Bagikan melalui

Menyebarkan Kebijakan Akses Pusat (Langkah Demonstrasi)

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dalam skenario ini, operasi keamanan departemen keuangan bekerja dengan keamanan informasi pusat untuk menentukan kebutuhan akan kebijakan akses pusat sehingga mereka dapat melindungi informasi keuangan yang diarsipkan yang disimpan di server file. Informasi keuangan yang diarsipkan dari setiap negara dapat diakses sebagai baca-saja oleh karyawan keuangan dari negara yang sama. Grup admin keuangan pusat dapat mengakses informasi keuangan dari semua negara.

Menyebarkan kebijakan akses pusat mencakup fase berikut:

Fase Deskripsi
Rencana: Identifikasi kebutuhan akan kebijakan dan konfigurasi yang diperlukan untuk penyebaran Identifikasi kebutuhan akan kebijakan dan konfigurasi yang diperlukan untuk penyebaran.
Implementasi: Mengonfigurasi komponen dan kebijakan Konfigurasikan komponen dan kebijakan.
Menyebarkan kebijakan akses pusat Sebarkan kebijakan.
Pertahankan: Ubah dan tahapkan kebijakan Perubahan dan penahapan kebijakan.

Menyiapkan lingkungan pengujian

Sebelum memulai, Anda perlu menyiapkan lab untuk menguji skenario ini. Langkah-langkah untuk menyiapkan lab dijelaskan secara rinci di Lampiran B: Menyiapkan Lingkungan Pengujian.

Rencana: Identifikasi kebutuhan akan kebijakan dan konfigurasi yang diperlukan untuk penyebaran

Bagian ini menyediakan serangkaian langkah tingkat tinggi yang membantu dalam fase perencanaan penyebaran Anda.

Langkah # Langkah Contoh
1.1 Bisnis menentukan bahwa kebijakan akses pusat diperlukan Untuk melindungi informasi keuangan yang disimpan di server file, operasi keamanan departemen keuangan bekerja dengan keamanan informasi pusat untuk menentukan kebutuhan akan kebijakan akses pusat.
1.2 Mengekspresikan kebijakan akses Dokumen keuangan hanya boleh dibaca oleh anggota departemen Keuangan. Anggota departemen Keuangan hanya boleh mengakses dokumen di negara mereka sendiri. Hanya Administrator Keuangan yang harus memiliki akses tulis. Pengecualian akan diizinkan untuk anggota grup FinanceException. Grup ini akan memiliki akses Baca.
01/03/2021 Mengekspresikan kebijakan akses di konstruksi Windows Server 2012 Penargetan:

- Resource.Department Berisi Keuangan

Aturan akses:

- Izinkan baca User.Country=Resource.Country AND User.department = Resource.Department
- Izinkan Kontrol Penuh User.MemberOf(FinanceAdmin)

Pengecualian:

Izinkan anggota bacaOf(FinanceException)
1,4 Menentukan properti file yang diperlukan untuk kebijakan Beri tag file dengan:

-Departemen
-Negara
1,5 Menentukan jenis dan grup klaim yang diperlukan untuk kebijakan Jenis klaim:

-Negara
-Departemen

Grup pengguna:

- FinanceAdmin
- FinanceException
1.6 Tentukan server tempat menerapkan kebijakan ini Terapkan kebijakan pada semua server file keuangan.

Implementasi: Mengonfigurasi komponen dan kebijakan

Bagian ini menyajikan contoh yang menyebarkan kebijakan akses pusat untuk dokumen keuangan.

Langkah # Langkah Contoh
2.1 Membuat jenis klaim Buat jenis klaim berikut:

-Departemen
-Negara
2.2 Membuat properti sumber daya Buat dan aktifkan properti sumber daya berikut:

-Departemen
-Negara
2,3 Mengonfigurasi aturan akses pusat Buat aturan Dokumen Keuangan yang menyertakan kebijakan yang ditentukan di bagian sebelumnya.
02/04/2021 Mengonfigurasi kebijakan akses pusat (CAP) Buat CAP yang disebut Kebijakan Keuangan dan tambahkan aturan Dokumen Keuangan ke CAP tersebut.
2.5 Menargetkan kebijakan akses pusat ke server file Terbitkan CAP Kebijakan Keuangan ke server file.
2.6 Aktifkan Dukungan KDC untuk klaim, autentikasi majemuk, dan armoring Kerberos. Aktifkan Dukungan KDC untuk klaim, autentikasi majemuk, dan armoring Kerberos untuk contoso.com.

