Freigeben über


Bereitstellen von Ansprüchen über Gesamtstrukturen (Demonstrationsschritte)

In diesem Thema behandeln wir ein grundlegendes Szenario, das erklärt, wie Sie Anspruchstransformationen zwischen vertrauenden und vertrauenswürdigen Gesamtstrukturen konfigurieren. Sie erfahren, wie Richtlinienobjekte für die Anspruchstransformation erstellt und mit der Vertrauensstellung in der vertrauenden Gesamtstruktur und der vertrauenswürdigen Gesamtstruktur verknüpft werden können. Anschließend überprüfen Sie das Szenario.

Übersicht über das Szenario

Die Adatum Corporation erbringt Finanzdienstleistungen für Contoso, Ltd. Jedes Quartal kopieren die Buchhalter von Adatum ihre Kalkulationstabellen in einen Ordner auf einem Dateiserver, der sich bei Contoso, Ltd. befindet. Es wurde eine bidirektionale Vertrauensstellung zwischen Contoso und Adatum eingerichtet. Contoso, Ltd. möchte die Freigabe schützen, damit nur Adatum-Mitarbeiter auf die Remotefreigabe zugreifen können.

Szenario:

  1. Einrichten der Voraussetzungen und der Testumgebung

  2. Einrichten der Anspruchstransformation in der vertrauenswürdigen Gesamtstruktur (Adatum)

  3. Einrichten der Anspruchstransformation in der vertrauenden Gesamtstruktur (Contoso)

  4. Überprüfen des Szenarios

Einrichten der Voraussetzungen und der Testumgebung

Die Testkonfiguration umfasst das Einrichten von zwei Gesamtstrukturen: Adatum Corporation und Contoso, Ltd sowie das Einrichten einer bidirektionalen Vertrauensstellung zwischen Contoso und Adatum. „adatum.com“ ist die vertrauenswürdige Gesamtstruktur und „contoso.com“ ist die vertrauende Gesamtstruktur.

Das Szenario zur Anspruchstransformation veranschaulicht die Transformation eines Anspruchs in der vertrauenswürdigen Gesamtstruktur zu einem Anspruch in der vertrauenden Gesamtstruktur. Dazu müssen Sie eine neue Gesamtstruktur mit dem Namen „adatum.com“ einrichten und die Gesamtstruktur mit einem Testbenutzer mit dem Unternehmenswert „Adatum“ auffüllen. Sie müssen dann eine bidirektionale Vertrauensstellung zwischen contoso.com und adatum.com einrichten.

Wichtig

Wenn Sie die Gesamtstrukturen von Contoso und Adatum einrichten, müssen Sie sicherstellen, dass sich beide Stammdomänen auf der Domänenfunktionsebene von Windows Server 2012 befinden, damit die Anspruchstransformation funktioniert.

Sie müssen Folgendes für das Labor einrichten. Diese Verfahren werden in Anhang B: Einrichten der Testumgebung ausführlich erläutert.

Sie müssen die folgenden Verfahren implementieren, um das Labor für dieses Szenario einzurichten:

  1. Festlegen von Adatum als vertrauenswürdige Gesamtstruktur für Contoso

  2. Erstellen des Anspruchstyps „Company“ auf Contoso

  3. Aktivieren der Ressourceneigenschaft „Company“ für Contoso

  4. Erstellen der zentralen Zugriffsregel

  5. Erstellen der zentralen Zugriffsrichtlinie

  6. Veröffentlichen der neuen Richtlinie über die Gruppenrichtlinie

  7. Erstellen des Ordners „Ergebnis“ auf dem Dateiserver

  8. Festlegen der Klassifizierung und anwenden der zentralen Zugriffsrichtlinie auf den neuen Ordner

Verwenden Sie die folgenden Informationen, um dieses Szenario zu vervollständigen:

Objekte Details
Benutzer Jeff Low, Contoso
Benutzeransprüche für Adatum und Contoso ID: ad://ext/Company:ContosoAdatum,

Quellattribut: Company

Vorgeschlagene Werte: Contoso, Adatum Wichtig: Sie müssen die ID für den Anspruchstyp „Company“ sowohl bei Contoso als auch bei Adatum gleich festlegen, damit die Anspruchstransformation funktioniert.

Zentrale Zugriffsregel für Contoso AdatumEmployeeAccessRule
Zentrale Zugriffsrichtlinie für Contoso Zugriffsrichtlinie: Nur Adatum
Richtlinien für die Anspruchstransformation für Adatum und Contoso DenyAllExcept Company
Dateiordner für Contoso D:\EARNINGS

Einrichten der Anspruchstransformation in der vertrauenswürdigen Gesamtstruktur (Adatum)

In diesem Schritt erstellen Sie eine Transformationsrichtlinie in Adatum, um alle Ansprüche mit Ausnahme von „Company“ an Contoso zu übergeben.

