Приложение Б. Настройка тестовой среды
В этом разделе описано, как создать лабораторию для тестирования динамического контроля доступа. Данные инструкции предназначены для последовательного применения, так как для многих компонентов существуют зависимости.
Необходимые компоненты
Требования к оборудованию и программному обеспечению
Требования к настройке лаборатории тестирования:
хост-сервер под управлением Windows Server 2008 R2 с SP1 и Hyper-V;
Копия ISO-файла Windows Server 2012
Копия ISO Для Windows 8
Microsoft Office 2010;
сервер под управлением Microsoft Exchange Server 2003 или более поздней версии.
Для тестирования динамического контроля доступа необходимо создать следующие виртуальные машины:
DC1 (контроллер домена);
DC2 (контроллер домена);
FILE1 (файловый сервер и службы управления правами Active Directory);
SRV1 (POP3- и SMTP-сервер);
CLIENT1 (клиентский компьютер с Microsoft Outlook).
Для виртуальных машин должны использоваться следующие пароли:
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
Все другие учетные записи: pass@word1
Создание виртуальных машин лаборатории тестирования
Установка роли Hyper-V
Роль Hyper-V необходимо установить на компьютере под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Установка роли Hyper-V
Нажмите кнопку Пуски выберите пункт "Диспетчер серверов".
В области "Сводка по ролям" окна диспетчера серверов нажмите кнопку Добавить роли.
На странице Выбор ролей сервера выберите Hyper-V.
На странице Создание виртуальных сетей выберите один или несколько сетевых адаптеров, чтобы их сетевое подключение было доступно виртуальным машинам.
На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
Для завершения установки компьютер необходимо перезагрузить. Нажмите кнопку Закрыть , чтобы закрыть мастер, и затем нажмите кнопку Да , чтобы перезапустить сервер.
После перезагрузки компьютера войдите в систему с той же учетной записью, что использовалась для установки роли. После завершения установки мастером нажмите кнопку Закрыть .
Создание внутренней виртуальной сети
Теперь вам необходимо создать внутреннюю виртуальную сеть с именем ID_AD_Network.
Создание виртуальной сети
Откройте диспетчер Hyper-V.
В меню Действия щелкните Диспетчер виртуальных сетей.
В разделе Создание виртуальной сетивыберите параметр Внутренняя.
Нажмите кнопку Добавить. Откроется страница Новая виртуальная сеть .
Введите в качестве имени новой сети ID_AD_Network . Просмотрите другие свойства и измените их при необходимости.
Нажмите кнопку OK , чтобы создать виртуальную сеть и закрыть диспетчер виртуальных сетей, или нажмите Применить , чтобы создать виртуальную сеть и продолжить работу с диспетчером виртуальных сетей.
Создание контроллера домена
Создайте виртуальную машину, которая будет использоваться как контроллер домена (DC1). Установите виртуальную машину с помощью ISO-файла Windows Server 2012 и назовите ее DC1.
Установка доменных служб Active Directory
Подключите виртуальную машину к сети ID_AD_Network. Войдите на контроллер домена DC1 как администратором с паролем pass@word1.
Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты.
На странице Перед началом работы нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее.
На странице Выбор целевого сервера нажмите кнопку Далее.
На странице Выбор ролей сервера выберите Доменные службы Active Directory. В диалоговом окне Мастер добавления ролей и компонентов щелкните Добавить компонентыи нажмите кнопку Далее.
На странице Выбор функций (Select features) нажмите кнопку Далее.
Просмотрите информацию на странице Доменные службы Active Directory и нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки щелкните Установить. Строка хода выполнения установки компонентов на странице "Результаты" обозначает, что выполняется установка роли.
На странице Результаты убедитесь в успешном завершении установки, а затем нажмите кнопку Закрыть. В диспетчере серверов щелкните значок предупреждения с восклицательным знаком в правом верхнем углу экрана, рядом с пунктом Управление. В списке задач выберите ссылку Повысить роль этого сервера до уровня контроллера домена .
На странице Конфигурация развертывания нажмите кнопку Добавить новый лес, введите имя корневого домена, contoso.com, а затем нажмите Далее.
На странице Параметры контроллера домена выберите функциональные уровни домена и леса как Windows Server 2012, введите для DSRM пароль pass@word1и нажмите кнопку Далее.
На странице Параметры DNS нажмите кнопку Далее.
