Развертывание утверждений в лесах

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В Windows Server 2012 тип утверждения — это утверждение о объекте, с которым он связан. Типы утверждений задаются в рамках леса Active Directory. Существует множество сценариев, в которых субъекту безопасности может потребоваться проход через границы отношений доверия для доступа к ресурсам в доверенном лесу. Преобразование утверждений между лесами в Windows Server 2012 позволяет преобразовывать исходящие и входящий трафик утверждения, которые проходят по лесам, чтобы утверждения распознались и принимаются в доверительных и доверенных лесах. Ниже приведены некоторые реальные сценарии для преобразования утверждений.

• Доверяющие леса могут использовать преобразование утверждений в качестве защиты от несанкционированного повышения привилегий, фильтруя входящие утверждения с определенными значениями.

  Доверяющие леса также могут выдавать утверждения для участников, поступающие через границы доверия, если доверенный лес не поддерживает или не выдает все утверждения.

• Доверенные леса могут использовать преобразование утверждений для предотвращения выхода определенных утверждений и типов утверждений с определенными значениями из доверяющего леса.

• Вы также можете использовать преобразование утверждений для сопоставления различных типов утверждений между доверяющими и доверенными лесами. Это можно использовать для обобщения типа утверждения, значения утверждения или того и другого. Без этого вам придется стандартизовать данные между лесами, прежде чем использовать утверждения. Обобщение утверждений между доверяющими и доверенными лесами снижает затраты на ИТ.

Правила преобразования утверждений

В синтаксисе языка правил преобразования правило подразделяется на две основные части: ряд условных операторов и инструкцию выдачи. Каждый условный оператор имеет два подкомпонента: идентификатор утверждения и условие. Инструкция выдачи содержит ключевые слова, разделители и выражение выдачи. Условный оператор может начинаться с переменной идентификатора утверждения, которая представляет соответствующее входное утверждение. Условие проверяет выражение. Если входное утверждение не соответствует условию, обработчик преобразования игнорирует инструкцию выдачи и приступает к оценке следующего входного утверждения относительно правила преобразования. Если входное утверждение соответствует всем условиям, обрабатывается инструкция выдачи.

Подробные сведения о языке правил для утверждений см. в разделе Claims Transformation Rules Language.

Связывание политик преобразования утверждений с лесами

В настройке политик преобразования утверждений участвуют два компонента: объекты политики преобразования утверждений и связь преобразования. Объекты политики существуют в контексте именования конфигурации в лесу, и они содержат сведения о сопоставлении для утверждений. Связь указывает, к каким доверяющим и доверенным лесам применяется сопоставление.

Важно понять, является ли лес доверяющим или доверенным, так как это является основой для связывания объектов политики преобразования. Например, доверенный лес — это лес, содержащий учетные записи пользователей, которым требуется доступ. Доверяющий лес — это лес, содержащий ресурсы, к которым требуется предоставить доступ пользователям. Утверждения перемещаются по тому же направлению, что и субъект безопасности, которому требуется доступ. Например, если существует одностороннее доверие леса contoso.com лесу adatum.com, утверждения будет перемещаться из adatum.com в contoso.com, что дает возможность пользователям из adatum.com получать доступ к ресурсам в contoso.com.

По умолчанию доверенный лес разрешает проход всех исходящих утверждений, а доверяющий лес удаляет все входящие утверждения, которые он получает.

Содержание сценария

Для этого сценария существует следующее руководство:

• Развертывание утверждений в лесах (демонстрационные шаги)

• Язык правил преобразования утверждений

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.

Роль/компонент	Способ поддержки сценария
Доменные службы Active Directory	В этом случае необходимо настроить два леса Active Directory с двусторонним отношением доверия. Утверждения имеются в обоих лесах. Кроме того, установлены централизованные политики доступа в доверяющем лесу, где находятся ресурсы.
Роль служб файлов и хранилищ	В этом сценарии классификация данных применяется к ресурсам на файловых серверах. Централизованная политика доступа применяется к папке, в которой вы хотите предоставить пользователю доступ. После преобразования утверждение предоставляет пользователю доступ к ресурсам на основе централизованной политики доступа, которая применяется к папке на файловом сервере.