Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este escenario, las operaciones de seguridad del Departamento Financiero trabajan con la seguridad de la información central para especificar la necesidad de una directiva de acceso central para proteger información financiera archivada que esté almacenada en servidores de archivos. La información financiera archivada de cada país solo pueden consultarla (con permisos de solo lectura) los empleados del Departamento Financiero del dicho país. El grupo de administradores de finanzas central puede acceder a la información financiera de todos los países.
Para implementar una directiva de acceso central es necesario completar varias fases:
Fase | Descripción |
---|---|
Plan: identifique la necesidad de directiva y la configuración necesaria para la implementación. | Identifica la necesidad de una directiva y la configuración necesaria para la implementación. |
Implementar: Configurar los componentes y la directiva | Configura los componentes y la directiva. |
Implementación de la directiva de acceso central | Implementa la directiva. |
Mantenimiento: Cambiar y almacenar provisionalmente la directiva | Cambios y almacenamiento provisional de directivas. |
Configurar un entorno de prueba
Antes de comenzar, deberás preparar un entorno de laboratorio para este escenario. Los pasos para configurar el laboratorio se explican en detalle en el Apéndice B: Configuración del entorno de prueba.
Plan: identificación de la necesidad de una directiva y la configuración requerida para la implementación
En esta sección encontrarás series de pasos de alto nivel que te ayudarán a planificar la implementación.
Núm. de paso | Paso | Ejemplo |
---|---|---|
1.1 | Una empresa determina que necesita una directiva de acceso central | Para proteger la información financiera almacenada en los servidores de archivos, las operaciones de seguridad del Departamento Financiero trabajan con seguridad de la información central para especificar la necesidad de una directiva de acceso central. |
1,2 | Expresión de la directiva de acceso | Los documentos financieros solo deben leerlos los miembros del Departamento Financiero. Los miembros del Departamento Financiero solo deben tener acceso a los documentos de su propio país. Solo los administradores de finanzas deben tener acceso de escritura. Se permite una excepción para los miembros del grupo FinanceException. Este grupo tendrá acceso de lectura. |
1.3 | Expresión de la directiva de acceso en construcciones de Windows Server 2012 | Destinatarios: - Resource.Department contiene finanzas Reglas de acceso: - Permitir la lectura de Usuario.País=Recurso.País Y Usuario.Departamento = Recurso.Departamento Excepción: Permitir la lectura de memberOf(FinanceException) |
1.4 | Determinar las propiedades del archivo necesarias para la directiva | Etiquetar archivos con: -Departamento |
1.5 | Determinar los tipos de notificaciones y los grupos necesarios para la directiva | Tipos de notificaciones: - Country (País) Grupos de usuarios: - Administración de finanzas |
1.6 | Determinar los servidores donde se aplicará esta directiva | Aplica la directiva en todos los servidores de archivos de finanzas. |
Implementación: Configuración de los componentes y la directiva
En esta sección encontrarás un ejemplo en el que implementa una directiva de acceso central para documentos financieros.
Núm. de paso | Paso | Ejemplo |
---|---|---|
2.1 | Crear tipos de notificaciones | Crea los siguientes tipos de notificaciones: -Departamento |
2.2 | Crear propiedades de recursos | Crea y habilita las siguientes propiedades de recursos: -Departamento |
2.3 | Configurar una regla de acceso central | Crea una regla llamada Documentos financieros que incluya una directiva determinada en la sección anterior. |
2,4 | Configurar una directiva de acceso central (CAP) | Crea una CAP llamada Directiva de finanzas y agrega la regla Documentos financieros a esta. |
2,5 | Dirigir la directiva de acceso central a los servidores de archivos | Publica la CAP Directiva de finanzas en los servidores de archivos. |
2.6 | Habilita Compatibilidad de KDC para notificaciones, autenticación compuesta y protección de Kerberos. | Habilita Compatibilidad de KDC para notificaciones, autenticación compuesta y protección de Kerberos para contoso.com. |
En el siguiente procedimiento puede crear dos tipos de notificaciones: Country y Department.
