Implementación de notificaciones entre bosques (pasos de demostración)
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
En este tema, trataremos un escenario básico que explica cómo configurar transformaciones de notificaciones entre bosques de confianza y que confían. Aprenderá a crear y vincular los objetos de directiva de transformación de notificaciones a la confianza en el bosque que confía y en el de confianza. Después, validará el escenario.
Información general del escenario
Adatum Corporation proporciona servicios financieros a Contoso, Ltd. Cada trimestre, los contadores de Adatum copian sus hojas de cálculo de cuenta en una carpeta de un servidor de archivos ubicado en Contoso, Ltd. Hay una confianza bidireccional configurada desde Contoso a Adatum. Contoso, Ltd. quiere proteger el recurso compartido para que solo los empleados de Adatum puedan acceder al recurso compartido remoto.
En este escenario:
Configuración de los requisitos previos y el entorno de prueba
Configuración de la transformación de notificaciones en un bosque de confianza (Adatum)
Configuración de la transformación de notificaciones en el bosque que confía (Contoso)
Configuración de los requisitos previos y el entorno de prueba
La configuración de prueba implica configurar dos bosques: Adatum Corporation y Contoso, Ltd, y tener una confianza bidireccional entre Contoso y Adatum. "adatum.com" es el bosque de confianza y "contoso.com" es el bosque que confía.
El escenario de transformación de notificaciones muestra la transformación de una notificación del bosque de confianza a una notificación del bosque que confía. Para ello, debe configurar un nuevo bosque denominado adatum.com y rellenarlo con un usuario de prueba con un valor de empresa de "Adatum". Después, debe configurar una confianza bidireccional entre contoso.com y adatum.com.
Importante
Al configurar los bosques de Contoso y Adatum, debe asegurarse de que ambos dominios raíz están en el Nivel funcional de dominio Windows Server 2012 para que la transformación de notificaciones funcione.
Debe configurar lo siguiente para el laboratorio. Estos procedimientos se explican con detalle en Apéndice B: Configuración del entorno de pruebas
Debe implementar los procedimientos siguientes para configurar el laboratorio para este escenario:
Establecimiento de Adatum como bosque de confianza de Contoso
Establecer la clasificación y aplicar la directiva de acceso central en la carpeta Earnings
Use la información siguiente para completar este escenario:
| Objetos | Detalles |
|---|---|
| Usuarios | Jeff Low, Contoso |
| Notificaciones del usuario en Adatum y Contoso | Id.: ad://ext/Company:ContosoAdatum, Atributo de origen: company Valores sugeridos: Contoso, Adatum Importante: debe establecer el id. en el tipo de notificación "Company" en Contoso y Adatum para que la transformación de notificaciones funcione. |
| Regla de acceso central en Contoso | AdatumEmployeeAccessRule |
| Directiva de acceso central en Contoso | Directiva de acceso único de Adatum |
| Directivas de transformación de notificaciones en Adatum y Contoso | DenyAllExcept Company |
| Carpeta de archivos en Contoso | D:\EARNINGS |
Configuración de la transformación de notificaciones en un bosque de confianza (Adatum)
En este paso, creará una directiva de transformación en Adatum para denegar el paso de cualquier notificación excepto "Company" a Contoso.
El módulo de Active Directory para Windows PowerShell proporciona el argumento DenyAllExcept, que quita todo excepto las notificaciones especificadas en la directiva de transformación.
Para configurar una transformación de notificaciones, debe crear una directiva de transformación de notificaciones y vincularla entre los bosques de confianza y que confían.
Creación de una directiva de transformación de notificaciones en Adatum
Para crear una directiva de transformación Adatum para denegar todas las notificaciones excepto "Company"
Inicie sesión en el controlador de dominio adantum.com como Administrador con la contraseña pass@word1.
Abra un símbolo del sistema con permisos elevados en Windows PowerShell y escriba lo siguiente:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Establecimiento de un vínculo de transformación de notificaciones en el objeto de dominio de confianza de Adatum
En este paso, aplicará la directiva de transformación de notificaciones recién creada en el objeto de dominio de confianza de Adatum para Contoso.
Para aplicar la directiva de transformación de notificaciones
Inicie sesión en el controlador de dominio adantum.com como Administrador con la contraseña pass@word1.
Abra un símbolo del sistema con permisos elevados en Windows PowerShell y escriba lo siguiente:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Configuración de la transformación de notificaciones en el bosque que confía (Contoso)
En este paso, creará una directiva de transformación de notificaciones en Contoso (el bosque que confía) para denegar todas las notificaciones excepto "Company". Debe crear una directiva de transformación de notificaciones y vincularla a la confianza del bosque.
Creación de una directiva de transformación de notificaciones en Contoso
Para crear una directiva de transformación Adatum para denegar todo excepto "Company"
Inicie sesión en el controlador de dominio contoso.com como Administrador con la contraseña pass@word1.
Abra un símbolo del sistema con permisos elevados en Windows PowerShell y escriba lo siguiente:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Establecimiento de un vínculo de transformación de notificaciones en el objeto de dominio de confianza de Contoso
En este paso, aplicará la directiva de transformación de notificaciones recién creada en el objeto de dominio de confianza contoso.com para que Adatum permita pasar "Company" a contoso.com. El objeto de dominio de confianza se denomina adatum.com.
Para establecer la directiva de transformación de notificaciones
Inicie sesión en el controlador de dominio contoso.com como Administrador con la contraseña pass@word1.
Abra un símbolo del sistema con permisos elevados en Windows PowerShell y escriba lo siguiente:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Validación del escenario
En este paso, intentará acceder a la carpeta D:\EARNINGS que se configuró en el servidor de archivos FILE1 para validar que el usuario tiene acceso a la carpeta compartida.
Para asegurarse de que el usuario de Adatum puede acceder a la carpeta compartida
Inicie sesión en el Equipo cliente, CLIENT1 como Jeff Low con la contraseña pass@word1.
Vaya a la carpeta \\FILE1.contoso.com\Earnings.
Jeff Low debería poder acceder a la carpeta.
Escenarios adicionales para las directivas de transformación de notificaciones
A continuación se muestra una lista de casos comunes adicionales en la transformación de notificaciones.
| Escenario | Directiva |
|---|---|
| Permitir que todas las notificaciones que proceden de Adatum pasen a Contoso Adatum | Código: New-ADClaimTransformPolicy ` -Description:"Directiva de transformación de notificaciones para permitir todas las notificaciones" ` -Name:"AllowAllClaimsPolicy" ` -AllowAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
| Denegar que todas las notificaciones que proceden de Adatum pasen a Contoso Adatum | Código: New-ADClaimTransformPolicy ` -Description:"Directiva de transformación de notificaciones para denegar todas las notificaciones" ` -Name:"DenyAllClaimsPolicy" ` -DenyAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"DenyAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com"` |
| Permitir que todas las notificaciones que proceden de Adatum excepto "Company" y "Department" pasen a Contoso Adatum | Código - New-ADClaimTransformationPolicy ` -Description:"Directiva de transformación de notificaciones para permitir todas las notificaciones excepto company y department" ` -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -AllowAllExcept:company,department ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
Consulte también
Para obtener una lista de todos los cmdlets de Windows PowerShell que están disponibles para la transformación de notificaciones, consulte la referencia de cmdlets de PowerShell de Active Directory.
Para tareas avanzadas que implican la exportación e importación de información de configuración de DAC entre dos bosques, use la referencia de PowerShell de Control de acceso dinámico
Control de acceso dinámico: Información general sobre el escenario