Jogcímek erdőszintű központi telepítése

 

Érvényes: Windows Server 2012

Windows Server 2012 rendszerben a jogcím típusa egy helyességi feltétel arról az objektumról, amihez kapcsolódik. A jogcím típusait az Active Directory-ban erdőnként határozzák meg. Ott, ahol egy rendszerbiztonsági tagnak előfordulhat, hogy be kell járnia egy megbízhatósági kapcsolatot hogy egy megbízható erdőben hozzáférjen az erőforrásokhoz, több forgatókönyv áll rendelkezésre. A(z) Windows Server 2012 rendszerben történő erdők közötti jogcím-átalakítás lehetővé teszi az olyan kilépő és belépő jogcímek átalakítását, amik bejárják az erdőket, így a megbízó és megbízható erdők felismerik és elfogadják a jogcímeket. Néhány valós forgatókönyv jogcím-átalakításhoz:

• A megbízó erdők a jogcím-átalakítást védelemként is alkalmazhatják a jogosultságszint-emelés ellen az által, hogy a bejövő jogcímeket adott értékek szerint szűrik.

  A megbízó erdők egy megbízhatósági kapcsolat határán keresztül érkező rendszerbiztonsági tagoknak is kiadhatnak jogcímeket, ha a megbízható erdő nem támogat vagy nem ad ki jogcímeket.

• A megbízható erdők jogcím-átalakítással tiltani tudják bizonyos jogcím-típusok és adott értékű jogcímek kikerülését a megbízó erdőbe.

• Jogcím-átalakítást arra is használhat, hogy leképezzen különböző jogcím-típusokat megbízó és megbízható erdők között. Ez alkalmazható a jogcím-típus, a jogcímérték vagy mindkettő általánosítására. E nélkül a jogcímek használata előtt normalizálnia kell az adatokat az erdők között. A megbízó és a megbízható erdők közötti jogcímek normalizálása csökkenti az informatikai költségeket.

Jogcím-átalakítási szabályok:

Az átalakítási szabály nyelvi szintaxisa két fő részre oszt egy szabályt: feltételutasítások sorozatára és a problémautasításra. Az egyes feltételutasítások két alösszetevővel rendelkeznek: a jogcím-azonosítóval és a feltétellel. A problémautasítás kulcsszavakat, elválasztókat és egy problémakifejezést tartalmaz. A feltételutasítás opcionálisan kezdődhet egy jogcím-azonosító változóval, ami az egyező bemeneti jogcímet jelöli. A rendszer ellenőrzi a feltétel alapján a kifejezést. Ha a bemeneti jogcím nem egyezik a feltétellel, akkor az átalakító motor kihagyja a problémautasítást és a következő bemeneti jogcímet értékeli ki az átalakítási szabállyal szemben. Ha minden feltétel egyezik a bemeneti jogcímmel, akkor feldolgozza a problémautasítást.

A jogcímszabályok nyelvével kapcsolatos további információkért lásd: Jogcím átalakítási szabályok nyelv.

Jogcím-átalakítási csoportházirendek csatolása erdőkhöz

Jogcím-átalakítási csoportházirendek beállításakor két összetevőt használnak: jogcím-átalakítási csoportházirend-objektumokat és az átalakítási hivatkozást. A csoportházirend-objektumok egy erdő konfigurációs névhasználati környezetében találhatóak meg és leképezési információkat tartalmaznak a jogcímekhez. A hivatkozás határozza meg, hogy melyik megbízó és megbízható erdőre vonatkozik a leképezés.

Fontos, hogy megértse, hogy az erdő a megbízó vagy a megbízható erdő, mert ez az alapja az átalakítási csoportházirend-objektumok csatolásának. Például, a megbízható erdő az, amelyik hozzáférést igénylő felhasználói fiókokat tartalmaz. A megbízó erdő az, amelyik olyan erőforrásokat tartalmaz, amikhez hozzáférést szeretne adni a felhasználóknak. A jogcímek ugyanabba az irányba haladnak, mint a hozzáférést igénylő rendszerbiztonsági tag. Például, ha egyirányú bizalmi kapcsolat áll fenn a contoso.com erdő részéről az adatum.com erdő felé, a jogcímek az adatum.com erdőtől áramolnak a contoso.com felé, ami lehetővé teszi az adatum.com felhasználóknak a contoso.com erőforrások elérését.

Alapértelmezést szerint egy megbízható erdő lehetővé teszi minden kimenő jogcím számára az áthaladást, és a megbízó erdő eldob minden elfogadott bejövő jogcímet.

Ebben az esetben

Ehhez a forgatókönyvhöz az alábbi útmutató érhető el:

• Jogcím telepítése (bemutató lépéseket) erdőkön keresztül

• Jogcím átalakítási szabályok nyelv

A forgatókönyvben szereplő szerepkörök és szolgáltatások

Az alábbi táblázat a forgatókönyv részét képező szerepköröket és szolgáltatásokat sorolja fel, és bemutatja, hogy azok hogyan támogatják a forgatókönyvet.

Szerepkör/szolgáltatás	Támogatás a forgatókönyv számára
Active Directory tartományi szolgáltatások	Ebben a forgatókönyvben két Active Directory erdőt kell beállítania kétirányú bizalmi kapcsolattal. Mindkét erdőben vannak jogcímek. Központi hozzáférési házirendeket is be kell állítani ahhoz a megbízó erdőhöz, ahol az erőforrások vannak.
Fájl- és tárolási szolgáltatások szerepkör	Ebben a forgatókönyvben az adatok besorolását a fájlkiszolgálókon lévő erőforrásokra alkalmazzák. A központi hozzáférési házirend arra a mappára érvényes, ahol felhasználói hozzáférést szeretne megadni. Átalakítás után a jogcím az alapján a központi hozzáférési házirend alapján ad meg felhasználói hozzáférést az erőforrásokhoz, ami a fájlkiszolgálón lévő mappára érvényes.