На странице Дополнительные параметры нажмите кнопку Далее.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL (либо примите расположения, предлагаемые по умолчанию) и нажмите кнопку Далее.
На странице Просмотр параметров подтвердите выбранные параметры и нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
На странице Результаты убедитесь, что сервер успешно настроен в качестве контроллера домена, и нажмите кнопку Закрыть.
Перезапустите сервер, чтобы завершить установку служб AD DS. (По умолчанию это происходит автоматически.)
Создайте следующих пользователей с помощью центра администрирования Active Directory.
Создание пользователей и групп на сервере DC1
Войдите в домен contoso.com как администратор. Запустите центр администрирования Active Directory.
Создайте следующие группы безопасности:
Имя группы Электронная почта FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Создайте следующее подразделение:
Имя подразделения Компьютеры FileServerOU FILE1 Создайте следующих пользователей с указанными атрибутами:
User Username Адрес электронной почты Отдел Групповой Страна или регион Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com Операции FinanceException US Майра Вензел (Maira Wenzel) MWenzel MWenzel@contoso.com HR US Jeff Low JLow JLow@contoso.com HR US RMS Server rms rms@contoso.com Дополнительные сведения о создании групп безопасности см. в разделе Создание группы на веб-сайте Windows Server.
Создание объекта групповой политики
Наведите указатель на верхний правый угол экрана и щелкните значок поиска. В поле поиска введите управление групповыми политикамии щелкните Управление групповыми политиками.
Разверните узел Лес: contoso.com, а затем разверните узел Домены. Перейдите к contoso.com, разверните узел (contoso.com)и выберите FileServerOU. Щелкните правой кнопкой мыши Создать объект групповой политики в этом домене и связать его….
Введите имя объекта групповой политики (GPO), например FlexibleAccessGPO, а затем нажмите ОК.
Включение динамического контроля доступа для contoso.com
Откройте консоль управления групповой политикой, щелкните contoso.com, а затем дважды щелкните Контроллеры домена.
Щелкните правой кнопкой мыши пункт Политика контроллеров домена по умолчаниюи выберите команду Изменить.
В окне редактора управления групповой политикой дважды щелкните Конфигурация компьютера, дважды щелкните Политики, дважды щелкните Административные шаблоны, дважды щелкните Системаи дважды щелкните KDC.
Дважды щелкните Поддержка центра распространения ключей для утверждений, комплексной проверки подлинности и защиты Kerberos и установите флажок рядом с элементом Включено. Этот параметр необходимо включить, чтобы использовать централизованные политики доступа.
Откройте командную строку с расширенными привилегиями и выполните следующую команду:
gpupdate /force
Создание файлового сервера и сервера AD RMS (FILE1)
Создайте виртуальную машину с именем FILE1 из ISO-файла Windows Server 2012.
Подключите виртуальную машину к сети ID_AD_Network.
Присоедините виртуальную машину к домену contoso.com, а затем войдите в систему FILE1 как contoso\administrator, используя пароль pass@word1.
Установка диспетчера ресурсов файловых служб
Установка роли файловых служб и диспетчера ресурсов файлового сервера
В диспетчере сервера щелкните ссылку Добавить роли и компоненты.
На странице Перед началом работы нажмите кнопку Далее.
На странице Выбор типа установки нажмите кнопку Далее.
На странице Выбор целевого сервера нажмите кнопку Далее.
На странице Выбор ролей сервера разверните узел Файловые службы и службы хранилища, установите флажок рядом с элементом Файловые службы и службы iSCSI, разверните и выберите элемент Диспетчер ресурсов файлового сервера.
В мастере добавления ролей и компонентов щелкните Добавить компоненты, а затем нажмите кнопку Далее.
На странице Выбор функций (Select features) нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки щелкните Установить.
На странице Ход выполнения установки нажмите кнопку Закрыть.
Установка пакетов фильтров Microsoft Office на файловом сервере
Необходимо установить пакеты фильтров Microsoft Office в Windows Server 2012, чтобы включить IFilters для более широкого массива файлов Office, чем указано по умолчанию. Windows Server 2012 не имеет IFilters для файлов Microsoft Office, установленных по умолчанию, и инфраструктура классификации файлов использует IFilters для анализа содержимого.
Сведения о загрузке и установке фильтров IFilter см. в статье Пакеты фильтров Microsoft Office 2010.