Para crear tipos de notificaciones
Abra el servidor DC1 en Hyper-V Manager e inicie sesión como contoso\administrator, con la contraseña pass@word1.
Abre el Centro de administración de Active Directory.
Haga clic en el icono Vista de árbol, expanda Control de acceso dinámico y, a continuación, seleccione Tipos de notificación.
Haga clic con el botón derecho en Tipos de notificación, haga clic en Nuevoy, a continuación, haga clic en Tipo de notificación.
Sugerencia
También puede abrir la ventana Crear tipo de notificación en el panel Tareas. En el panel Tareas, haga clic en Nuevo, y a continuación, haga clic en Tipo de reclamo.
En la lista Atributo de origen, desplácese hacia abajo por la lista de atributos y haga clic en departamento. Esto debe rellenar el campo Nombre para mostrar con departamento. Haga clic en Aceptar.
En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en Tipo de reclamación.
En la lista Atributo de origen, desplácese hacia abajo por la lista de atributos y, a continuación, haga clic en el atributo c (Country-Name). En el campo Nombre para mostrar , escriba country.
En la sección Valores sugeridos , seleccione Los valores siguientes se sugieren: y, a continuación, haga clic en Agregar.
En los campos Valor y Nombre para mostrar , escriba EE. UU. y, a continuación, haga clic en Aceptar.
Repite el paso anterior. En el cuadro de diálogo Agregar un valor de sugerencia , escriba JP en los campos Valor y Nombre para mostrar y, a continuación, haga clic en Aceptar.
comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
Sugerencia
Puedes usar el Visor del historial de Windows PowerShell en el Centro de administración de Active Directory para buscar los cmdlets de Windows PowerShell para cada procedimiento que realices en el Centro de administración de Active Directory. Para obtener más información, consulte Visor de historial de Windows PowerShell.
El paso siguiente es crear propiedades de recursos. En el procedimiento siguiente vas a crear una propiedad de recurso que se agregará automáticamente a la lista Propiedades de recursos globales en el controlador de dominio para que esté disponible en el servidor de archivos.
Para crear y habilitar propiedades de recursos predefinidas
En el panel izquierdo del Centro de administración de Active Directory, haga clic en Vista de árbol. Expanda Control de acceso dinámico y, a continuación, seleccione Propiedades de recursos.
Haga clic con el botón derecho en Propiedades de recursos, haga clic en Nuevo, a continuación, haga clic en Referenciar propiedad de recurso.
Sugerencia
También puede elegir una propiedad de recurso en el panel Tareas . Haga clic en Nuevo y, a continuación, haga clic en Hacer referencia a la propiedad de recurso.
En Seleccionar un tipo de reclamación para compartir su lista de valores sugeridos, haga clic en país.
En el campo Nombre para mostrar , escriba país y, a continuación, haga clic en Aceptar.
Haga doble clic en la lista Propiedades del recurso y desplácese hacia abajo hasta la propiedad de recurso Department . Haga clic con el botón derecho y, a continuación, haga clic en Habilitar. Esto habilitará la propiedad de recurso predefinida Departamento.
En la lista Propiedades de recursos del panel de navegación del Centro de administración de Active Directory, ahora tendrá dos propiedades de recursos habilitadas:
País
department
comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS
El paso siguiente es crear reglas de acceso central que definan quién puede acceder a los recursos. En este escenario, las reglas de negocios son las siguientes:
Los documentos financieros solo pueden leerlos los miembros del Departamento Financiero.
Los miembros del Departamento Financiero solo pueden acceder a los documentos de su propio país.
Solo los administradores de finanzas tienen acceso de escritura.
Se permite una excepción para los miembros del grupo FinanceException. Este grupo tendrá acceso de lectura.
El administrador y el propietario del documento tendrán acceso total.
O para expresar las reglas con construcciones de Windows Server 2012:
- Enfoque: Resource.Department Contains Finance
Reglas de acceso:
Permitir lectura Usuario.País=Recurso.País Y Usuario.Departamento = Recurso.Departamento
Permitir el control total User.MemberOf(FinanceAdmin)
Permitir lectura de User.MemberOf(FinanceException)
Para crear una regla de acceso central
En el panel izquierdo del Centro de administración de Active Directory, haga clic en Vista de árbol, seleccione Control de acceso dinámico y, a continuación, haga clic en Reglas de acceso central.
Haga clic con el botón derecho en Reglas de acceso central, haga clic en Nuevoy, a continuación, haga clic en Regla de acceso central.
En el campo Nombre , escriba Regla de documentos financieros.
En la sección Recursos de destino, haga clic en Editar y, en el cuadro de diálogo Regla de acceso central , haga clic en Agregar una condición. Agregue la siguiente condición: [Recurso] [Departamento] [Equals] [Value] [Finance] y, a continuación, haga clic en Aceptar.
En la sección Permisos , seleccione Usar los permisos siguientes como permisos actuales, haga clic en Editary, en el cuadro de diálogo Configuración de seguridad avanzada para permisos , haga clic en Agregar.
Nota
Con la opción Usar los siguientes permisos como permisos propuestos podrá crear una directiva provisional. Para obtener más información sobre cómo hacerlo, consulte la sección Mantenimiento: Cambio y almacenaje provisional de la directiva en este tema.
En el cuadro de diálogo Entrada de permiso para permisos, haga clic en Seleccionar una entidad de seguridad, escriba Usuarios autenticados y haga clic en Aceptar.
En el cuadro de diálogo Entrada de permiso para permisos , haga clic en Agregar una condición y agregue las siguientes condiciones: [Usuario] [país] [Cualquiera de] [Recurso] [país] Haga clic en Agregar una condición. [Y] Haga clic [Usuario] [Departamento] [Cualquiera] [Recurso] [Departamento]. Establezca los permisos en Lectura.
Haga clic en Aceptary, a continuación, haga clic en Agregar. Haga clic en Seleccionar un principal, escriba FinanceAdmin, a continuación, haga clic en Aceptar.
Seleccione los permisos Modificar, Leer y Ejecutar, Leer, Escribir y, a continuación, haga clic en Aceptar.
Haga clic en Agregar, seleccione un principal, escriba FinanceException y, a continuación, haga clic en Aceptar. Seleccione los permisos para leer y leer y ejecutar.
Haga clic en Aceptar tres veces para finalizar y vuelva al Centro de administración de Active Directory.
comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
Importante
En el cmdlet del ejemplo anterior, los identificadores de seguridad (SID) para el grupo FinanceAdmin y los usuarios se determinan en el momento de la creación y serán distintos en tu ejemplo. Por ejemplo, es necesario reemplazar el valor de SID proporcionado (S-1-5-21-1787166779-1215870801-2157059049-1113) para los FinanceAdmins con el SID real del grupo FinanceAdmin que has de crear en la implementación. Puedes usar Windows PowerShell para buscar el valor de SID del grupo, asignar dicho valor a una variable y, después, usar la variable aquí. Para obtener más información, consulte Sugerencia de Windows PowerShell: Trabajar con SID.
Ahora verás una regla de acceso central que permite a los usuarios acceder a documentos del mismo país y del mismo departamento. La regla permite al grupo FinanceAdmin editar los documentos y al grupo FinanceException leerlos. Esta regla solo es válida para documentos clasificados como de Finanzas.
Para agregar una regla de acceso central a una directiva de acceso central
En el panel izquierdo del Centro de administración de Active Directory, haga clic en Control de acceso dinámico y, a continuación, haga clic en Directivas de acceso central.
En el panel Tareas , haga clic en Nuevoy, a continuación, haga clic en Directiva de acceso central.