Das Active Directory-Modul für Windows PowerShell bietet das Argument DenyAllExcept, mit dem alles außer den angegebenen Ansprüchen in der Richtlinie für die Transformation verworfen wird.

Um eine Anspruchstransformation festzulegen, müssen Sie eine Richtlinie für die Anspruchstransformation erstellen und diese mit den vertrauenswürdigen und vertrauenden Gesamtstrukturen verknüpfen.

Erstellen einer Richtlinie für die Anspruchstransformation in Adatum

So erstellen Sie eine Transformationsrichtlinie für Adatum, um alle Ansprüche mit Ausnahme von „Company“ zu verweigern.
  1. Melden Sie sich am Domänencontroller adatum.com als Administrator mit dem Kennwort pass@word1 an.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except Company"`
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"adatum.com" `
    
    

Festlegen eines Anspruchstransformationslinks auf das Domänenobjekt der Vertrauensstellung von Adatum

In diesem Schritt wenden Sie die neu erstellte Richtlinie für die Anspruchstransformation für das Domänenobjekt der Vertrauensstellung von Adatum für Contoso an.

So wenden Sie die Richtlinie für die Anspruchstransformation an
  1. Melden Sie sich am Domänencontroller adatum.com als Administrator mit dem Kennwort pass@word1 an.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:

    
      Set-ADClaimTransformLink `
    -Identity:"contoso.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    '"TrustRole:Trusted `
    
    

Einrichten der Anspruchstransformation in der vertrauenden Gesamtstruktur (Contoso)

In diesem Schritt erstellen Sie eine Richtlinie für die Anspruchstransformation für Contoso (der vertrauenden Gesamtstruktur), um alle Ansprüche außer „Company“ zu verweigern. Sie müssen eine Richtlinie für die Anspruchstransformation erstellen und sie mit der Vertrauensstellung der Gesamtstruktur verknüpfen.

Erstellen einer Richtlinie für die Anspruchstransformation in Contoso

So erstellen Sie eine Transformationsrichtlinie für Adatum, um alle Ansprüche mit Ausnahme von „Company“ zu verweigern.
  1. Melden Sie sich am Domänencontroller contoso.com als Administrator mit dem Kennwort pass@word1 an.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except company" `
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"contoso.com" `
    
    

Festlegen eines Anspruchstransformationslinks auf das Domänenobjekt der Vertrauensstellung von Contoso

In diesem Schritt wenden Sie die neu erstellte Richtlinie zur Anspruchstransformation auf das Domänenobjekt der contoso.com-Vertrauensstellung für Adatum an, um die Weiterleitung von „Company“ an contoso.com zu ermöglichen. Das Domänenobjekt der Vertrauensstellung heißt „adatum.com“.

So legen Sie die Richtlinie für die Anspruchstransformation fest
  1. Melden Sie sich am Domänencontroller contoso.com als Administrator mit dem Kennwort pass@word1 an.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein:

    
      Set-ADClaimTransformLink
    -Identity:"adatum.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    -TrustRole:Trusting `
    
    

Überprüfen des Szenarios

In diesem Schritt versuchen Sie, auf den Ordner D:\EARNINGS zuzugreifen, der auf dem Dateiserver FILE1 festgelegt wurde, um zu überprüfen, ob der Benutzer Zugriff auf den freigegebenen Ordner hat.

So stellen Sie sicher, dass der Adatum-Benutzer auf den freigegebenen Ordner zugreifen kann

  1. Melden Sie sich auf dem Clientcomputer, CLIENT1, als Jeff Low mit dem Kennwort pass@word1 an.

  2. Navigieren Sie zum Ordner \\FILE1.contoso.com\Earnings.

  3. Jeff Low sollte in der Lage sein, auf den Ordner zuzugreifen.

Zusätzliche Szenarien für Richtlinien zur Anspruchstransformation

Nachfolgend finden Sie eine Liste zusätzlicher allgemeiner Fälle für die Anspruchstransformation.

Szenario Richtlinie
Alle Ansprüche zulassen, die von Adatum stammen, um zu Contoso Adatum zu gelangen Code:
New-ADClaimTransformPolicy `
-Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche zuzulassen" `
-Name:"AllowAllClaimsPolicy" `
-AllowAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `
Alle Ansprüche verweigern, die von Adatum stammen, um zu Contoso Adatum zu gelangen Code:
New-ADClaimTransformPolicy `
-Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche zu verweigern" `
-Name:"DenyAllClaimsPolicy" `
-DenyAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`
Alle Ansprüche zulassen, die von Adatum stammen, außer „Company“ und „Department“, um zu Contoso Adatum zu gelangen Code
- New-ADClaimTransformationPolicy `
-Description:"Richtlinie zur Anspruchstransformation, um alle Ansprüche außer Company und Department zuzulassen" `
-Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-AllowAllExcept:company,department `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `