Aracılığıyla paylaş


Talepleri Ormanlar Arasında Dağıtma

 

Uygulama Alanı: Windows Server 2012

Windows Server 2012’de talep türü, kendisiyle ilişkilendirilen nesne ile ilgili onayı ifade eder. Talep türleri, Active Directory’deki ormanlar için tanımlanır. Bir güvenlik sorumlusunun, güvenilen bir ormandaki kaynaklara erişmek için bir güven sınırının çapraz geçişini yapması gereken birçok senaryo vardır.Windows Server 2012’deki ormanlar arası talep dönüşümleri, taleplerin güvenen ve güvenilen ormanlarda tanınması ve kabul edilmesi için ormanların çapraz geçişini yapan çıkış ve giriş taleplerini dönüştürmenizi sağlar. Taleplerin dönüştürülmesine yönelik gerçek senaryolardan bazıları şunlardır:

  • Güvenen ormanlar, belirli değerleri içeren gelen talepleri filtreleyerek ayrıcalıkların yükseltilmesine karşı koruma için talep dönüştürmeyi kullanabilir.

    Güvenen ormanlar, aynı zamanda güvenilen ormanın herhangi bir talebi desteklemediği veya vermediği durumlarda bir güven sınırından gelen sorumlular için talepler verebilir.

  • Güvenilen ormanlar, belirli değerleri içeren belirli talep türlerinin ve taleplerin güvenen ormanın dışına çıkmasını engellemek için talep dönüştürmeyi kullanabilir.

  • Aynı zamanda talep dönüştürmeyi kullanarak güvenen ve güvenilen ormanlar arasında farklı talep türlerini eşleyebilirsiniz. Bu işlem talep türünü, talep değerini veya her ikisini birden genelleştirmek için kullanılabilir. Talep dönüştürme olmadan, talepleri kullanabilmek için öncelikle verileri ormanlar arasında standartlaştırmanız gerekir. Güvenen ve güvenilen ormanlar arasında taleplerin genelleştirilmesi BT maliyetlerini azaltır.

Talep dönüştürme kuralları

Dönüştürme kuralı dili söz dizimi, bir dizi koşul deyimi ve verme deyimi olmak üzere tek bir kuralı iki ana bölüme ayırır. Her bir koşul deyimi, talep tanıtıcısı ve koşul olmak üzere iki alt bileşene sahiptir. Verme deyimi anahtar sözcüklerden, ayırıcılardan ve bir verme ifadesinden oluşur. Koşul deyimi, isteğe bağlı olarak eşlenen giriş talebini temsil eden bir talep tanıtıcısı değişkeniyle başlar. Koşul, ifadeyi denetler. Giriş talebi koşul ile eşleşmezse, dönüştürme altyapısı verme deyimini yoksayarak sonraki giriş talebini dönüştürme kuralı için değerlendirir. Tüm koşullar giriş talebiyle eşleşirse, verme deyimini işler.

Talep kuralları dili hakkında daha ayrıntılı bilgi için bkz. Talep dönüştürme kuralları dil.

Talep dönüştürme ilkelerini ormanlara bağlama

Talep dönüştürme ilkelerinin ayarlanmasında, talep dönüştürme ilkesi nesneleri ve dönüştürme bağlantısı olmak üzere iki bileşen bulunur. İlke nesneleri bir ormandaki yapılandırma adlandırma bağlamında bulunur ve taleplere ait eşleme bilgilerini içerir. Bağlantı, eşlemenin geçerli olduğu güvenen ve güvenilen ormanları belirtir.

Dönüştürme ilkesi nesnelerini bağlamanın temeli olduğundan, ormanın güvenen bir orman mı yoksa güvenilen bir orman mı olduğunun anlaşılması önemlidir. Örneğin güvenilen orman, erişim gerektiren kullanıcı hesaplarını içeren ormandır. Güvenen orman ise kullanıcılara erişim hakkı vermek istediğiniz kaynakları içerir. Talepler, erişim gerektiren güvenlik sorumlusu ile aynı yönde ilerler. Örneğin, contoso.com ormanından adatum.com ormanına tek yönlü bir güven varsa, talepler adatum.com’dan contoso.com’a doğru akar ve adatum.com kullanıcılarının contoso.com ormanındaki kaynaklara erişmesini sağlar.

Varsayılan olarak, güvenilen bir orman tüm giden taleplerin geçirilmesine izin verirken güvenen bir orman aldığı tüm gelen talepleri bırakır.

Bu senaryoda bulunanlar

Bu senaryo için aşağıdaki kılavuzlar mevcuttur:

Bu senaryoya dahil edilen roller ve özellikler

Aşağıdaki tabloda, bu senaryonun parçası olan rol ve özellikler ve rolleri listelenmiş ve nasıl destekledikleri açıklanmıştır.

Rol/özellik

Bu senaryoyu nasıl destekler

Active Directory Etki Alanı Hizmetleri

Bu senaryoda, iki yönlü güven ile iki Active Directory ormanı oluşturmanız gerekir. Her iki ormanda da talepler bulunur. Aynı zamanda kaynakların bulunduğu güvenen ormanda merkezi erişim ilkeleri oluşturursunuz.

Dosya ve Depolama Hizmetleri rolü

Bu senaryoda, veri sınıflandırması dosya sunucularındaki kaynaklara uygulanır. Merkezi erişim ilkesi, kullanıcı erişimi vermek istediğiniz klasöre uygulanır. Dönüştürme işleminin ardından talep, dosya sunucusundaki klasöre uygulanan merkezi erişim ilkesini temel alarak kaynaklara yönelik kullanıcı erişimi sağlar.