Настройка уведомлений по электронной почте на сервере FILE1
При создании квот и фильтров блокировки файлов вы можете включить уведомления по электронной почте, которые отправляются пользователям при приближении к ограничению квоты или после попытки сохранить заблокированные файлы. Чтобы периодически уведомлять определенных администраторов о событиях превышения квоты и блокировки файлов, можно настроить одного или нескольких получателей. Для отправки этих уведомлений необходимо указать SMTP-сервер, который будет использоваться для переадресации сообщений электронной почты.
Настройка параметров электронной почты в диспетчере ресурсов файлового сервера
Откройте диспетчер ресурсов файлового сервера. Чтобы открыть диспетчер ресурсов файлового сервера, нажмите кнопку Пуск, введите диспетчер ресурсов файлового сервераи щелкните Диспетчер ресурсов файлового сервера.
В интерфейсе диспетчера ресурсов файлового сервера щелкните правой кнопкой мыши Диспетчер ресурсов файлового сервераи выберите пункт Настроить параметры. Откроется диалоговое окно Параметры диспетчера ресурсов файлового сервера .
На вкладке Уведомления по электронной почте в поле имени или IP-адреса SMTP-сервера введите имя узла или IP-адрес SMTP-сервера, который будет пересылать уведомления по электронной почте.
Если вы хотите регулярно уведомлять определенных администраторов о событиях квоты или проверки файлов в разделе получателей администраторов по умолчанию введите каждый адрес электронной почты, например fileadmin@contoso.com. Используйте формат "учетная_запись@домен", а несколько учетных записей разделяйте точкой с запятой.
Создание групп на файле FILE1
Создание групп безопасности на файле FILE1
Войдите на сервер FILE1 с учетной записью contoso\administrator и паролем pass@word1.
Добавьте "NT AUTHORITY\Прошедшие проверку" в группу WinRMRemoteWMIUsers__ .
Создание файлов и папок на сервере FILE1
Создайте новый том NTFS на сервере FILE1 и создайте следующую папку: D:\Finance Documents.
Создайте следующие файлы с указанными атрибутами:
Finance Memo.docx: Добавьте в документ текст, связанный с финансами. Например, "Бизнес-правила о том, кто может получить доступ к финансовым документам, изменились. Теперь финансовые документы доступны только членам группы FinanceExpert. Другие отделы или группы не имеют доступа. Вам необходимо оценить влияние этого изменения перед его применением в среде. Убедитесь, что на каждой странице документа есть нижний колонтитул "КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ CONTOSO".
Request for Approval to Hire.docx: Создайте форму в этом документе для сбора сведений о заявителе. В документе должны быть следующие поля: имя заявителя, номер социального страхования, должность, предлагаемая зарплата, дата начала работы, имя руководителя, отдел. Добавьте в документ раздел с формой, содержащей поля для подписи руководителя, утвержденной зарплаты, подтверждения предложенияи состояния предложения. Включите для документа управление правами.
Word Document1.docx: Добавьте в этот документ тестовое содержимое.
Word Document2.docx: Добавьте в этот документ тестовое содержимое.
Workbook1.xlsx
Workbook2.xlsx
Создайте на рабочем столе папку Regular Expressions. Создайте текстовый документ в папке RegEx-SSN. Введите следующее содержимое в файле, а затем сохраните и закройте файл: ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012])([ -]?)(?! 00)\d\d\3(?! 0000)\d{4}$
Предоставьте общий доступ к папке D:\Finance Documents as Finance Documents и предоставьте всем пользователям разрешения на чтение и запись в эту папку.
Примечание.
По умолчанию централизованные политики доступа не включены для системы или загрузочного тома C:.
Установка служб управления правами Active Directory
Добавьте службы управления правами Active Directory (AD RMS) и все необходимые компоненты с помощью диспетчера серверов. Оставьте все параметры по умолчанию.
Установка служб управления правами Active Directory
Войдите на сервер FILE1 как CONTOSO\Administrator или как участник группы администраторов домена.
Внимание
Чтобы установить роль сервера AD RMS, учетной записи установщика (в этом случае — CONTOSO\Administrator) необходимо предоставить членство в локальной группе администраторов на сервере, где будут установлены службы AD RMS, а также членство в группе администраторов предприятия в Active Directory.
В диспетчере сервера щелкните ссылку Добавить роли и компоненты. Откроется мастер добавления ролей и компонентов.
На странице Приступая к работе нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка на основе ролей или компонентови нажмите кнопку Далее.
На странице Выбор целей сервера нажмите кнопку Далее.
На странице Выбор ролей сервера установите флажок Службы управления правами Active Directory, а затем нажмите кнопку Далее.
В диалоговом окне Добавить компоненты, необходимые для служб управления правами Active Directory? нажмите кнопку Добавить компоненты.
На странице Выбор ролей сервера нажмите кнопку Далее.
На странице Выбор компонентов для установки нажмите кнопку Далее.
На странице Службы управления правами Active Directory нажмите кнопку "Далее".
На странице Выбор служб ролей нажмите кнопку Далее.
На экране Роль веб-сервера (IIS) нажмите кнопку Далее.
На странице Выбор служб ролей нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
После завершения установки на странице Ход выполнения установки щелкните Выполнить дополнительную настройку. Откроется окно мастера настройки служб управления правами Active Directory.
На странице AD RMS нажмите кнопку Далее.
На странице Кластер AD RMS выберите параметр Создать новый корневой кластер AD RMS и нажмите кнопку Далее.
На странице База данных конфигурации щелкните Использовать внутреннюю базу данных Windows на этом сервере, а затем нажмите Далее.
Примечание.
Рекомендуется использовать внутреннюю базу данных Windows для тестовых сред, так как она поддерживает только один сервер в кластере AD RMS. В производственных развертываниях следует использовать отдельный сервер баз данных.
На странице Учетная запись службы в разделе Учетная запись пользователя доменащелкните Указать , а затем введите имя пользователя (contoso\rms) и пароль (pass@word1). Затем нажмите кнопки ОКи Далее.
На странице Режим шифрования щелкните Режим шифрования 2.
На странице Хранилище ключей кластера нажмите кнопку Далее.
На странице Пароль ключа кластера в полях Пароль и Подтверждение пароля введите pass@word1, а затем нажмите кнопку Далее.
На странице Веб-сайт кластера убедитесь, что выбран параметр Веб-сайт по умолчанию , а затем нажмите кнопку Далее.
На странице Адрес кластера выберите параметр Использовать подключение без шифрования , в поле Полное доменное имя введите FILE1.contoso.com, а затем нажмите кнопку Далее.
В окне Имя сертификата лицензиара примите имя по умолчанию (FILE1) и нажмите кнопку Далее.
На странице Регистрация SCP выберите Зарегистрировать SCPи нажмите кнопку Далее.
На странице подтверждение нажмите кнопку Установить.
На странице Результаты нажмите кнопку Закрыть, а затем на странице Ход выполнения установки нажмите Закрыть . После завершения выйдите из системы и войдите как contoso\rms с указанным паролем (pass@word1).
Запустите консоль AD RMS и перейдите к разделу Шаблоны политики прав.
Чтобы открыть консоль AD RMS, в дереве консоли диспетчера серверов щелкните Локальный сервер , затем Средства, а затем щелкните Службы управления правами Active Directory.
Щелкните шаблон Создание шаблона политики распределенных прав в правой панели, нажмите кнопку Добавитьи выберите следующие значения:
Язык: US English
Имя: Contoso Finance Admin Only
Описание: Contoso Finance Admin Only
Нажмите кнопку Добавить, а затем кнопку Далее.
В разделе "Пользователи и права" щелкните "Пользователи" и "Права", нажмите кнопку "Добавить", введите financeadmin@contoso.comи нажмите кнопку "ОК".
Выберите Полный доступи оставьте параметр Предоставить владельцу (автору) право полного доступа без ограничения срока выбранным.
Не изменяйте ничего на оставшихся вкладках, нажмите кнопку Готово. Войдите от имени пользователя CONTOSO\Administrator.
Перейдите к папке C:\inetpub\wwwroot\_wmcs\certificate, выберите файл ServerCertification.asmx и добавьте прошедших проверку подлинности пользователей, чтобы иметь разрешения на чтение и запись в файл.
Откройте Windows PowerShell и запустите
Get-FsrmRmsTemplate
. Убедитесь, что вы можете видеть шаблон RMS, созданный ранее, при выполнении этой команды.
Внимание
Чтобы файловые серверы сразу же изменились и стали доступными для тестирования, выполните следующие действия.
На файловом сервере FILE1 откройте командную строку с повышенными полномочиями и выполните следующие команды:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
На контроллере домена DC1 выполните репликацию Active Directory.
Дополнительные сведения о том, как принудительно реплицировать Active Directory, см. в разделе Репликация Active Directory.
