-Manager klicken.
Klicken Sie auf der Seite Bereitstellungskonfiguration auf Neue Gesamtstruktur hinzufügen, geben Sie den Namen der Stammdomäne adatum.com ein, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Domänencontrolleroptionen die Domänen- und Gesamtstruktur-Funktionsebenen wie Windows Server 2012 aus, geben Sie das DSRM-Kennwort pass@word1 ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite DNS-Optionen auf Weiter.
Klicken Sie auf der Seite Zusätzliche Optionen auf Weiter.
Geben Sie auf der Seite Pfade die Speicherorte für die Active Directory-Datenbanken, -Protokolldateien und den Ordner „SYSVOL“ an (oder übernehmen Sie die Standardspeicherorte), und klicken Sie dann auf Weiter.
Bestätigen Sie auf der Seite Optionen prüfen die Einstellungen, und klicken Sie dann auf Weiter.
Bestätigen Sie auf der Seite Voraussetzungsüberprüfung, dass die Validierung der Voraussetzungen abgeschlossen ist, und klicken Sie dann auf Installieren.
Stellen Sie auf der Seite Ergebnisse sicher, dass der Server erfolgreich als Domänencontroller konfiguriert wurde, und klicken Sie dann auf Schließen.
Starten Sie den Server zum Abschließen der AD DS-Installation neu. (Dies erfolgt standardmäßig automatisch.)
Wichtig
Führen Sie Folgendes aus, um sicherzustellen, dass das Netzwerk nach der Einrichtung beider Gesamtstrukturen ordnungsgemäß konfiguriert ist:
- Melden Sie sich bei „adatum.com“ als „adatum\administrator“ an. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie nslookup contoso.com ein, und drücken Sie dann die EINGABETASTE.
- Melden Sie sich bei „contoso.com“ als „contoso\administrator“ an. Öffnen Sie ein Eingabeaufforderungsfenster, geben Sie nslookup adatum.com ein, und drücken Sie dann die EINGABETASTE.
Wenn diese Befehle fehlerfrei ausgeführt werden, können die Gesamtstrukturen miteinander kommunizieren. Weitere Informationen über nslookup-Fehler finden Sie im Problembehandlungsabschnitt im Thema Using NSlookup.exe.
Festlegen von „contoso.com“ als vertrauenswürdige Gesamtstruktur auf „adatum.com“
In diesem Schritt erstellen Sie eine Vertrauensstellung zwischen der Adatum Corporation- und der Contoso, Ltd.-Website.
So legen Sie Contoso als eine vertrauenswürdige Gesamtstruktur auf Adatum fest
Melden Sie sich bei „DC2“ als Administrator an. Geben Sie domain.msc auf dem Startbildschirm ein.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf „adatum.com“, und klicken Sie anschließend auf „Eigenschaften“.
Klicken Sie auf die Registerkarte Vertrauensstellungen, klicken Sie auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Vertrauensstellungsnamecontoso.com in das Namensfeld „DNS-Server (Domain Name System)“ ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Vertrauenstyp auf Gesamtstruktur-Vertrauensstellung, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Richtung der Vertrauensstellung auf Bidirektional.
Klicken Sie auf der Seite Vertrauensstellungsseiten auf Diese und die angegebene Domäne, und klicken Sie dann auf Weiter.
Folgen Sie den weiteren Anweisungen des Assistenten.
Erstellen zusätzlicher Benutzer in der Adatum-Gesamtstruktur
Erstellen Sie den Benutzer Jeff Low mit dem Kennwort pass@word1, und weisen Sie das „company“-Attribut mit dem Wert Adatum zu.
So erstellen Sie einen Benutzer mit dem „Company“-Attribut
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und fügen Sie den folgenden Code ein:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Erstellen des Anspruchstyps „Company“ auf „adataum.com“
So erstellen Sie einen Anspruchstyp mithilfe der Windows PowerShell
Melden Sie sich bei „adatum.com“ als ein Administrator an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie den folgenden Code ein:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Aktivieren der Ressourceneigenschaft „Company“ auf „contoso.com“
So aktivieren Sie die Ressourceneigenschaft „Company“ auf „contoso.com“
Melden Sie sich bei „contoso.com“ als ein Administrator an.
Klicken Sie im Server-Manager auf Extras und dann auf Active Directory-Verwaltungscenter.
Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht. Klicken Sie im linken Bereich auf Dynamische Zugriffssteuerung, und doppelklicken Sie dann auf Ressourceneigenschaften.
Wählen Sie Unternehmen aus der Liste Ressourceneigenschaften aus, und klicken Sie mit der rechten Maustaste auf Eigenschaften, und wählen Sie die Option aus. Klicken Sie im Abschnitt Vorgeschlagene Werte auf Hinzufügen , um die vorgeschlagenen Werte „Contoso“ und „Adatum“ hinzuzufügen, und klicken Sie dann zweifach auf OK .
Wählen Sie Unternehmen aus der Liste Ressourceneigenschaften aus, und klicken Sie mit der rechten Maustaste auf Aktivieren, und wählen Sie die Option aus.
Aktivieren der dynamischen Zugriffssteuerung auf „adatum.com“
So aktivieren Sie die dynamische Zugriffssteuerung für „adatum.com“
Melden Sie sich bei „adatum.com“ als ein Administrator an.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf adatum.com, und doppelklicken Sie anschließend auf Domänencontroller.
Klicken Sie mit der rechten Maustaste auf Standarddomänencontroller-Richtlinie, und wählen Sie Bearbeiten aus.
Doppelklicken Sie im Fenster „Gruppenrichtlinienverwaltungs-Editor“ auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Administrative Vorlagen, doppelklicken Sie auf System, und doppelklicken Sie dann auf KDC.
Doppelklicken Sie auf die Option für Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring, und wählen Sie die Option nebenAktiviert aus. Sie müssen diese Einstellung aktivieren, um „Zentrale Zugriffsrichtlinien“ verwenden zu können.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
gpupdate /force
Erstellen des Anspruchstyps „Company“ auf „contoso.com“
So erstellen Sie einen Anspruchstyp mithilfe der Windows PowerShell
Melden Sie sich bei „contoso.com“ als ein Administrator an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie dann den folgenden Code ein:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Erstellen der zentralen Zugriffsregel
So erstellen Sie eine zentrale Zugriffsregel
Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht. Klicken Sie im linken Bereich auf Dynamische Zugriffssteuerung, und klicken Sie dann auf Zentrale Zugriffsregeln.
Klicken Sie mit der rechten Maustaste auf Zentrale Zugriffsregeln, klicken Sie auf Neu und dann auf Zentrale Zugriffsregel.
Geben Sie in das Feld NameAdatumEmployeeAccessRule ein.
Wählen Sie im Abschnitt Berechtigungen die Option Folgende Berechtigungen als aktuelle Berechtigungen verwenden aus, klicken Sie auf Bearbeiten und dann auf Hinzufügen. Klicken Sie auf die Verknüpfung Prinzipal auswählen geben Sie Authentifizierte Benutzer ein, und klicken Sie dann auf OK.
Klicken Sie im Dialogfeld Berechtigungseintrag für Berechtigungen auf Bedingung hinzufügen, und geben Sie die folgenden Bedingungen ein: [User] [Company] [Equals] [Value] [Adatum]. Die Berechtigungen sollten ändern, lesen und ausführen, lesen und schreiben lauten.
Klicke auf OK.
Klicken Sie dreimal auf OK zum Abschließen des Vorgangs, und kehren Sie zum Active Directory-Verwaltungscenter zurück.
Gleichwertige Windows PowerShell-Befehle
Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Erstellen der zentralen Zugriffsrichtlinie
So erstellen Sie eine zentrale Zugriffsrichtlinie
Melden Sie sich bei „contoso.com“ als ein Administrator an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in der Windows PowerShell, und fügen Sie dann den folgenden Code ein:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Veröffentlichen der neuen Richtlinie über die Gruppenrichtlinie
So wenden Sie die zentrale Zugriffsrichtlinie dateiserverübergreifend durch die Gruppenrichtlinie an
Geben Sie auf der Startseite Verwaltung ein, und klicken Sie auf der Suchleiste auf Einstellungen. Klicken Sie in den Ergebnissen für Einstellungen auf Verwaltung. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole im Ordner Verwaltung.
Tipp
Wenn die Einstellung Verwaltungstools anzeigen deaktiviert ist, werden der Ordner „Verwaltung“ und sein Inhalt nicht in den Ergebnissen für Einstellungen angezeigt.