En Crear directiva de acceso central:, escriba Finance Policy en el cuadro Nombre .
En Reglas de acceso central de miembros, haga clic en Agregar.
Haga doble clic en la regla de documentos financieros para agregarla a la lista Agregar las siguientes reglas de acceso central y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar para finalizar. Ahora deberías tener una directiva de acceso central llamada Directiva de finanzas.
comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
Para aplicar la directiva de acceso central en servidores de archivos que usen la directiva de grupo
En la pantalla Inicio , en el cuadro Buscar , escriba Administración de directivas de grupo. Haga doble clic en Administración de directivas de grupo.
Sugerencia
Si la opción Mostrar herramientas administrativas está deshabilitada, la carpeta Herramientas administrativas y su contenido no aparecerán en los resultados de configuración .
Sugerencia
En el entorno de producción, crea una unidad de organización de servidores de archivos (OU) y agrega todos los servidores de archivos a esta OU, a la que deberás aplicar esta directiva. Después, puedes crear una directiva de grupo y agregar esta OU a dicha directiva.
En este paso, editará el objeto de directiva de grupo que creó en la sección Compilar el controlador de dominio del entorno de prueba para incluir la directiva de acceso central que creó. En el Editor de administración de directivas de grupo, vaya a la unidad organizativa del dominio (contoso.com en este ejemplo): Administración de directivas de grupo, Bosque: contoso.com, Dominios, contoso.com, Contoso, FileServerOU.
Haga clic con el botón derecho en FlexibleAccessGPO y, a continuación, haga clic en Editar.
En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo, expanda Directivas, expanda Configuración de Windows y haga clic en Configuración de seguridad.
Expanda Sistema de archivos, haga clic con el botón derecho en Directiva de acceso central y, a continuación, haga clic en Administrar directivas de acceso central.
En el cuadro de diálogo Configuración de directivas de acceso central , agregue Directiva de finanzas y, a continuación, haga clic en Aceptar.
Desplácese hacia abajo hasta Configuración avanzada de directiva de auditoría y expándala.
Expanda Directivas de auditoría y seleccione Acceso a objetos.
Haga doble clic en Auditar almacenamiento provisional de directivas de acceso central. Active las tres casillas y, a continuación, haga clic en Aceptar. Este paso permite al sistema recibir eventos de auditoría relacionados con las directivas de almacenamiento provisional de acceso central.
Haga doble clic en Auditar propiedades del sistema de archivos. Active las tres casillas y haga clic en Aceptar.
Cierre el Editor de administración de directivas de grupo. Ahora ya has incluido la directiva de acceso central en la directiva de grupo.
Para que los controladores de dominio proporcionen notificaciones o datos de autorización de dispositivos, es necesario configurar los controladores de dominio para que sean compatibles con el control de acceso dinámico.
Para habilitar la compatibilidad con notificaciones y autenticación compuesta para contoso.com
Abra Administración de directivas de grupo, haga clic en contoso.com y, a continuación, haga clic en Controladores de dominio.
Haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Editar.
En la ventana Editor de administración de directivas de grupo, haga doble clic en Configuración del equipo, haga doble clic en Directivas, haga doble clic en Plantillas administrativas, haga doble clic en Sistemay, a continuación, haga doble clic en KDC.
Haga doble clic en Compatibilidad de KDC para notificaciones, autenticación compuesta y protección de Kerberos. En el cuadro de diálogo Compatibilidad de KDC con declaraciones, autenticación compuesta y reforzamiento de Kerberos, haga clic en Habilitado y seleccione Compatible en la lista desplegable Opciones. (Tienes que habilitar esta opción para usar notificaciones de usuario en directivas de acceso central).
Cierre Administración de directivas de grupo.
Abra un símbolo del sistema y escriba
gpupdate /force
.
