Menyebarkan Klaim Di Seluruh Forest (Langkah Demonstrasi)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Dalam topik ini, kita akan membahas skenario dasar yang menjelaskan cara mengonfigurasi transformasi klaim antara kepercayaan dan hutan tepercaya. Anda akan mempelajari bagaimana objek kebijakan transformasi klaim dapat dibuat dan ditautkan ke kepercayaan pada hutan kepercayaan dan hutan tepercaya. Anda kemudian akan memvalidasi skenario.
Gambaran umum skenario
Adatum Corporation menyediakan layanan keuangan untuk Contoso, Ltd. Setiap kuartal, akuntan Adatum menyalin spreadsheet akun mereka ke folder di server file yang terletak di Contoso, Ltd. Ada kepercayaan dua arah yang disiapkan dari Contoso ke Adatum. Contoso, Ltd. ingin melindungi berbagi sehingga hanya karyawan Adatum yang dapat mengakses berbagi jarak jauh.
Dalam skenario ini:
Menyiapkan prasyarat dan lingkungan pengujian
Konfigurasi pengujian melibatkan pengaturan dua forest: Adatum Corporation dan Contoso, Ltd, dan memiliki kepercayaan dua arah antara Contoso dan Adatum. "adatum.com" adalah hutan tepercaya dan "contoso.com" adalah hutan kepercayaan.
Skenario transformasi klaim menunjukkan transformasi klaim di hutan tepercaya menjadi klaim di hutan kepercayaan. Untuk melakukan ini, Anda perlu menyiapkan forest baru yang disebut adatum.com dan mengisi forest dengan pengguna uji dengan nilai perusahaan 'Adatum'. Anda kemudian harus menyiapkan kepercayaan dua arah antara contoso.com dan adatum.com.
Penting
Saat menyiapkan forest Contoso dan Adatum, Anda harus memastikan bahwa kedua domain akar berada di Tingkat Fungsi domain Windows Server 2012 agar transformasi klaim berfungsi.
Anda perlu menyiapkan yang berikut ini untuk lab. Prosedur ini dijelaskan secara rinci dalam Lampiran B: Menyiapkan Lingkungan Pengujian
Anda perlu menerapkan prosedur berikut untuk menyiapkan lab untuk skenario ini:
Gunakan informasi berikut untuk menyelesaikan skenario ini:
| Objek | Detail |
|---|---|
| Pengguna | Jeff Low, Contoso |
| Klaim pengguna pada Adatum dan Contoso | ID: ad://ext/Company:ContosoAdatum, Atribut sumber: perusahaan Nilai yang disarankan: Contoso, Adatum Important: Anda harus mengatur ID pada jenis klaim 'Perusahaan' pada Contoso dan Adatum agar transformasi klaim berfungsi. |
| Aturan akses pusat pada Contoso | AdatumEmployeeAccessRule |
| Kebijakan akses pusat di Contoso | Kebijakan Akses Hanya Adatum |
| Kebijakan Transformasi Klaim pada Adatum dan Contoso | DenyAllExcept Company |
| Folder file di Contoso | D:\PENDAPATAN |
Menyiapkan transformasi klaim pada hutan tepercaya (Adatum)
Dalam langkah ini Anda membuat kebijakan transformasi di Adatum untuk menolak semua klaim kecuali 'Perusahaan' untuk diteruskan ke Contoso.
Modul Direktori Aktif untuk Windows PowerShell menyediakan argumen DenyAllExcept , yang menghilangkan semuanya kecuali klaim yang ditentukan dalam kebijakan transformasi.
Untuk menyiapkan transformasi klaim, Anda perlu membuat kebijakan transformasi klaim dan menautkannya antara forest tepercaya dan tepercaya.
Membuat kebijakan transformasi klaim di Adatum
Untuk membuat kebijakan transformasi Adatum untuk menolak semua klaim kecuali 'Perusahaan'
Masuk ke pengendali domain, adatum.com sebagai Administrator dengan pass@word1 kata sandi.
Buka prompt perintah yang ditingkatkan di Windows PowerShell, dan ketik berikut ini:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Mengatur tautan transformasi klaim pada objek domain kepercayaan Adatum
Dalam langkah ini, Anda menerapkan kebijakan transformasi klaim yang baru dibuat pada objek domain kepercayaan Adatum untuk Contoso.
Untuk menerapkan kebijakan transformasi klaim
Masuk ke pengendali domain, adatum.com sebagai Administrator dengan pass@word1 kata sandi.
Buka prompt perintah yang ditingkatkan di Windows PowerShell, dan ketik berikut ini:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Menyiapkan transformasi klaim di hutan kepercayaan (Contoso)
Dalam langkah ini Anda membuat kebijakan transformasi klaim di Contoso (hutan kepercayaan) untuk menolak semua klaim kecuali 'Perusahaan.' Anda perlu membuat kebijakan transformasi klaim dan menautkannya ke kepercayaan hutan.
Membuat kebijakan transformasi klaim di Contoso
Untuk membuat kebijakan transformasi Adatum untuk menolak semua kecuali 'Perusahaan'
Masuk ke pengendali domain, contoso.com sebagai Administrator dengan pass@word1 kata sandi.
Buka prompt perintah yang ditingkatkan di Windows PowerShell dan ketik berikut ini:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Mengatur tautan transformasi klaim pada objek domain kepercayaan Contoso
Dalam langkah ini, Anda menerapkan kebijakan transformasi klaim yang baru dibuat pada objek domain kepercayaan contoso.com bagi Adatum untuk memungkinkan "Perusahaan" diteruskan ke contoso.com. Objek domain kepercayaan diberi nama adatum.com.
Untuk menetapkan kebijakan transformasi klaim
Masuk ke pengendali domain, contoso.com sebagai Administrator dengan pass@word1 kata sandi.
Buka prompt perintah yang ditingkatkan di Windows PowerShell dan ketik berikut ini:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Memvalidasi skenario
Dalam langkah ini Anda mencoba mengakses folder D:\EARNINGS yang disiapkan di file server FILE1 untuk memvalidasi bahwa pengguna memiliki akses ke folder bersama.
Untuk memastikan bahwa pengguna Adatum dapat mengakses folder bersama
Masuk ke komputer Klien, CLIENT1 sebagai Jeff Low dengan kata sandi pass@word1.
Telusuri ke folder \\FILE1.contoso.com\Earnings.
Jeff Low harus dapat mengakses folder.
Skenario tambahan untuk kebijakan transformasi klaim
Berikut ini adalah daftar kasus umum tambahan dalam transformasi klaim.
| Skenario | Kebijakan |
|---|---|
| Izinkan semua klaim yang berasal dari Adatum untuk dilalui ke Contoso Adatum | Kode- New-ADClaimTransformPolicy ' -Description:"Kebijakan transformasi klaim untuk mengizinkan semua klaim" ' -Name:"AllowAllClaimsPolicy" ' -AllowAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"AllowAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
| Tolak semua klaim yang berasal dari Adatum untuk melalui Contoso Adatum | Kode- New-ADClaimTransformPolicy ' -Description:"Kebijakan transformasi klaim untuk menolak semua klaim" ' -Name:"DenyAllClaimsPolicy" ' -DenyAll ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"DenyAllClaimsPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com"' |
| Izinkan semua klaim yang berasal dari Adatum kecuali "Perusahaan" dan "Departemen" untuk pergi ke Contoso Adatum | Kode - New-ADClaimTransformationPolicy ' -Description:"Kebijakan transformasi klaim untuk mengizinkan semua klaim kecuali perusahaan dan departemen" ' -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -AllowAllExcept:company,department ' -Server:"contoso.com" ' Set-ADClaimTransformLink ' -Identity:"adatum.com" ' -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ' -TrustRole:Trusting ' -Server:"contoso.com" ' |
Baca juga
Untuk daftar semua cmdlet Windows PowerShell yang tersedia untuk transformasi klaim, lihat Referensi Cmdlet PowerShell Direktori Aktif.
Untuk tugas lanjutan yang melibatkan ekspor dan impor informasi konfigurasi DAC di antara dua forest, gunakan Referensi PowerShell Kontrol Akses Dinamis