Freigeben über

Erstellen einer Regel zum Zulassen oder Verweigern von Benutzern basierend auf einem eingehenden Anspruch

In Windows Server 2016 können Sie eine Zugriffssteuerungsrichtlinie verwenden, um eine Regel zu erstellen, mit der Benutzer basierend auf einem eingehenden Anspruch zugelassen oder verweigert werden. In Windows Server 2012 R2 können Sie mithilfe der Vorlage "Berechtigen oder Benutzer basierend auf einem eingehenden Anspruch verweigern" in Active Directory Federation Services (AD FS) eine Autorisierungsregel erstellen, die dem Benutzer basierend auf dem Typ und dem Wert eines eingehenden Anspruchs Zugriff auf die vertrauende Seite gewähren oder verweigern kann.

Sie können dies beispielsweise verwenden, um eine Regel zu erstellen, mit der nur Benutzer mit einem Gruppenanspruch mit dem Wert "Domänenadministratoren" auf die vertrauende Seite zugreifen können. Wenn Sie allen Benutzern den Zugriff auf die vertrauende Seite gestatten möchten, verwenden Sie je nach Ihrer Windows Server-Version die Richtlinie für die Zugriffssteuerung "Alle Zulassen" oder die Regelvorlage "Alle Benutzer zulassen ". Benutzern, denen der Zugriff auf die vertrauende Seite über den Verbunddienst erlaubt wird, kann der Dienst durch die vertrauende Seite dennoch verweigert werden.

Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Zulassen von Benutzern basierend auf einem eingehenden Anspruch unter Windows Server 2016

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Zugriffssteuerungsrichtlinien. Screenshot, das die Zugriffssteuerungsrichtlinien in der Konsolenstruktur hervorhebt.

  3. Klicken Sie mit der rechten Maustaste, und wählen Sie " Zugriffssteuerungsrichtlinie hinzufügen" aus. Screenshot, der die Menüoption

  4. Geben Sie im Namensfeld einen Namen für Ihre Richtlinie ein, eine Beschreibung, und klicken Sie auf "Hinzufügen". Screenshot, der zeigt, wo Sie eine Zugriffssteuerungsrichtlinie hinzufügen, um Benutzern basierend auf einem eingehenden Anspruch unter Windows Server 2016 Zugriff zu gewähren, wenn Sie eine Regel erstellen.

  5. Setzen Sie im Regel-Editor unter Benutzern ein Häkchen bei bestimmten Ansprüchen in der Anforderung und klicken Sie unten auf das unterstrichene spezifische. Screenshot: Position zum Auswählen des unterstrichenen Worts „bestimmten“

  6. Klicken Sie auf dem Bildschirm Ansprüche auswählen auf das Optionsfeld Ansprüche, wählen Sie den Anspruchstyp, den Operator und den Anspruchswert aus, und klicken Sie dann auf OK. Screenshot, der zeigt, wo die Option

  7. Klicken Sie im Regel-Editor auf "OK". Klicken Sie auf dem Bildschirm " Zugriffssteuerungsrichtlinie hinzufügen " auf "OK".

  8. Klicken Sie in der Konsolenstruktur der AD FS-Verwaltung unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot: Position der Option „Vertrauensstellungen der vertrauenden Seite“

  9. Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, auf die Sie Zugriff gewähren möchten, und wählen Sie "Zugriffssteuerungsrichtlinie bearbeiten" aus. Screenshot, der zeigt, wo die Menüoption

  10. Wählen Sie in der Zugriffssteuerungsrichtlinie Ihre Richtlinie aus, und klicken Sie dann auf "Übernehmen " und " OK". Screenshot: Position zum Auswählen von „Übernehmen“ und „OK“

So erstellen Sie eine Regel, um basierend auf einem eingehenden Anspruch den Zugriff für Benutzer unter Windows Server 2016 zu verweigern.

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Zugriffssteuerungsrichtlinien. Screenshot, der zeigt, wo Sie Zugriffssteuerungsrichtlinien auswählen.

  3. Klicken Sie mit der rechten Maustaste, und wählen Sie " Zugriffssteuerungsrichtlinie hinzufügen" aus. Screenshot, der zeigt, wo eine Zugriffssteuerungsrichtlinie hinzugefügt werden soll.

  4. Geben Sie im Namensfeld einen Namen für Ihre Richtlinie ein, eine Beschreibung, und klicken Sie auf "Hinzufügen". Screenshot, der zeigt, wo ein Name für Ihre Richtlinie eingegeben werden soll.

  5. Stellen Sie im Regel-Editor sicher, dass „Jeder“ ausgewählt ist. Aktivieren Sie unter Ausnahme das Kontrollkästchen mit bestimmten Ansprüchen im Anspruch, und klicken Sie unten auf das unterstrichene Wort bestimmten. Screenshot, der zeigt, wo sichergestellt werden soll, dass die Option

  6. Klicken Sie auf dem Bildschirm Ansprüche auswählen auf das Optionsfeld Ansprüche, wählen Sie den Anspruchstyp, den Operator und den Anspruchswert aus, und klicken Sie dann auf OK. Screenshot des Bildschirms

  7. Klicken Sie im Regel-Editor auf "OK". Klicken Sie auf dem Bildschirm " Zugriffssteuerungsrichtlinie hinzufügen " auf "OK".

  8. Klicken Sie in der Konsolenstruktur der AD FS-Verwaltung unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Regel erstellen

  9. Klicken Sie mit der rechten Maustaste auf die vertrauende Partei, auf die Sie Zugriff gewähren möchten, und wählen Sie "Zugriffssteuerungsrichtlinie bearbeiten" aus. Ein Screenshot, der zeigt, wo Sie mit der rechten Maustaste auf die Vertrauensstellung der Vertrauenden Partei klicken, um auf die Menüoption "Zugriffssteuerungsrichtlinie bearbeiten" zuzugreifen.

  10. Wählen Sie in der Zugriffssteuerungsrichtlinie Ihre Richtlinie aus, und klicken Sie dann auf "Übernehmen " und " OK". Screenshot, der zeigt, wie die Änderungen auf die Zugriffssteuerungsrichtlinie angewendet werden.

So erstellen Sie eine Regel zum Zulassen oder Verweigern von Benutzern basierend auf einem eingehenden Anspruch unter Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen\Vertrauensstellungen der vertrauenden Seite auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot der Menüoption

  4. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf die Registerkarte " Ausstellungsautorisierungsregeln " oder auf die Registerkarte " Autorisierungsregeln für Delegierung " (basierend auf dem Typ der erforderlichen Autorisierungsregel), und klicken Sie dann auf " Regel hinzufügen ", um den Assistenten zum Hinzufügen von Autorisierungsanspruchsregeln zu starten. Screenshot, der zeigt, wie Sie den Assistenten zum Hinzufügen von Autorisierungsanspruchsregeln starten können.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen" unter "Anspruchsregelvorlage" die Option "Benutzer basierend auf einem eingehenden Anspruch zulassen oder verweigern" aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot: Position zum Auswählen der Vorlage „Benutzern den Zugriff auf Grundlage eines eingehenden Anspruchs gewähren oder verweigern“

  6. Geben Sie auf der Seite " Regel konfigurieren" unter " Anspruchsregelname " den Anzeigenamen für diese Regel im Typ " Eingehender Anspruch " einen Anspruchstyp in der Liste aus, geben Sie unter "Eingehender Anspruchswert " einen Wert ein, oder klicken Sie auf "Durchsuchen" (sofern er verfügbar ist), und wählen Sie dann eine der folgenden Optionen aus, je nach den Anforderungen Ihrer Organisation:

    • Benutzern mit diesem eingehenden Anspruch Zugriff gewähren

    • Verweigern des Zugriffs auf Benutzer mit diesem eingehenden AnspruchScreenshot, der zeigt, wo der eingehende Anspruchstyp ausgewählt werden soll.

  7. Klicken Sie auf Fertig stellen.

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

Weitere Referenzen

Konfigurieren von Anspruchsregeln

Checkliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Wann eine Autorisierungsanspruchsregel verwendet werden sollte

Die Rolle von Ansprüchen

Die Rolle der Anspruchsregeln