Implementar la directiva de acceso central
Núm. de paso | Paso | Ejemplo |
---|---|---|
3.1 | Asigna el CAP a las carpetas compartidas correspondientes en el servidor de archivos. | Asigna la directiva de acceso central a la carpeta compartida correspondiente en el servidor de archivos. |
3.2 | Comprueba que el acceso está configurado correctamente. | Comprueba el acceso para usuarios desde diferentes países y departamentos. |
En este paso asignarás la directiva de acceso central a un servidor de archivos. Inicia sesión en un servidor de archivos que reciba la directiva de acceso central que creaste en el paso anterior y asigna la directiva a una carpeta compartida.
Para asignar una directiva de acceso central a un servidor de archivos
En el Administrador de Hyper-V, conecta con el servidor FILE1. Inicie sesión en el servidor mediante contoso\administrator con la contraseña: pass@word1.
Abra un símbolo del sistema con privilegios elevados y escriba: gpupdate /force. Esto garantiza que los cambios que realices en la directiva de grupo se apliquen en el servidor.
También tienes que actualizar las propiedades de recursos globales desde Active Directory. Abra una ventana de Windows PowerShell y escriba
Update-FSRMClassificationpropertyDefinition
. Haz clic en ENTRAR y, después, cierra Windows PowerShell.Sugerencia
También puedes actualizar las propiedades de recursos globales si inicias sesión en el servidor de archivos. Sigue estos pasos para actualizar las propiedades de recursos globales desde el servidor de archivos
- Inicie sesión en el servidor de archivos FILE1 como contoso\administrator, con la contraseña pass@word1.
- Abra el Administrador de recursos del servidor de archivos. Para abrir el Administrador de recursos del servidor de archivos, haga clic en Inicio, escriba administrador de recursos del servidor de archivos y, a continuación, haga clic en Administrador de recursos del servidor de archivos.
- En el Administrador de recursos del servidor de archivos, haga clic en Administración de clasificaciones de archivos , haga clic con el botón derecho en Propiedades de clasificación y, a continuación, haga clic en Actualizar.
Abra el Explorador de Windows y, en el panel izquierdo, haga clic en unidad D. Haga clic con el botón derecho en la carpeta Documentos financieros y haga clic en Propiedades.
Haga clic en la pestaña Clasificación , haga clic en País y, a continuación, seleccione EE. UU . en el campo Valor .
Haga clic en Departamento y, a continuación, seleccione Finanzas en el campo Valor y, a continuación, haga clic en Aplicar.
Nota
Recuerda que la directiva de acceso central se configuró para archivos del Departamento de Finanzas. Los pasos anteriores marcan todos los documentos de la carpeta con los atributos País y Departamento.
Haga clic en la pestaña Seguridad y, a continuación, haga clic en Avanzadas. Haga clic en la pestaña Directiva central .
Haga clic en Cambiar, seleccione Directiva financiera en el menú desplegable y, a continuación, haga clic en Aplicar. Puede ver la regla de documentos financieros que aparece en la directiva. Expande el artículo para todos los permisos que estableciste al crear la regla en Active Directory.
Haga clic en Aceptar para volver al Explorador de Windows.
En el paso siguiente, comprueba que el acceso esté configurado correctamente. Las cuentas de usuario deben tener el conjunto de atributos de Departamento correctos (establecidas mediante el Centro de administración de Active Directory). La manera más sencilla de ver los resultados efectivos de la nueva directiva es usar la pestaña Acceso efectivo en el Explorador de Windows. En la pestaña Acceso efectivo se muestran los derechos de acceso de una cuenta de usuario determinada.
Para examinar el acceso de varios usuarios
En el Administrador de Hyper-V, conecta con el servidor FILE1. Inicia sesión en el servidor con la cuenta contoso\administrador. Navega a la unidad D:\ en el Explorador de Windows. Haga clic con el botón derecho en la carpeta Finance Documents (Documentos financieros ) y, a continuación, haga clic en Propiedades.
