Menyebarkan Klaim Di Seluruh Forest
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Di Windows Server 2012 , jenis klaim adalah pernyataan tentang objek yang terkait dengannya. Jenis klaim didefinisikan per forest di Direktori Aktif. Ada banyak skenario di mana prinsip keamanan mungkin perlu melintasi batas kepercayaan untuk mengakses sumber daya di hutan tepercaya. Transformasi klaim lintas forest di Windows Server 2012 memungkinkan Anda mengubah klaim egress dan ingress yang melintasi forest sehingga klaim diakui dan diterima di hutan tepercaya dan tepercaya. Beberapa skenario dunia nyata untuk transformasi klaim adalah:
Memercayai forest dapat menggunakan transformasi klaim sebagai penjaga terhadap elevasi hak istimewa dengan memfilter klaim masuk dengan nilai tertentu.
Memercayai hutan juga dapat mengeluarkan klaim untuk prinsipal yang datang melalui batas kepercayaan jika hutan tepercaya tidak mendukung atau mengeluarkan klaim apa pun.
Hutan tepercaya dapat menggunakan transformasi klaim untuk mencegah jenis klaim dan klaim tertentu dengan nilai tertentu keluar ke hutan kepercayaan.
Anda juga dapat menggunakan transformasi klaim untuk memetakan berbagai jenis klaim antara kepercayaan dan hutan tepercaya. Ini dapat digunakan untuk menggeneralisasi jenis klaim, nilai klaim, atau keduanya. Tanpa ini, Anda perlu menstandarkan data antara forest sebelum Anda dapat menggunakan klaim. Menggeneralisasi klaim antara hutan tepercaya dan tepercaya mengurangi biaya TI.
Aturan transformasi klaim
Sintaks bahasa aturan transformasi membagi satu aturan menjadi dua bagian utama: serangkaian pernyataan kondisi dan pernyataan masalah. Setiap pernyataan kondisi memiliki dua subkomponen: pengidentifikasi klaim dan kondisi. Pernyataan masalah berisi kata kunci, pemisah, dan ekspresi masalah. Pernyataan kondisi secara opsional dimulai dengan variabel pengidentifikasi klaim, yang mewakili klaim input yang cocok. Kondisi memeriksa ekspresi. Jika klaim input tidak cocok dengan kondisi, maka mesin transformasi mengabaikan pernyataan masalah dan mengevaluasi klaim input berikutnya terhadap aturan transformasi. Jika semua kondisi cocok dengan klaim input, maka akan memproses pernyataan masalah.
Untuk informasi terperinci tentang bahasa aturan klaim, lihat Bahasa Aturan Transformasi Klaim.
Menautkan kebijakan transformasi klaim ke forest
Ada dua komponen yang terlibat dalam menyiapkan kebijakan transformasi klaim: objek kebijakan transformasi klaim dan tautan transformasi. Objek kebijakan hidup dalam konteks penamaan konfigurasi di forest, dan berisi informasi pemetaan untuk klaim. Tautan menentukan forest tepercaya dan tepercaya mana yang berlaku untuk pemetaan.
Penting untuk dipahami apakah forest adalah hutan tepercaya atau tepercaya karena ini adalah dasar untuk menautkan objek kebijakan transformasi. Misalnya, forest tepercaya adalah forest yang berisi akun pengguna yang memerlukan akses. Hutan kepercayaan adalah forest yang berisi sumber daya yang ingin Anda beri akses kepada pengguna. Klaim melakukan perjalanan ke arah yang sama dengan prinsip keamanan yang memerlukan akses. Misalnya, jika ada kepercayaan satu arah dari forest contoso.com ke forest adatum.com, klaim akan mengalir dari adatum.com ke contoso.com, yang memungkinkan pengguna dari adatum.com mengakses sumber daya di contoso.com.
Secara default, forest tepercaya memungkinkan semua klaim keluar untuk dilewati, dan hutan kepercayaan menghilangkan semua klaim masuk yang diterimanya.
Dalam skenario ini
Panduan berikut tersedia untuk skenario ini:
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang merupakan bagian dari skenario ini dan menjelaskan bagaimana mereka mendukungnya.
| Peran/fitur | Cara mendukung skenario ini |
|---|---|
| Layanan Domain Active Directory | Dalam skenario ini, Anda diharuskan untuk menyiapkan dua forest Direktori Aktif dengan kepercayaan dua arah. Anda memiliki klaim di kedua hutan. Anda juga menetapkan kebijakan akses pusat pada forest kepercayaan tempat sumber daya berada. |
| Peran Layanan File dan Penyimpanan | Dalam skenario ini, klasifikasi data diterapkan ke sumber daya di server file. Kebijakan akses pusat diterapkan ke folder tempat Anda ingin memberikan akses pengguna. Setelah transformasi, klaim memberikan akses pengguna ke sumber daya berdasarkan kebijakan akses pusat yang diterapkan ke folder di server file. |