Distribuera anspråk över skogar

 

Gäller för: Windows Server 2012

I Windows Server 2012, är en anspråkstyp ett intyg om det objekt som det associeras med. Anspråkstyper definieras per skog i Active Directory. Det finns många scenarier där säkerhetsobjekt kan behöva passera en förtroendegräns för att få åtkomst till resurser i en betrodd skog. Med omvandling av anspråk mellan skogar i Windows Server 2012 kan du omvandla ut- och ingångsanspråk som passerar skogar så att anspråk identifieras och godkänns i skogar med förtroende och betrodda skogar. Här är några verkliga scenarier för omvandling av anspråk:

• Betrodda skogar kan använda anspråksomvandling som ett skydd mot utökade rättigheter genom att filtrera inkommande anspråk med specifika värden.

  Betrodda skogar kan också utfärda anspråk för säkerhetsobjekt som kommer över en förtroendegräns om den betrodda skogen inte stöder eller utfärdar några anspråk.

• Betrodda skogar kan använda anspråksomvandling för att förhindra vissa typer av anspråk och anspråk med vissa värden från att gå ut till den betrodda skogen.

• Du kan också använda anspråksomvandling för att mappa olika anspråkstyper mellan skogar med förtroende och betrodda skogar. Detta kan användas för att generalisera anspråkstypen, anspråksvärdet eller båda. Utan detta, behöver du standardisera data mellan skogar innan du kan använda anspråken. Att generalisera anspråken mellan skogar med förtroende och betrodda skogar minskar IT-kostnaderna.

Regler för anspråksomvandling

Språksyntaxen för omvandlingsregeln delar samma regel i två delar: en serie av villkorssatser och problemsatsen. Varje tillståndsinstruktionen har två delkomponenter: anspråksidentifierare och villkor. Problemsatsen innehåller nyckelord, avgränsare och ett uttryck för problemet. Villkorssatsen börjar alternativt med en variabel för anspråksidentifierare som representerar matchade inkommande anspråk. Villkoret söker efter uttrycket. Om det inkommande anspråket inte matchar villkoret, ignorerar omvandlingsmotorn problemsatsen och utvärderar nästa inkommande anspråk mot omvandlingsregeln. Om alla villkor matchar det inkommande anspråket, behandlar det problemsatsen.

Detaljerad information om språk för anspråksregler finns i Anspråk omvandling regler språk.

Länka principer för anspråksomvandling till skogar

Det finns två komponenter som ingår i konfigurering av principer för anspråksomvandling: principobjekt för anspråksomvandling och omvandlingslänken. Principobjekt finns i konfigurationsnamngivningen i en skog och de innehåller mappningsinformation för anspråken. Länken anger vilka skogar med förtroende och betrodda skogar mappningen gäller för.

Det är viktigt att förstå om skogen är den med förtroende eller den betrodda eftersom det är grunden för länkning av omvandlingsprincipobjekt. Till exempel är den betrodda skogen den skog som innehåller användarkonton som kräver åtkomst. Skogen med förtroende är skogen som innehåller resurser som du vill ge användare åtkomst till. Anspråk färdas i samma riktning som säkerhetsobjektet som kräver åtkomst. Exempel: om det finns ett envägsförtroende från skogen contoso.com till skogen adatum.com, flödar anspråk från adatum.com till contoso.com, vilket ger användare från adatum.com åtkomst till resurser i contoso.com.

Som standard tillåter en betrodd skog att alla utgående anspråk passerar och skogar med förtroende släpper alla inkommande anspråk som tas emot.

I detta scenario

Följande riktlinjer är tillgängliga för det här scenariot:

•  Distribuera anspråk i skogar (Demonstration steg)

• Anspråk omvandling regler språk

Roller och funktioner som ingår i det här scenariot

Följande tabell listar de roller och funktioner som ingår i det här scenariot samt en beskrivning av hur de stöder det.

Roll/funktion	Hur den stöds i detta scenario
Active Directory Domain Services	I det här fallet behöver du ställa in två Active Directory-skogar med ett dubbelriktat förtroende. Du har anspråk i båda skogarna. Du kan också ange centrala åtkomstprinciper på skogen med förtroende där resurserna finns.
Rollen Fil- och lagringstjänster	I detta scenario används dataklassificering till resurserna på filservrarna. Central åtkomstprincip tillämpas på mappen där du vill bevilja användare åtkomst. Efter omvandling ger anspråket användaråtkomst till resurser baserat på den centrala åtkomstprincip som tillämpas på mappen på filservern.