Klicken Sie mit der rechten Maustaste auf die Domäne „contoso.com“, und klicken Sie auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
Geben Sie einen beschreibenden Namen für das Gruppenrichtlinienobjekt wie AdatumAccessGPO ein, und klicken Sie dann auf OK.
So wenden Sie die zentrale Zugriffsrichtlinie auf den Dateiserver durch die Gruppenrichtlinie an
Geben Sie Gruppenrichtlinienverwaltung auf dem Startbildschirm im Feld Suche ein. Öffnen Sie Gruppenrichtlinienverwaltung im Ordner „Verwaltung“.
Tipp
Wenn die Einstellung Verwaltungstools anzeigen deaktiviert ist, werden der Ordner „Verwaltung“ und sein Inhalt nicht in den Ergebnissen für Einstellungen angezeigt.
Navigieren Sie zu und wählen Sie Contoso wie folgt aus: „Group Policy Management\Forest: contoso.com\Domains\contoso.com“.
Klicken Sie mit der rechten Maustaste auf die Richtlinie AdatumAccessGPO, und wählen Sie Bearbeiten aus.
Klicken Sie im Gruppenrichtlinienverwaltungs-Editor auf Computerkonfiguration, erweitern Sie Richtlinien, erweitern Sie Windows-Einstellungen, und klicken Sie dann auf Sicherheitseinstellungen.
Erweitern Sie Dateisystem, klicken Sie mit der rechten Maustaste auf Zentrale Zugriffsrichtlinie, und klicken Sie dann auf Zentrale Zugriffsrichtlinien verwalten.
Klicken Sie im Dialogfeld Konfiguration der zentralen Zugriffsrichtlinien auf Hinzufügen, wählen Sie Adatum Only Access Policy aus, und klicken Sie dann auf OK.
Schließen Sie den Gruppenrichtlinienverwaltungs-Editor. Sie haben nun der Gruppenrichtlinie die zentrale Zugriffsrichtlinie hinzugefügt.
Erstellen des Ordners „Ergebnis“ auf dem Dateiserver
Erstellen Sie ein neues NTFS-Volume auf „FILE1“, und erstellen Sie den folgenden Ordner: D:\Ergebnis.
Hinweis
Zentrale Zugriffsrichtlinien sind auf dem System oder Startvolume C: standardmäßig nicht aktiviert.
Legen Sie die Klassifizierung fest, und wenden Sie die zentrale Zugriffsrichtlinie auf den Ordner „Ergebnis“ an.
So weisen Sie die zentrale Zugriffsrichtlinie auf dem Dateiserver zu
Stellen Sie im Hyper-V-Manager eine Verbindung mit dem Server „FILE1“ her. Melden Sie sich beim Server unter Verwendung von „Contoso\Administrator“ mit dem Kennwort pass@word1 an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie Folgendes ein: gpupdate /force. Dadurch wird sichergestellt, dass Ihre Gruppenrichtlinienänderungen auf Ihrem Server wirksam werden.
Sie müssen auch die globalen Ressourceneigenschaften in Active Directory aktualisieren. Öffnen Sie Windows PowerShell, geben Sie
Update-FSRMClassificationpropertyDefinition
ein, und drücken Sie dann die EINGABETASTE. Schließen Sie Windows PowerShell.Öffnen Sie den Windows-Explorer, und wechseln Sie zu „D:\ERGEBNIS“. Klicken Sie mit der rechten Maustaste auf den Ordner Ergebnis, und klicken Sie auf Eigenschaften.
Klicken Sie auf die Registerkarte Klassifizierung. Wählen Sie Company und dann Adatum im Feld Wert aus.
Klicken Sie auf Ändern, wählen Sie Adatum Only Access Policy aus dem Dropdownmenü aus, und klicken Sie dann auf Übernehmen.
Klicken Sie auf die Registerkarte Sicherheit, dann auf Erweitert und anschließend auf die Registerkarte Zentrale Richtlinie. Es sollte AdatumEmployeeAccessRule aufgelistet werden. Sie können das Element erweitern, um alle von Ihnen beim Erstellen der Regel in Active Directory festgelegten Berechtigungen anzuzeigen.
Klicken Sie auf OK, um zum Windows-Explorer zurückzukehren.