Dalam prosedur berikut, Anda membuat dua jenis klaim: Negara dan Departemen.

Untuk membuat jenis klaim

  1. Buka Server DC1 di Hyper-V Manager dan masuk sebagai contoso\administrator, dengan kata sandi pass@word1.

  2. Buka Pusat Administratif Direktori Aktif.

  3. Klik ikon Tampilan Pohon, perluas Kontrol Akses Dinamis, lalu pilih Jenis Klaim.

    Klik kanan Jenis Klaim, klik Baru, lalu klik Jenis Klaim.

    Tip

    Anda juga bisa membuka jendela Buat Jenis Klaim: dari panel Tugas . Pada panel Tugas , klik Baru, lalu klik Tipe Klaim.

  4. Di daftar Atribut Sumber, gulir ke bawah daftar atribut, dan klik departemen. Ini harus mengisi bidang Nama tampilan dengan departemen. Klik OK.

  5. Di panel Tugas , klik Baru, lalu klik Tipe Klaim.

  6. Di daftar Atribut Sumber, gulir ke bawah daftar atribut, lalu klik atribut c (Nama Negara). Di bidang Nama tampilan, ketik negara.

  7. Di bagian Nilai yang Disarankan, pilih Nilai berikut disarankan:, lalu klik Tambahkan.

  8. Di bidang Nilai dan Nama tampilan, ketik US, lalu klik OK.

  9. Ulangi langkah di atas. Dalam kotak dialog Tambahkan nilai yang disarankan, ketik JP di bidang Nilai dan Nama tampilan, lalu klik OK.

solution guidesPerintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

Tip

Anda dapat menggunakan Penampil Riwayat Windows PowerShell di Pusat Administratif Direktori Aktif untuk mencari cmdlet Windows PowerShell untuk setiap prosedur yang Anda lakukan di Pusat Administratif Direktori Aktif. Untuk informasi selengkapnya, lihat Penampil Riwayat Windows PowerShell

Langkah selanjutnya adalah membuat properti sumber daya. Dalam prosedur berikut, Anda membuat properti sumber daya yang secara otomatis ditambahkan ke daftar Properti Sumber Daya Global pada pengendali domain, sehingga tersedia untuk server file.

Untuk membuat dan mengaktifkan properti sumber daya yang telah dibuat sebelumnya

  1. Di panel kiri Pusat Administratif Direktori Aktif, klik Tampilan Pohon. Perluas Kontrol Akses Dinamis, lalu pilih Properti Sumber Daya.

  2. Klik kanan Properti Sumber Daya, klik Baru, lalu klik Properti Sumber Daya Referensi.

    Tip

    Anda juga bisa memilih properti sumber daya dari panel Tugas . Klik Baru lalu klik Properti Sumber Daya Referensi.

  3. Di Pilih jenis klaim untuk berbagi daftar nilai yang disarankan, klik negara.

  4. Di bidang Nama tampilan, ketik negara, lalu klik OK.

  5. Klik dua kali daftar Properti Sumber Daya, gulir ke bawah ke properti sumber daya Departemen. Klik kanan, lalu klik Aktifkan. Ini akan mengaktifkan properti sumber daya Departemen bawaan.

  6. Di daftar Properti Sumber Daya pada panel navigasi Pusat Administratif Direktori Aktif, Anda sekarang akan memiliki dua properti sumber daya yang diaktifkan:

    • Negara

    • Departemen

solution guidesPerintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

Langkah selanjutnya adalah membuat aturan akses pusat yang menentukan siapa yang dapat mengakses sumber daya. Dalam skenario ini, aturan bisnis adalah:

  • Dokumen keuangan hanya dapat dibaca oleh anggota departemen Keuangan.

  • Anggota departemen Keuangan hanya dapat mengakses dokumen di negara mereka sendiri.

  • Hanya Administrator Keuangan yang dapat memiliki akses Tulis.

  • Kami akan mengizinkan pengecualian untuk anggota grup FinanceException. Grup ini akan memiliki akses Baca.

  • Administrator dan pemilik dokumen masih akan memiliki akses penuh.

Atau untuk mengekspresikan aturan dengan konstruksi Windows Server 2012:

Penargetan: Resource.Department Berisi Keuangan

Aturan Akses:

  • Izinkan Baca User.Country=Resource.Country AND User.department = Resource.Department

  • Izinkan Kontrol Penuh User.MemberOf(FinanceAdmin)

  • Izinkan Baca User.MemberOf(FinanceException)

Untuk membuat aturan akses pusat

  1. Di panel kiri Pusat Administratif Direktori Aktif, klik Tampilan Pohon, pilih Kontrol Akses Dinamis, lalu klik Aturan Akses Pusat.

  2. Klik kanan Aturan Akses Pusat, klik Baru, lalu klik Aturan Akses Pusat.

  3. Di bidang Nama , ketik Aturan Dokumen Keuangan.

  4. Di bagian Sumber Daya Target, klik Edit, dan dalam kotak dialog Aturan Akses Pusat, klik Tambahkan kondisi. Tambahkan kondisi berikut: [Resource] [Department] [Equals] [Value] [Finance], lalu klik OK.

  5. Di bagian Izin, pilih Gunakan izin berikut sebagai izin saat ini, klik Edit, dan di kotak dialog Keamanan Tingkat Lanjut Pengaturan untuk Izin klik Tambahkan.

    Catatan

    Gunakan opsi izin berikut sebagai izin yang diusulkan memungkinkan Anda membuat kebijakan dalam penahapan. Untuk informasi selengkapnya tentang cara melakukan ini, lihat bagian Pertahankan: Ubah dan tahapkan kebijakan dalam topik ini.

  6. Dalam kotak dialog Entri izin untuk Izin , klik Pilih prinsipal, ketik Pengguna Terautentikasi, lalu klik OK.

  7. Dalam kotak dialog Entri Izin untuk Izin , klik Tambahkan kondisi, dan tambahkan kondisi berikut: [Pengguna] [negara] [Salah satu] [Sumber Daya] [negara] Klik Tambahkan kondisi. [Dan] Klik [Pengguna] [Departemen] [Salah satu] [Sumber Daya] [Departemen]. Atur Izin ke Baca.

  8. Klik OK, lalu klik Tambahkan. Klik Pilih prinsipal, ketik FinanceAdmin, lalu klik OK.

  9. Pilih izin Ubah, Baca dan Jalankan, Baca, Tulis, lalu klik OK.

  10. Klik Tambahkan, klik Pilih prinsipal, ketik FinanceException, lalu klik OK. Pilih izin untuk dibaca dan Dibaca dan Dijalankan.

  11. Klik OK tiga kali untuk menyelesaikan dan kembali ke Pusat Administratif Direktori Aktif.

solution guidesPerintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

Penting

Dalam contoh cmdlet di atas, pengidentifikasi keamanan (SID) untuk grup FinanceAdmin dan pengguna ditentukan pada waktu pembuatan dan akan berbeda dalam contoh Anda. Misalnya, nilai SID yang disediakan (S-1-5-21-1787166779-1215870801-2157059049-1113) untuk FinanceAdmins perlu diganti dengan SID aktual untuk grup FinanceAdmin yang perlu Anda buat dalam penyebaran Anda. Anda dapat menggunakan Windows PowerShell untuk mencari nilai SID grup ini, menetapkan nilai tersebut ke variabel, lalu menggunakan variabel di sini. Untuk informasi selengkapnya, lihat Tips Windows PowerShell: Bekerja dengan SID.

Anda sekarang harus memiliki aturan akses pusat yang memungkinkan orang mengakses dokumen dari negara yang sama dan departemen yang sama. Aturan ini memungkinkan grup FinanceAdmin mengedit dokumen, dan memungkinkan grup FinanceException untuk membaca dokumen. Aturan ini hanya menargetkan dokumen yang diklasifikasikan sebagai Keuangan.

Untuk menambahkan aturan akses pusat ke kebijakan akses pusat

  1. Di panel kiri Pusat Administratif Direktori Aktif, klik Kontrol Akses Dinamis, lalu klik Kebijakan Akses Pusat.

  2. Di panel Tugas , klik Baru, lalu klik Kebijakan Akses Pusat.

  3. Di Buat Kebijakan Akses Pusat:, ketik Kebijakan Keuangan di kotak Nama .

  4. Di Aturan akses pusat anggota, klik Tambahkan.

  5. Klik dua kali Aturan Dokumen Keuangan untuk menambahkannya ke daftar Tambahkan aturan akses pusat berikut ini, lalu klik OK.

  6. Klik OK untuk menyelesaikan. Anda sekarang harus memiliki kebijakan akses pusat bernama Kebijakan Keuangan.

solution guidesPerintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

Untuk menerapkan kebijakan akses pusat di seluruh server file dengan menggunakan Kebijakan Grup

  1. Pada layar Mulai, di kotak Pencarian, ketik Manajemen Kebijakan Grup. Klik ganda Manajemen Kebijakan Grup.

    Tip

    Jika pengaturan Perlihatkan alat Administratif dinonaktifkan, folder Alat Administratif dan kontennya tidak akan muncul di hasil Pengaturan.

    Tip

    Di lingkungan produksi, Anda harus membuat Unit Organisasi Server File (OU) dan menambahkan semua server file Anda ke unit organisasi ini, yang ingin Anda terapkan kebijakan ini. Anda kemudian dapat membuat kebijakan grup dan menambahkan unit organisasi ini ke kebijakan tersebut..

  2. Dalam langkah ini, Anda mengedit objek kebijakan grup yang Anda buat di bagian Bangun pengendali domain di Lingkungan Pengujian untuk menyertakan kebijakan akses pusat yang Anda buat. Di Editor Manajemen Kebijakan Grup, navigasikan ke dan pilih unit organisasi di domain (contoso.com dalam contoh ini): Manajemen Kebijakan Grup, Forest: contoso.com, Domain, contoso.com, Contoso, FileServerOU.

  3. Klik kanan FlexibleAccessGPO, lalu klik Edit.

  4. Di jendela Editor Manajemen Kebijakan Grup, navigasikan ke Konfigurasi Komputer, perluas Kebijakan, perluas Pengaturan Windows, dan klik Pengaturan Keamanan.

  5. Perluas Sistem File, klik kanan Kebijakan Akses Pusat, lalu klik Kelola kebijakan akses Pusat.

  6. Dalam kotak dialog Konfigurasi Kebijakan Akses Pusat, tambahkan Kebijakan Keuangan, lalu klik OK.

  7. Gulir ke bawah ke Konfigurasi Kebijakan Audit Tingkat Lanjut, dan perluas.

  8. Perluas Kebijakan Audit, dan pilih Akses Objek.

  9. Klik ganda Audit Penahapan Kebijakan Akses Pusat. Pilih ketiga kotak centang lalu klik OK. Langkah ini memungkinkan sistem untuk menerima peristiwa audit yang terkait dengan Kebijakan Penahapan Akses Pusat.

  10. Klik ganda Properti Sistem File Audit. Pilih ketiga kotak centang lalu klik OK.

  11. Tutup Editor Manajemen Kebijakan Grup. Anda sekarang telah menyertakan kebijakan akses pusat ke Kebijakan Grup.

Agar pengendali domain domain memberikan klaim atau data otorisasi perangkat, pengontrol domain perlu dikonfigurasi untuk mendukung kontrol akses dinamis.

Untuk mengaktifkan dukungan klaim dan autentikasi majemuk untuk contoso.com

  1. Buka Manajemen Kebijakan Grup, klik contoso.com, lalu klik Pengendali Domain.

  2. Klik kanan Kebijakan Pengendali Domain Default, lalu klik Edit.

  3. Di jendela Editor Manajemen Kebijakan Grup, klik dua kali Konfigurasi Komputer, klik dua kali Kebijakan, klik dua kali Templat Administratif, klik ganda Sistem, lalu klik dua kali KDC.

  4. Klik dua kali Dukungan KDC untuk klaim, autentikasi majemuk, dan armoring Kerberos. Dalam kotak dialog Dukungan KDC untuk klaim, autentikasi majemuk, dan armoring Kerberos, klik Diaktifkan dan pilih Didukung dari daftar drop-down Opsi . (Anda perlu mengaktifkan pengaturan ini untuk menggunakan klaim pengguna dalam kebijakan akses pusat.)

  5. Tutup Manajemen Kebijakan Grup.

  6. Buka perintah dan ketik gpupdate /force.

Menyebarkan kebijakan akses pusat

Langkah # Langkah Contoh
3.1 Tetapkan CAP ke folder bersama yang sesuai di server file. Tetapkan kebijakan akses pusat ke folder bersama yang sesuai di server file.
3,2 Verifikasi bahwa akses dikonfigurasi dengan tepat. Periksa akses untuk pengguna dari berbagai negara dan departemen.

Dalam langkah ini Anda akan menetapkan kebijakan akses pusat ke server file. Anda akan masuk ke server file yang menerima kebijakan akses pusat yang Anda buat langkah-langkah sebelumnya dan menetapkan kebijakan ke folder bersama.

Untuk menetapkan kebijakan akses pusat ke server file

  1. Di Hyper-V Manager, sambungkan ke file1 server. Masuk ke server dengan menggunakan contoso\administrator dengan kata sandi: pass@word1.

  2. Buka prompt perintah yang ditingkatkan dan ketik: gpupdate /force. Ini memastikan bahwa perubahan Kebijakan Grup Anda berlaku di server Anda.

  3. Anda juga perlu me-refresh Properti Sumber Daya Global dari Direktori Aktif. Buka jendela Windows PowerShell yang ditingkatkan dan ketik Update-FSRMClassificationpropertyDefinition. Klik ENTER, lalu tutup Windows PowerShell.

    Tip

    Anda juga dapat menyegarkan Properti Sumber Daya Global dengan masuk ke server file. Untuk merefresh Properti Sumber Daya Global dari server file, lakukan hal berikut

    1. Masuk ke File Server FILE1 sebagai contoso\administrator, menggunakan kata sandi pass@word1.
    2. Buka File Server Resource Manager. Untuk membuka File Server Resource Manager, klik Mulai, ketik manajer sumber daya server file, lalu klik File Server Resource Manager.
    3. Di File Server Resource Manager, klik Manajemen Klasifikasi File, klik kanan Properti Klasifikasi lalu klik Refresh.

  4. Buka Windows Explorer, dan di panel kiri, klik drive D. Klik kanan folder Dokumen Keuangan, dan klik Properti.

  5. Klik tab Klasifikasi , klik Negara, lalu pilih AS di bidang Nilai .

  6. Klik Departemen, lalu pilih Keuangan di bidang Nilai lalu klik Terapkan.

    Catatan

    Ingatlah bahwa kebijakan akses pusat dikonfigurasi untuk menargetkan file untuk Departemen Keuangan. Langkah-langkah sebelumnya menandai semua dokumen di folder dengan atribut Negara dan Departemen.

  7. Klik tab Keamanan , lalu klik Tingkat Lanjut. Klik tab Kebijakan Pusat.

  8. Klik Ubah, pilih Kebijakan Keuangan dari menu drop-down, lalu klik Terapkan. Anda dapat melihat Aturan Dokumen Keuangan yang tercantum dalam kebijakan. Perluas item untuk menampilkan semua izin yang Anda tetapkan saat membuat aturan di Direktori Aktif.

  9. Klik OK untuk kembali ke Windows Explorer.

Pada langkah berikutnya, Anda memastikan bahwa akses dikonfigurasi dengan tepat. Akun pengguna harus memiliki set atribut Departemen yang sesuai (atur ini menggunakan Pusat Administratif Direktori Aktif). Cara paling sederhana untuk melihat hasil kebijakan baru yang efektif adalah dengan menggunakan tab Akses Efektif di Windows Explorer. Tab Akses Efektif memperlihatkan hak akses untuk akun pengguna tertentu.

Untuk memeriksa akses untuk berbagai pengguna

  1. Di Hyper-V Manager, sambungkan ke file1 server. Masuk ke server dengan menggunakan contoso\administrator. Navigasi ke D:\ di Windows Explorer. Klik kanan folder Dokumen Keuangan, lalu klik Properti.

  2. Klik tab Keamanan , klik Tingkat Lanjut, lalu klik tab Akses Efektif.

  3. Untuk memeriksa izin pengguna, klik Pilih pengguna, ketik nama pengguna, lalu klik Tampilkan akses efektif untuk melihat hak akses yang efektif. Contohnya:

    • Myriam Delesalle (MDelesalle) berada di departemen Keuangan dan harus memiliki akses Baca ke folder.

    • Miles Reid (MReid) adalah anggota grup FinanceAdmin dan harus memiliki Akses modifikasi ke folder.

    • Esther Valle (EValle) tidak berada di departemen Keuangan; namun, dia adalah anggota grup FinanceException dan harus memiliki akses Baca.

    • Maira Wenzel (MWenzel) tidak berada di departemen Keuangan dan bukan anggota grup FinanceAdmin atau FinanceException. Dia seharusnya tidak memiliki akses ke folder.

    Perhatikan bahwa kolom terakhir bernama Access dibatasi oleh di jendela akses yang efektif. Kolom ini memberi tahu Anda gerbang mana yang memengaruhi izin orang tersebut. Dalam hal ini, izin Berbagi dan NTFS memungkinkan semua pengguna kontrol penuh. Namun, kebijakan akses pusat membatasi akses berdasarkan aturan yang Anda konfigurasi sebelumnya.

Pertahankan: Ubah dan tahapkan kebijakan

Langkah # Langkah Contoh
4,1 Mengonfigurasi Klaim Perangkat untuk Klien Atur pengaturan kebijakan grup untuk mengaktifkan klaim perangkat
4.2 Aktifkan klaim untuk perangkat. Aktifkan jenis klaim negara untuk perangkat.
4.3 Tambahkan kebijakan penahapan ke aturan akses pusat yang ada yang ingin Anda ubah. Ubah Aturan Dokumen Keuangan untuk menambahkan kebijakan penahapan.
4.4 Lihat hasil kebijakan penahapan. Periksa izin Ester Velle.

Untuk menyiapkan pengaturan kebijakan grup guna mengaktifkan klaim untuk perangkat

  1. Masuk ke DC1, buka Manajemen Kebijakan Grup, klik contoso.com, klik Kebijakan Domain Default, klik kanan dan pilih Edit.

  2. Di jendela Editor Manajemen Kebijakan Grup, navigasikan ke Konfigurasi Komputer, Kebijakan, Templat Administratif, Sistem, Kerberos.

  3. Pilih dukungan klien Kerberos untuk klaim, autentikasi majemuk, dan armoring Kerberos, lalu klik Aktifkan.

Untuk mengaktifkan klaim untuk perangkat

  1. Buka Server DC1 di Hyper-V Manager dan masuk sebagai contoso\Administrator, dengan kata sandi pass@word1.

  2. Dari menu Alat , buka Pusat Administratif Direktori Aktif.

  3. Klik Tampilan Pohon, luaskan Kontrol Akses Dinamis, klik dua kali Jenis Klaim, dan klik dua kali klaim negara .

  4. Di Klaim jenis ini dapat dikeluarkan untuk kelas berikut, pilih kotak centang Komputer . Klik OK. Kotak centang Pengguna dan Komputer sekarang harus dipilih. Klaim negara sekarang dapat digunakan dengan perangkat selain pengguna.

Langkah selanjutnya adalah membuat aturan kebijakan penahapan. Kebijakan penahapan dapat digunakan untuk memantau efek entri kebijakan baru sebelum Anda mengaktifkannya. Pada langkah berikut, Anda akan membuat entri kebijakan penahapan dan memantau efeknya pada folder bersama Anda.

Untuk membuat aturan kebijakan penahapan dan menambahkannya ke kebijakan akses pusat

  1. Buka Server DC1 di Hyper-V Manager dan masuk sebagai contoso\Administrator, dengan kata sandi pass@word1.

  2. Buka Pusat Administratif Direktori Aktif.

  3. Klik Tampilan Pohon, perluas Kontrol Akses Dinamis, dan pilih Aturan Akses Pusat.

  4. Klik kanan Aturan Dokumen Keuangan, lalu klik Properti.

  5. Di bagian Izin yang Diusulkan, pilih kotak centang Aktifkan konfigurasi penahapan izin, klik Edit, lalu klik Tambahkan. Di jendela Entri Izin untuk Izin yang Diusulkan, klik tautan Pilih Prinsipal , ketik Pengguna Terautentikasi, lalu klik OK.

  6. Klik tautan Tambahkan kondisi dan tambahkan kondisi berikut: [Pengguna] [negara] [Salah satu] [Sumber Daya] [Negara].

  7. Klik Tambahkan kondisi lagi, dan tambahkan kondisi berikut: [Dan] [Perangkat] [negara] [Salah satu] [Sumber Daya] [Negara]

  8. Klik Tambahkan kondisi lagi, dan tambahkan kondisi berikut. [Dan] [Pengguna] [Grup] [Anggota apa pun] [Value](FinanceException)

  9. Untuk mengatur FinanceException, grup, klik Tambahkan item dan di jendela Pilih Pengguna, Komputer, Akun Layanan, atau Grup , ketik FinanceException.

  10. Klik Izin, pilih Kontrol Penuh, dan klik OK.

  11. Di jendela Advance Security Pengaturan untuk Izin yang Diusulkan, pilih FinanceException dan klik Hapus.

  12. Klik OK dua kali untuk menyelesaikan.

solution guidesPerintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

Catatan

Dalam contoh cmdlet di atas, nilai Server mencerminkan Server di lingkungan lab pengujian. Anda dapat menggunakan Penampil Riwayat Windows PowerShell untuk mencari cmdlet Windows PowerShell untuk setiap prosedur yang Anda lakukan di Pusat Administratif Direktori Aktif. Untuk informasi selengkapnya, lihat Penampil Riwayat Windows PowerShell

Dalam kumpulan izin yang diusulkan ini, anggota grup FinanceException akan memiliki Akses Penuh ke file dari negara mereka sendiri ketika mereka mengaksesnya melalui perangkat dari negara yang sama dengan dokumen. Entri audit tersedia di log keamanan Server File ketika seseorang dari departemen Keuangan mencoba mengakses file. Namun, pengaturan keamanan tidak diberlakukan sampai kebijakan dipromosikan dari penahapan.

Dalam prosedur berikutnya, Anda memverifikasi hasil kebijakan penahapan. Anda mengakses folder bersama dengan nama pengguna yang memiliki izin berdasarkan aturan saat ini. Esther Valle (EValle) adalah anggota FinanceException, dan saat ini dia memiliki hak Baca. Menurut kebijakan penahapan kami, EValle seharusnya tidak memiliki hak apa pun.

Untuk memverifikasi hasil kebijakan penahapan

  1. Koneksi ke File Server File1 di Manajer Hyper-V dan masuk sebagai contoso\administrator, dengan kata sandi pass@word1.

  2. Buka jendela Prompt Perintah dan ketik gpupdate /force. Ini memastikan bahwa perubahan Kebijakan Grup Anda akan berlaku pada server Anda.

  3. Di Hyper-V Manager, sambungkan ke CLIENT1 server. Keluar dari pengguna yang saat ini masuk. Mulai ulang komputer virtual, CLIENT1. Kemudian masuk ke komputer dengan menggunakan pass@word1 contoso\EValle.

  4. Klik dua kali pintasan desktop ke \\FILE1\Dokumen Keuangan. EValle seharusnya masih memiliki akses ke file. Beralih kembali ke FILE1.

  5. Buka Pemantau Peristiwa dari pintasan pada desktop. Perluas Log Windows, lalu pilih Keamanan. Buka entri dengan ID Peristiwa 4818di bawah kategori tugas Penahapan Kebijakan Akses Pusat. Anda akan melihat bahwa EValle diizinkan mengakses; namun, menurut kebijakan penahapan, pengguna akan ditolak aksesnya.

Langkah berikutnya

Jika Anda memiliki sistem manajemen server pusat seperti System Center Operations Manager, Anda juga dapat mengonfigurasi pemantauan untuk peristiwa. Ini memungkinkan Administrator untuk memantau efek kebijakan akses pusat sebelum memberlakukannya.