При необходимости вместо мастера добавления ролей и компонентов в диспетчере серверов можно использовать Windows PowerShell для установки и настройки роли сервера AD RMS, как показано в следующей процедуре.
Установка и настройка кластера AD RMS в Windows Server 2012 с помощью Windows PowerShell
Войдите как пользователь CONTOSO\Administrator с паролем pass@word1.
Внимание
Чтобы установить роль сервера AD RMS, учетной записи установщика (в этом случае — CONTOSO\Administrator) необходимо предоставить членство в локальной группе администраторов на сервере, где будут установлены службы AD RMS, а также членство в группе администраторов предприятия в Active Directory.
На рабочем столе сервера щелкните правой кнопкой значок Windows PowerShell в панели задач и выберите команду Запуск от имени администратора , чтобы открыть командную строку Windows PowerShell с административными привилегиями.
Чтобы использовать командлеты диспетчера серверов для установки роли сервера AD RMS, введите:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools
Создайте диск Windows PowerShell, который будет представлять устанавливаемый сервер AD RMS.
Например, чтобы создать диск Windows PowerShell с именем RC для установки и настройки первого сервера в корневом кластере AD RMS, введите:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster
Настройте свойства объектов в пространстве имен диска, представляющие необходимые параметры конфигурации.
Например, чтобы настроить учетную запись службы AD RMS, в командной строке Windows PowerShell введите:
$svcacct = Get-Credential
Когда откроется диалоговое окно безопасности Windows, введите имя пользователя домена учетной записи службы AD RMS CONTOSO\RMS и назначенный пароль.
Затем, чтобы назначить учетную запись службы AD RMS параметрам кластера AD RMS, введите следующую команду:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct
Затем, чтобы настроить сервер AD RMS для использования внутренней базы данных Windows, в командной строке Windows PowerShell введите:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true
Затем, чтобы надежно сохранить пароль ключа кластера в переменной, в командной строке Windows PowerShell введите:
$password = Read-Host -AsSecureString -Prompt "Password:"
Введите пароль ключа кластера и нажмите клавишу ВВОД.
Затем, чтобы назначить пароль ключа для установки служб AD RMS, в командной строке Windows PowerShell введите:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password
Чтобы настроить адрес кластера AD RMS, в командной строке Windows PowerShell введите:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"
Затем, чтобы назначить имя SLC для установки служб AD RMS, в командной строке Windows PowerShell введите:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"
Чтобы задать точку подключения службы (SLC) для кластера AD RMS, в командной строке Windows PowerShell введите:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true
Запустите командлет Install-ADRMS . Кроме установки роли сервера AD RMS и настройки сервера этот командлет также устанавливает другие компоненты, если они требуются для служб AD RMS.
Например, чтобы изменить диск Windows PowerShell с именем RC, а также установить и настроить службы AD RMS, введите:
Set-Location RC:\ Install-ADRMS -Path.
При отображении запроса на подтверждение установки нажмите Y.
Выйдите из учетной записи CONTOSO\Administrator и войдите как CONTOSO\RMS с использованием заданного пароля (pass@word1).
Внимание
Для управления сервером AD RMS, учетной записи, под которой вы вошли в систему и которую вы используете для управления сервером (в этом случае — CONTOSO\RMS), необходимо предоставить членство в локальной группе администраторов на сервере служб AD RMS, а также членство в группе администраторов предприятия в Active Directory.
На рабочем столе сервера щелкните правой кнопкой значок Windows PowerShell в панели задач и выберите команду Запуск от имени администратора , чтобы открыть командную строку Windows PowerShell с административными привилегиями.
Создайте диск Windows PowerShell, который будет представлять настраиваемый сервер AD RMS.
Например, чтобы создать диск Windows PowerShell с именем RC для настройки корневого кластера AD RMS, введите:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope Global
Чтобы создать шаблон прав для финансового администратора Contoso и назначить ему права полного доступа в вашей установке AD RMS, в командной строке Windows PowerShell введите:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')
Чтобы убедиться, что вы можете видеть новый шаблон прав для финансового администратора Contoso, в командной строке Windows PowerShell введите:
Get-FsrmRmsTemplate
Просмотрите выходные данные командлета и убедитесь, что шаблон RMS, созданный ранее, показан на экране.
Создание почтового сервера (SRV1)
SRV1 — это почтовый SMTP- и POP3-сервер. Его необходимо настроить так, чтобы он мог отправлять уведомления по электронной почте в сценарии с отказом в доступе.
Настройте на этом компьютере Microsoft Exchange Server. Дополнительные сведения см. в разделе Установка Exchange Server.
Создание клиентской виртуальной машины (CLIENT1)
Создание клиентской виртуальной машины
Подключите виртуальную машину CLIENT1 к сети ID_AD_Network.
Установите Microsoft Office 2010.
Войдите как Contoso\Administrator и настройте Microsoft Outlook с использованием следующих данных.
Ваше имя: Администратор файлов
Адрес электронной почты: fileadmin@contoso.com
Тип учетной записи: POP3
Сервер входящей почты: Статический IP-адрес SRV1
Сервер исходящей почты: Статический IP-адрес SRV1
Имя пользователя: fileadmin@contoso.com
Запомнить пароль: Выбрать
Создайте ярлык для Outlook на рабочем столе contoso\administrator.
Откройте Outlook и отправьте все сообщения "при первом запуске".
Удалите все созданные тестовые сообщения.
Создайте новый короткий срез на рабочем столе для всех пользователей на клиентской виртуальной машине, которая указывает на \\FILE1\Finance Documents.
При необходимости перезапустите систему.
Включение помощи при отказе в доступе на клиентской виртуальной машине
Откройте редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Задайте для параметра EnableShellExecuteFileStreamCheck значение 1.
Значение: DWORD
Настройка лаборатории для развертывания утверждений в нескольких лесах
Создание виртуальной машины для DC2
Создайте виртуальную машину из ISO-файла Windows Server 2012.
Создайте виртуальную машину с именем DC2.
Подключите виртуальную машину к сети ID_AD_Network.
Внимание
Для присоединения виртуальных машин к домену и развертывания типов утверждений в разных лесах виртуальные машины должны разрешать полные доменные имена соответствующих доменов. Для этого вам может понадобиться вручную настроить параметры DNS на виртуальных машинах. Подробнее см. в разделе Настройка виртуальной сети.
Все образы виртуальных машин (серверы и клиенты) необходимо повторно настроить для использования статического IP-адреса версии 4 (IPv4) и параметров DNS клиента. Дополнительные сведения см. в разделе Настройка DNS-клиента для статического IP-адреса.
Настройка нового леса с именем adatum.com
Установка доменных служб Active Directory
Подключите виртуальную машину к сети ID_AD_Network. Войдите на контроллер домена DC2 как администратор с паролем Pass@word1.
Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты.
На странице Перед началом работы нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее.
На странице Выбор конечного сервера щелкните Выберите сервер из пула серверов, щелкните имя сервера, на который требуется установить доменные службы Active Directory, и нажмите кнопку Далее.
На странице Выбор ролей сервера выберите Доменные службы Active Directory. В диалоговом окне Мастер добавления ролей и компонентов щелкните Добавить компонентыи нажмите кнопку Далее.
На странице Выбор компонентов нажмите кнопку Далее.
Просмотрите сведения на странице AD DS и нажмите кнопку Далее.
На странице подтверждения нажмите кнопку Установить. Строка хода выполнения установки компонентов на странице "Результаты" обозначает, что выполняется установка роли.
На странице Результаты убедитесь, что установка завершена успешно, а затем щелкните значок предупреждения с восклицательным знаком в правом верхнем углу экрана, рядом с пунктом Управление. В списке задач выберите ссылку Повысить роль этого сервера до уровня контроллера домена .
Внимание
Если закрыть мастер установки сейчас, а не щелкнуть Повысить роль этого сервера до уровня контроллера домена, вы можете продолжить установку служб AD DS, щелкнув Задачи в диспетчере серверов.
На странице Конфигурация развертывания нажмите кнопку Добавить новый лес, введите имя корневого домена, adatum.com, а затем нажмите Далее.
На странице Параметры контроллера домена выберите функциональные уровни домена и леса как Windows Server 2012, введите для DSRM пароль pass@word1и нажмите кнопку Далее.
На странице Параметры DNS нажмите кнопку Далее.
На странице Дополнительные параметры нажмите кнопку Далее.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL (либо примите расположения, предлагаемые по умолчанию) и нажмите кнопку Далее.
На странице Просмотр параметров подтвердите выбранные параметры и нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
На странице Результаты убедитесь, что сервер успешно настроен в качестве контроллера домена, и нажмите кнопку Закрыть.
