Compartir a través de

Crear una regla para permitir o denegar usuarios en función de una notificación entrante

En Windows Server 2016, puedes usar una directiva de control de acceso para crear una regla que permita o deniegue a los usuarios en función de una notificación entrante. En Windows Server 2012 R2, con la plantilla de regla Permitir o Denegar Usuarios en función de una reclamación entrante en los Servicios de federación de Active Directory (AD FS), puede crear una regla de autorización que conceda o deniegue el acceso del usuario a la parte confiable en función del tipo y el valor de una reclamación entrante.

Por ejemplo, puede usar esto para crear una regla que solo permita el acceso a los usuarios que tienen una notificación de grupo con un valor de Admins. del dominio. Si desea permitir que todos los usuarios accedan a la parte confiable, use la política de Control de Acceso Permitir a Todos o la plantilla de regla Permitir a Todos los Usuarios en función de la versión de Windows Server. Aún así, es posible que los usuarios que tienen permiso para acceder al usuario de confianza por parte del Servicio de federación tengan el acceso denegado por parte del usuario de confianza.

Puede usar el siguiente procedimiento para crear una regla de notificación con el complemento administración de AD FS.

La pertenencia a administradores, o equivalente, en el equipo local es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuados en Grupos predeterminados locales y de dominio.

Para crear una regla que permita el acceso a los usuarios en función de una notificación entrante en Windows Server 2016

  1. En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso. Captura de pantalla que resalta las directivas de control de acceso en el árbol de consola.

  3. Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso. Captura de pantalla que resalta la opción de menú Agregar directiva de control de acceso.

  4. En el cuadro nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar. Captura de pantalla que muestra dónde agregar una directiva de control de acceso al crear una regla para permitir a los usuarios en función de una notificación entrante en Windows Server 2016.

  5. En el Editor de reglas, en usuarios, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior. Captura de pantalla que resalta dónde seleccionar el elemento específico subrayado.

  6. En la pantalla Seleccionar notificaciones , haga clic en el botón de radio Notificaciones , seleccione el tipo de notificación, el operador y el valor de notificación y, a continuación, haga clic en Aceptar. Captura de pantalla que muestra dónde seleccionar la opción Notificaciones.

  7. En el Editor de reglas , haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso , haga clic en Aceptar.

  8. En el árbol de la consola Administración de AD FS, en AD FS, haga clic en Confianzas de terceros confiables. Captura de pantalla que muestra dónde seleccionar Relación de confianza para usuario autenticado.

  9. Haga clic con el botón derecho en la Confianza de la Parte Confiante a la que desea permitir el acceso y seleccione Editar directiva de control de acceso. Captura de pantalla que muestra dónde seleccionar la opción de menú Editar directiva de control de acceso.

  10. En la directiva de control de acceso, seleccione la directiva y, a continuación, haga clic en Aplicar y aceptar. Captura de pantalla que muestra dónde seleccionar Aplicar y Aceptar.

Para crear una regla para denegar acceso a los usuarios en función de un reclamo entrante en Windows Server 2016

  1. En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso. Captura de pantalla que muestra dónde seleccionar Directivas de control de acceso.

  3. Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso. Captura de pantalla que muestra dónde agregar una directiva de control de acceso.

  4. En el cuadro nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar. Captura de pantalla que muestra dónde introducir un nombre para la directiva.

  5. En el Editor de reglas, asegúrese de que todos los usuarios estén seleccionados y, en Excepto, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior. Captura de pantalla que muestra dónde comprobar que la opción todos esté seleccionada.

  6. En la pantalla Seleccionar notificaciones , haga clic en el botón de radio Notificaciones , seleccione el tipo de notificación, el operador y el valor de notificación y, a continuación, haga clic en Aceptar. Captura de pantalla que muestra la pantalla para seleccionar reclamaciones.

  7. En el Editor de reglas , haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso , haga clic en Aceptar.

  8. En el árbol de la consola Administración de AD FS, en AD FS, haga clic en Confianzas de terceros confiables. crear regla

  9. Haga clic con el botón derecho en la Confianza de la Parte Confiante a la que desea permitir el acceso y seleccione Editar directiva de control de acceso. Captura de pantalla que muestra dónde hacer clic con el botón derecho del ratón en Relación de confianza para usuario autenticado para acceder a la opción de menú Editar Directiva de control de acceso.

  10. En la directiva de control de acceso, seleccione la directiva y, a continuación, haga clic en Aplicar y aceptar. Captura de pantalla que muestra cómo aplicar los cambios a la directiva de control de acceso.

Para crear una regla para permitir o denegar usuarios en función de una reclamación entrante en Windows Server 2012 R2

  1. En administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Administración de AD FS.

  2. En el árbol de consola, bajo AD FS\Relaciones de confianza\Confianza de terceros confiados, seleccione una relación de confianza específica en la lista donde quiere crear esta regla.

  3. Haga clic con el botón derecho en la relación de confianza seleccionada y, a continuación, haga clic en Editar reglas de reclamaciones. Captura de pantalla que muestra la opción de menú Editar reglas de reclamación.

  4. En el cuadro de diálogo Editar reglas de notificación, haga clic en la pestaña Reglas de autorización de emisión o en la pestaña Reglas de autorización de delegación (según el tipo de regla de autorización que necesite) y, a continuación, haga clic en Agregar regla para iniciar el Asistente para agregar reglas de notificación de autorización. Captura de pantalla que muestra cómo iniciar el Asistente para agregar reglas de reclamación de autorización.

  5. En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Permitir o denegar el acceso a los usuarios según una notificación entrante en la lista y haga clic en Siguiente. Captura de pantalla que muestra dónde seleccionar la plantilla Permitir o Denegar usuarios en función de una notificación entrante.

  6. En la página Configurar regla en Nombre de regla de notificación, escriba el nombre para mostrar de esta regla, en Tipo de notificación entrante , seleccione un tipo de notificación en la lista, en Valor de notificación entrante escriba un valor o haga clic en Examinar (si está disponible) y seleccione un valor y, a continuación, seleccione una de las siguientes opciones, en función de las necesidades de su organización:

    • Permitir acceso a los usuarios con esta notificación entrante

    • Denegar el acceso a los usuarios con esta notificación entranteCaptura de pantalla que muestra dónde seleccionar el tipo de notificación entrante.

  7. Haga clic en Finalizar.

  8. En el cuadro de diálogo Editar reglas de reclamación, haga clic en Aceptar para guardar la regla.

Referencias adicionales

Configurar reglas de reclamación

Lista de comprobación: creación de reglas de notificación para una relación de confianza para usuario autenticado

Cuándo usar una regla de reclamación de autorización

El rol de las reclamaciones

El rol de las reglas de reclamación