Haga clic en la pestaña Seguridad , haga clic en Avanzadas y, a continuación, haga clic en la pestaña Acceso efectivo .
Para examinar los permisos de un usuario, haga clic en Seleccionar un usuario, escriba el nombre del usuario y, a continuación, haga clic en Ver acceso efectivo para ver los derechos de acceso efectivos. Por ejemplo:
Myriam Delesalle (MDelesalle) pertenece al Departamento Financiero y debe tener acceso de lectura a la carpeta.
Miles Reid (MReid) pertenece al grupo FinanceAdmin y debe tener acceso de modificación a la carpeta.
Esther Valle (EValle) no pertenece al Departamento Financiero, pero sí que es miembro del grupo FinanceException y debe tener acceso de lectura.
Maira Wenzel (MWenzel) no pertenece al Departamento Financiero ni es miembro de los grupos FinanceAdmin o FinanceException, por lo que no debe tener acceso a la carpeta.
La última columna se llama Acceso limitado por en la ventana Acceso efectivo. Esta columna indica los límites que afectan a los permisos de un usuario. En este caso, los permisos de recursos compartidos y NTFS otorgan control total a todos los usuarios. Pero la directiva de acceso central restringe el acceso basándose en las reglas que has configurado anteriormente.
Mantenimiento: Cambio y almacenaje provisional de la directiva
Núm. de paso | Paso | Ejemplo |
---|---|---|
4,1 | Configurar notificaciones de dispositivo para clientes | Establece la configuración de directiva de grupo para habilitar las notificaciones de dispositivo |
4,2 | Habilita una notificación para dispositivos. | Habilita el tipo de notificación de país para dispositivos. |
4.3 | Agrega una directiva de almacenamiento provisional a la regla de acceso central existente que quieras modificar. | Modifica la regla de documentos financieros para agregar una directiva de almacenamiento provisional. |
4.4. | Visualiza los resultados de la directiva de almacenamiento provisional. | Compruebe los permisos de Ester Velle. |
Para habilitar las notificaciones para dispositivos mediante la configuración de directiva de grupo
Inicie sesión en DC1, abra Administración de directivas de grupo, haga clic en contoso.com, haga clic en Directiva de dominio predeterminada, haga clic con el botón derecho y seleccione Editar.
En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo, Directivas, Plantillas administrativas, Sistema, Kerberos.
Seleccione Compatibilidad del cliente Kerberos para declaraciones, autenticación compuesta y refuerzo de Kerberos y haga clic en Habilitar.
Para habilitar una notificación para dispositivos
Abra el servidor DC1 en Hyper-V Manager e inicie sesión como contoso\Administrator, con la contraseña pass@word1.
En el menú Herramientas , abra el Centro de administración de Active Directory.
Haga clic en Vista de árbol, expanda Control de acceso dinámico, haga doble clic en Tipos de reclamación y haga doble clic en la reclamación de país.
En Las notificaciones de este tipo pueden ser emitidas por las siguientes clases, seleccione la casilla Equipo. Haga clic en Aceptar. Las casillas Usuario y Equipo ahora deben estar activadas. Ahora puede usarse la notificación de país con dispositivos, además de los usuarios.
El paso siguiente es crear una regla de directivas de almacenamiento provisional. Las directivas de almacenamiento provisional se pueden usar para supervisar los efectos de una nueva entrada de directiva antes de habilitarla. En el paso siguiente crearás una entrada de directiva de almacenamiento provisional y comprobarás los efectos en la carpeta compartida.
Para crear una regla de directivas de almacenamiento provisional y agregar la a la directiva de acceso central
Abra el servidor DC1 en Hyper-V Manager e inicie sesión como contoso\Administrator, con la contraseña pass@word1.
Abre el Centro de administración de Active Directory.
Haga clic en Vista de árbol, expanda Control de acceso dinámico y seleccione Reglas de acceso central.
Haga clic con el botón derecho en Regla de documentos financieros y, a continuación, haga clic en Propiedades.
