Bereitstellen von Ansprüchen über Gesamtstrukturen (Demonstrationsschritte)
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
In diesem Thema behandeln wir ein grundlegendes Szenario, das erklärt, wie Sie Anspruchstransformationen zwischen vertrauenden und vertrauenswürdigen Gesamtstrukturen konfigurieren. Sie erfahren, wie Richtlinienobjekte für die Anspruchstransformation erstellt und mit der Vertrauensstellung in der vertrauenden Gesamtstruktur und der vertrauenswürdigen Gesamtstruktur verknüpft werden können. Anschließend überprüfen Sie das Szenario.
Übersicht über das Szenario
Die Adatum Corporation erbringt Finanzdienstleistungen für Contoso, Ltd. Jedes Quartal kopieren die Buchhalter von Adatum ihre Kalkulationstabellen in einen Ordner auf einem Dateiserver, der sich bei Contoso, Ltd. befindet. Es wurde eine bidirektionale Vertrauensstellung zwischen Contoso und Adatum eingerichtet. Contoso, Ltd. möchte die Freigabe schützen, damit nur Adatum-Mitarbeiter auf die Remotefreigabe zugreifen können.
Szenario:
Einrichten der Anspruchstransformation in der vertrauenswürdigen Gesamtstruktur (Adatum)
Einrichten der Anspruchstransformation in der vertrauenden Gesamtstruktur (Contoso)
Einrichten der Voraussetzungen und der Testumgebung
Die Testkonfiguration umfasst das Einrichten von zwei Gesamtstrukturen: Adatum Corporation und Contoso, Ltd sowie das Einrichten einer bidirektionalen Vertrauensstellung zwischen Contoso und Adatum. „adatum.com“ ist die vertrauenswürdige Gesamtstruktur und „contoso.com“ ist die vertrauende Gesamtstruktur.
Das Szenario zur Anspruchstransformation veranschaulicht die Transformation eines Anspruchs in der vertrauenswürdigen Gesamtstruktur zu einem Anspruch in der vertrauenden Gesamtstruktur. Dazu müssen Sie eine neue Gesamtstruktur mit dem Namen „adatum.com“ einrichten und die Gesamtstruktur mit einem Testbenutzer mit dem Unternehmenswert „Adatum“ auffüllen. Sie müssen dann eine bidirektionale Vertrauensstellung zwischen contoso.com und adatum.com einrichten.
Wichtig
Wenn Sie die Gesamtstrukturen von Contoso und Adatum einrichten, müssen Sie sicherstellen, dass sich beide Stammdomänen auf der Domänenfunktionsebene von Windows Server 2012 befinden, damit die Anspruchstransformation funktioniert.
Sie müssen Folgendes für das Labor einrichten. Diese Verfahren werden in Anhang B: Einrichten der Testumgebung ausführlich erläutert.
Sie müssen die folgenden Verfahren implementieren, um das Labor für dieses Szenario einzurichten:
Festlegen von Adatum als vertrauenswürdige Gesamtstruktur für Contoso
Veröffentlichen der neuen Richtlinie über die Gruppenrichtlinie
Festlegen der Klassifizierung und anwenden der zentralen Zugriffsrichtlinie auf den neuen Ordner
Verwenden Sie die folgenden Informationen, um dieses Szenario zu vervollständigen:
| Objekte | Details |
|---|---|
| Benutzer | Jeff Low, Contoso |
| Benutzeransprüche für Adatum und Contoso | ID: ad://ext/Company:ContosoAdatum, Quellattribut: Company Vorgeschlagene Werte: Contoso, Adatum Wichtig: Sie müssen die ID für den Anspruchstyp „Company“ sowohl bei Contoso als auch bei Adatum gleich festlegen, damit die Anspruchstransformation funktioniert. |
| Zentrale Zugriffsregel für Contoso | AdatumEmployeeAccessRule |
| Zentrale Zugriffsrichtlinie für Contoso | Zugriffsrichtlinie: Nur Adatum |
| Richtlinien für die Anspruchstransformation für Adatum und Contoso | DenyAllExcept Company |
| Dateiordner für Contoso | D:\EARNINGS |
Einrichten der Anspruchstransformation in der vertrauenswürdigen Gesamtstruktur (Adatum)
In diesem Schritt erstellen Sie eine Transformationsrichtlinie in Adatum, um alle Ansprüche mit Ausnahme von „Company“ an Contoso zu übergeben.
Das Active Directory-Modul für Windows PowerShell bietet das Argument DenyAllExcept, mit dem alles außer den angegebenen Ansprüchen in der Richtlinie für die Transformation verworfen wird.