Перезапустите сервер, чтобы завершить установку служб AD DS. (По умолчанию это происходит автоматически.)
Внимание
Чтобы убедиться, что сеть настроена правильно, выполните следующие действия после настройки лесов.
- Войдите в домен adatum.com как adatum\administrator. Откройте окно командной строки, введите команду nslookup contoso.comи нажмите клавишу ВВОД.
- Войдите в домен contoso.com как contoso\administrator. Откройте окно командной строки, введите команду nslookup adatum.comи нажмите клавишу ВВОД.
Если эти команды выполняются без ошибок, леса могут взаимодействовать друг с другом. Дополнительные сведения об ошибках nslookup см. в разделе об устранении неполадок статьи Использование NSlookup.exe.
Настройка contoso.com как доверяющего леса для adatum.com
На этом шаге вы создадите отношение доверия между сайтом корпорации Adatum и сайтом Contoso, Ltd.
Настройка Contoso как доверяющего леса для Adatum
Войдите на компьютер DC2 как администратор. На начальном экране введите domain.msc.
В дереве консоли щелкните adatum.com правой кнопкой мыши и выберите пункт "Свойства".
На вкладке Доверие выберите Создать доверие, а затем нажмите кнопку Далее.
На странице Имя доверия введите contoso.comв поле DNS-имени, а затем нажмите кнопку Далее.
На странице Тип доверия выберите Доверие леса, а затем нажмите кнопку Далее.
На странице Направление доверия щелкните Двухстороннее.
На странице Стороны отношения доверия щелкните Этот домен и указанный домен, а затем нажмите кнопку Далее.
Следуйте указаниям мастера.
Создание дополнительных пользователей в лесу Adatum
Создайте пользователя Jeff Low с паролем pass@word1и задайте для атрибута компании значение Adatum.
Создание пользователя с атрибутом "Компания"
В Windows PowerShell откройте командную строку с повышенными привилегиями и вставьте следующий код:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Создание типа утверждения "Компания" для adataum.com
Создание типа утверждения с помощью Windows PowerShell
Войдите в домен adatum.com как администратор.
В Windows PowerShell откройте командную строку с повышенными привилегиями и введите следующий код:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Включение свойства ресурса "Компания" для contoso.com
Включение свойства ресурса "Компания" для contoso.com
Войдите в домен contoso.com как администратор.
В диспетчере серверов откройте меню Сервиси щелкните Центр администрирования Active Directory.
В левой области центра администрирования Active Directory щелкните Представление в виде дерева. В левой области щелкните Динамический контроль доступа, а затем дважды щелкните Свойства ресурса.
Выберите Компания из списка Свойства ресурса , щелкните правой кнопкой и выберите Свойства. В разделе Предложенные значения нажмите кнопку Добавить , чтобы добавить предложенные значения, Contoso и Adatum, а затем дважды нажмите ОК .
Выберите Компания из списка Свойства ресурса , щелкните правой кнопкой и выберите Включить.
Включение динамического контроля доступа для adatum.com
Включение динамического контроля доступа для adatum.com
Войдите в домен adatum.com как администратор.
Откройте консоль управления групповой политикой, щелкните adatum.com, а затем дважды щелкните Контроллеры домена.
Щелкните правой кнопкой мыши пункт Политика контроллеров домена по умолчаниюи выберите команду Изменить.
В окне редактора управления групповой политикой дважды щелкните Конфигурация компьютера, дважды щелкните Политики, дважды щелкните Административные шаблоны, дважды щелкните Системаи дважды щелкните KDC.
Дважды щелкните Поддержка центра распространения ключей для утверждений, комплексной проверки подлинности и защиты Kerberos и установите флажок рядом с элементом Включено. Этот параметр необходимо включить, чтобы использовать централизованные политики доступа.
Откройте командную строку с расширенными привилегиями и выполните следующую команду:
gpupdate /force
Создание типа утверждения "Компания" для contoso.com
Создание типа утверждения с помощью Windows PowerShell
Войдите в домен contoso.com как администратор.
В Windows PowerShell откройте командную строку с повышенными привилегиями и введите следующий код:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Создание правила централизованного доступа
Создание правила централизованного доступа
В левой области центра администрирования Active Directory щелкните Представление в виде дерева. В левой области щелкните Динамический контроль доступа, а затем щелкните Правила централизованного доступа.
Щелкните правой кнопкой Правила централизованного доступа, выберите Создатьи щелкните Правило централизованного доступа.
В поле Имя введите AdatumEmployeeAccessRule.
В разделе Разрешения выберите параметр Использовать следующие разрешения как текущие , нажмите кнопку Изменитьи щелкните Добавить. Выберите ссылку Выберите субъект , введите Прошедшие проверкуи нажмите кнопку ОК.
В диалоговом окне Запись для разрешений щелкните Добавить условиеи введите следующие условия: [User] [Company] [Equals] [Value] [Adatum]. Необходимые разрешения: изменение, чтение, выполнение, чтение, запись.
Щелкните OK.
Нажмите кнопку ОК три раза, чтобы завершить операцию и вернуться в центр администрирования Active Directory.
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Создание централизованной политики доступа
Создание централизованной политики доступа
Войдите в домен contoso.com как администратор.
В Windows PowerShell откройте командную строку с повышенными привилегиями и вставьте следующий код:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Публикация новой политики с помощью групповой политики
Применение централизованной политики доступа на файловых серверах с помощью групповой политики
На экране Пуск введите Администрированиеи на панели Поиск щелкните Параметры. В списке результатов Параметры щелкните Администрирование. Откройте консоль управления групповой политикой в папке Администрирование .
Совет
Если параметр Показать средства администрирования отключен, папка "Администрирование" и ее содержимое не отображаются в списке результатов Параметры .
Щелкните домен contoso.com правой кнопкой мыши и выберите в контекстном меню пункт Создать объект групповой политики в этом домене и связать его...
Введите имя объекта групповой политики (GPO), например AdatumAccessGPO, а затем нажмите ОК.
Применение централизованной политики доступа на файловом сервере с помощью групповой политики
На начальном экране введите Управление групповой политикойв поле Поиск . Откройте Управление групповой политикой в папке "Администрирование".
Совет
Если параметр Показать средства администрирования отключен, папка «Администрирование» и ее содержимое не отображаются в списке результатов «Параметры».
Найдите и выберите Contoso следующим образом: Управление групповой политикой\Forest: contoso.com\Domains\contoso.com.
Щелкните правой кнопкой политику AdatumAccessGPO и выберите команду Изменить.
В редакторе управления групповой политикой щелкните Конфигурация компьютера, разверните узел Политики, разверните узел Параметры Windows, а затем щелкните Параметры безопасности.
Разверните узел Файловая система, щелкните правой кнопкой Централизованная политика доступаи выберите Управление централизованными политиками доступа.
В диалоговом окне Настройка централизованных политик доступа нажмите кнопку Добавить, выберите Только политика доступа Adatum, а затем нажмите кнопку ОК.
Закройте редактор управления групповыми политиками. Централизованная политика доступа добавлена в групповую политику.
Создание папки Earnings на файловом сервере
Создайте новый том NTFS на сервере FILE1 и создайте следующую папку: D:\Earnings.
Примечание.
По умолчанию централизованные политики доступа не включены для системы или загрузочного тома C:.
Настройка классификации и применение централизованной политики доступа к папке Earnings
Назначение централизованной политики доступа на файловом сервере
В диспетчере Hyper-V подключитесь к серверу FILE1. Войдите на сервер как Contoso\Administrator с паролем pass@word1.
Откройте командную строку с повышенными привилегиями и введите gpupdate /force. Эта команда применяет изменения групповой политики на сервере.
Вам также необходимо обновить глобальные свойства ресурсов из Active Directory. Откройте Windows PowerShell, введите
Update-FSRMClassificationpropertyDefinition
и затем нажмите клавишу ВВОД. Закройте Windows PowerShell.Откройте проводник и перейдите к папке D:\EARNINGS. Щелкните правой кнопкой мыши папку Earnings , а затем выберите Свойства.
Щелкните вкладку "Классификация". Выберите компанию и выберите Adatum в поле "Значение".
Нажмите кнопку Изменить, выберите Только политика доступа Adatum в раскрывающемся меню и нажмите кнопку Применить.
Перейдите на вкладку "Безопасность ", нажмите кнопку "Дополнительно" и перейдите на вкладку "Центральная политика ". Вы увидите список AdatumEmployeeAccessRule . Вы можете развернуть его, чтобы просмотреть все разрешения, заданные при создании правила в Active Directory.
Нажмите кнопку ОК , чтобы вернуться в проводник.