Partilhar via


Implementar Afirmações Entre Florestas

 

Aplica-se a: Windows Server 2012

No Windows Server 2012, um tipo de afirmação é uma asserção sobre o objeto ao qual está associado. Tipos de afirmação são definidos por floresta no Active Directory. Existem vários cenários em que um principal de segurança poderá ter de atravessar um limite de fidedignidade para aceder a recursos numa floresta fidedigna. Transformação de afirmações entre florestas no Windows Server 2012 permite-lhe transformar afirmações de saída e entrada que atravessam florestas para que as afirmações sejam reconhecidas e aceites nas florestas de confiança e confiadoras. Alguns dos cenários reais de transformação de afirmações são:

  • As florestas confiadoras podem utilizar transformação de afirmações como proteção contra elevação de privilégio ao filtras as afirmações de entrada com valores específicos.

    As florestas confiadores também podem emitir afirmações para principais através de um limite fidedigno se a floresta fidedigna não suporta ou emitir quaisquer afirmações.

  • As florestas fidedignas podem utilizar a transformação de afirmações para impedir determinados tipos de afirmações com determinados valores de saírem da floresta fidedigna.

  • Também pode utilizar transformação de afirmações para mapear diferentes tipos de afirmações entre florestas fidedignas e confiadoras. Isto pode ser utilizado para generalize o tipo de afirmação, o valor de afirmação ou ambos. Sem isto, terá de padronizar os dados entre as florestas antes de poder utilizar as afirmações. Generalizar afirmações entre florestas confiadores e fidedignas reduz os custos de TI.

Regras de transformação de afirmações

A sintaxe de idioma de regras de transformação divide uma regra única em duas partes principais: uma série de declarações de condição e a declaração de problema. Cada instrução de condição tem dois subcomponentes: o identificador de afirmação e a condição. A instrução de emissão contém palavras-chave, delimitadores e uma expressão de problema. A declaração de condição opcionalmente começa com uma variável de identificador de afirmação, que representa a afirmação de entrada correspondida. A condição verifica a expressão. Se a afirmação de entrada não corresponde a condição, em seguida, o motor de transformação ignora a instrução de problema e avalia a afirmação de entrada seguinte contra a regra de transformação. Se todas as condições corresponderem a afirmação de entrada, processa a declaração de problema.

Para informações detalhadas sobre a linguagem de regras de afirmação, consulte Idioma de regras de transformação de afirmações.

Ligar políticas de transformação de afirmações para todas as florestas

Existem dois componentes envolvidos em configurar políticas de transformação de afirmação: objetos de política de transformação e a ligação de transformação de afirmação. Os objetos de política residem no contexto de nomenclatura de configuração numa floresta e contêm informações de mapeamento para as afirmações. A ligação especifica a que florestas confiadoras e fidedignas se aplica o mapeamento.

É importante compreender se a floresta é fidedigna ou confiadora porque esta é a base para ligar objetos de política de transformação. Por exemplo, a floresta fidedigna é a floresta que contém as contas de utilizador que necessitam de acesso. A floresta confiadora é a floresta que contém os recursos a que pretende conceder acesso de utilizadores. As afirmações viajam na mesma direção que o principal de segurança que requer o acesso. Por exemplo, se existir uma fidedignidade unidirecional da floresta contoso.com para a floresta adatum.com, as afirmações irão fluir de adatum.com para contoso.com, o que permite aos utilizadores do adatum.com aceder a recursos em contoso.com.

Por predefinição, uma floresta fidedigna permite todas as afirmações de saída passar e uma floresta confiadora remove todas as afirmações de entrada que receber.

Neste cenário

As seguintes orientações estão disponíveis para este cenário:

Funções e funcionalidades incluídas neste cenário

A tabela seguinte apresenta as funções e funcionalidades incluídas neste cenário e descreve o modo como o suportam.

Função/funcionalidade

Como suporta este cenário

Serviços de Domínio do Active Directory

Neste cenário, é necessário configurar duas florestas do Active Directory com uma fidedignidade bidirecional. Tem afirmações em ambas as florestas. Também define políticas de acesso central na floresta confiadora onde residem os recursos.

Função Serviços de Ficheiros e Armazenamento

Neste cenário, a classificação de dados é aplicada aos recursos de servidores de ficheiros. É aplicada a política de acesso central para a pasta onde pretende conceder acesso de utilizador. Depois da transformação, a afirmação concede acesso de utilizador a recursos baseada na política de acesso central que é aplicada para a pasta no servidor de ficheiros.