Um eine Anspruchstransformation festzulegen, müssen Sie eine Richtlinie für die Anspruchstransformation erstellen und diese mit den vertrauenswürdigen und vertrauenden Gesamtstrukturen verknüpfen.
Erstellen einer Richtlinie für die Anspruchstransformation in Adatum
So erstellen Sie eine Transformationsrichtlinie für Adatum, um alle Ansprüche mit Ausnahme von „Company“ zu verweigern.
Melden Sie sich am Domänencontroller adatum.com als Administrator mit dem Kennwort pass@word1 an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Festlegen eines Anspruchstransformationslinks auf das Domänenobjekt der Vertrauensstellung von Adatum
In diesem Schritt wenden Sie die neu erstellte Richtlinie für die Anspruchstransformation für das Domänenobjekt der Vertrauensstellung von Adatum für Contoso an.
So wenden Sie die Richtlinie für die Anspruchstransformation an
Melden Sie sich am Domänencontroller adatum.com als Administrator mit dem Kennwort pass@word1 an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Einrichten der Anspruchstransformation in der vertrauenden Gesamtstruktur (Contoso)
In diesem Schritt erstellen Sie eine Richtlinie für die Anspruchstransformation für Contoso (der vertrauenden Gesamtstruktur), um alle Ansprüche außer „Company“ zu verweigern. Sie müssen eine Richtlinie für die Anspruchstransformation erstellen und sie mit der Vertrauensstellung der Gesamtstruktur verknüpfen.
Erstellen einer Richtlinie für die Anspruchstransformation in Contoso
So erstellen Sie eine Transformationsrichtlinie für Adatum, um alle Ansprüche mit Ausnahme von „Company“ zu verweigern.
Melden Sie sich am Domänencontroller contoso.com als Administrator mit dem Kennwort pass@word1 an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Festlegen eines Anspruchstransformationslinks auf das Domänenobjekt der Vertrauensstellung von Contoso
In diesem Schritt wenden Sie die neu erstellte Richtlinie zur Anspruchstransformation auf das Domänenobjekt der contoso.com-Vertrauensstellung für Adatum an, um die Weiterleitung von „Company“ an contoso.com zu ermöglichen. Das Domänenobjekt der Vertrauensstellung heißt „adatum.com“.
So legen Sie die Richtlinie für die Anspruchstransformation fest
Melden Sie sich am Domänencontroller contoso.com als Administrator mit dem Kennwort pass@word1 an.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Überprüfen des Szenarios
In diesem Schritt versuchen Sie, auf den Ordner D:\EARNINGS zuzugreifen, der auf dem Dateiserver FILE1 festgelegt wurde, um zu überprüfen, ob der Benutzer Zugriff auf den freigegebenen Ordner hat.
So stellen Sie sicher, dass der Adatum-Benutzer auf den freigegebenen Ordner zugreifen kann
Melden Sie sich auf dem Clientcomputer, CLIENT1, als Jeff Low mit dem Kennwort pass@word1 an.
Navigieren Sie zum Ordner \\FILE1.contoso.com\Earnings.
Jeff Low sollte in der Lage sein, auf den Ordner zuzugreifen.
Zusätzliche Szenarien für Richtlinien zur Anspruchstransformation
Nachfolgend finden Sie eine Liste zusätzlicher allgemeiner Fälle für die Anspruchstransformation.
| Szenario | Richtlinie |
|---|---|
| Alle Ansprüche zulassen, die von Adatum stammen, um zu Contoso Adatum zu gelangen | Code: New-ADClaimTransformPolicy ` -Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche zuzulassen" ` -Name:"AllowAllClaimsPolicy" ` -AllowAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
| Alle Ansprüche verweigern, die von Adatum stammen, um zu Contoso Adatum zu gelangen | Code: New-ADClaimTransformPolicy ` -Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche zu verweigern" ` -Name:"DenyAllClaimsPolicy" ` -DenyAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"DenyAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com"` |
| Alle Ansprüche zulassen, die von Adatum stammen, außer „Company“ und „Department“, um zu Contoso Adatum zu gelangen | Code - New-ADClaimTransformationPolicy ` -Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche außer Company und Department zuzulassen" ` -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -AllowAllExcept:company,department ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
Siehe auch
Eine Liste aller Windows PowerShell-Cmdlets, die für die Anspruchstransformation verfügbar sind, finden Sie in der Cmdlet-Referenz für Active Directory PowerShell.
Informationen zu erweiterten Aufgaben, die den Export und Import von DAC-Konfigurationsinformationen zwischen zwei Gesamtstrukturen umfassen, finden Sie in der PowerShell-Referenz für die dynamische Zugriffssteuerung.
Sprache zum Schreiben von Regeln für die Transformation von Ansprüchen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für