En la sección Permisos propuestos , active la casilla Habilitar configuración de almacenamiento provisional de permisos, haga clic en Editary, a continuación, haga clic en Agregar. En la ventana Entrada de permiso para permisos propuestos, haga clic en el vínculo Seleccionar un principal, escriba Usuarios autenticados y, a continuación, haga clic en Aceptar.
Haga clic en el vínculo Agregar una condición y agregue la siguiente condición: [Usuario] [país] [Cualquiera de] [Recurso] [País].
Haga clic de nuevo en Agregar una condición y agregue la siguiente condición: [Y] [Dispositivo] [país] [Cualquiera de] [Recurso] [País]
Haga clic en Agregar una condición de nuevo y agregue la siguiente condición. [Y] [Usuario] [Grupo] [Miembro de cualquiera] [Valor](FinanceException)
Para establecer financeException, group, haga clic en Agregar elementos y, en la ventana Seleccionar usuario, equipo, cuenta de servicio o grupo , escriba FinanceException.
Haga clic en Permisos, seleccione Control total y haga clic en Aceptar.
En la ventana Configuración avanzada de seguridad para permisos propuestos, seleccione FinanceException y haga clic en Quitar.
Haga clic en Aceptar dos veces para finalizar.
comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
Nota
En el cmdlet de ejemplo anterior, el valor Servidor refleja el servidor en un entorno de laboratorio de pruebas. Puedes usar el Visor del historial de Windows PowerShell para buscar los cmdlets de Windows PowerShell para cada procedimiento que realices en el Centro de administración de Active Directory. Para obtener más información, consulte Visor de historial de Windows PowerShell.
En este conjunto de permisos propuestos, los miembros del grupo FinanceException tendrán acceso total a los archivos de su propio país cuando accedan a estos a través de un dispositivo ubicado en el mismo país que el documento. Las entradas de auditoría están disponibles en el registro de seguridad Servidores de archivos cuando un usuario del Departamento Financiero intenta acceder a los archivos. Pero la configuración de seguridad no se aplica hasta que la directiva se promociona desde el almacenamiento provisional.
En el procedimiento siguiente verificarás los resultados de la directiva de almacenamiento provisional. Puedes acceder a la carpeta compartida con un nombre de usuario que tenga permisos basados en la regla actual. Esther Valle (EValle) es miembro de FinanceException y actualmente tiene permisos de lectura. Según nuestra directiva de almacenamiento provisional, EValle no debería tener derechos.
Para verificar los resultados de la directiva de almacenamiento provisional
Conéctese al servidor de archivos FILE1 en Hyper-V Manager e inicie sesión como contoso\administrator, con la contraseña pass@word1.
Abra una ventana del símbolo del sistema y escriba gpupdate /force. Esto garantiza que los cambios que realices en la directiva de grupo se apliquen en el servidor.
En el Administrador de Hyper-V, conéctate al servidor CLIENT1. Cierra la sesión del usuario que haya iniciado sesión actualmente. Reinicia la máquina virtual, CLIENT1. Después, inicia sesión en el equipo con el usuario contoso\EValle y la contraseña pass@word1.
Haz doble clic en el acceso directo en el escritorio a \\FILE1\Documentos financieros. EValle debería seguir teniendo acceso a los archivos. Cambia a FILE1.
Abra el Visor de eventos mediante el acceso directo en el escritorio. Expanda Registros de Windows y, a continuación, seleccione Seguridad. Abra las entradas con el identificador de evento 4818 en la categoría de tarea Etapa de las políticas de acceso central. Verás que EValle tiene acceso permitido; pero, según la directiva de almacenamiento provisional, el usuario no debería tener acceso.
Pasos siguientes
Si tienes un sistema de administración del servidor central como System Center Operations Manager, también puedes configurar la supervisión de eventos. Esto permite a los administradores supervisar los efectos de directivas de acceso central antes de aplicarlas.