Crear una regla para permitir o denegar usuarios según una notificación entrante
En Windows Server 2016, puede usar una directiva de control de acceso para crear una regla que permita o deniegue usuarios en función de una notificación entrante. En Windows Server 2012 R2, puede usar la plantilla de regla Permitir o denegar el acceso a los usuarios según una notificación entrante en los Servicios de federación de Active Directory (AD FS) para crear una regla de autorización que conceda o deniegue el acceso de los usuarios al usuario de confianza en función del tipo y el valor de una notificación entrante.
Por ejemplo, puede usar esto para crear una regla que solo permita el acceso a los usuarios que tienen una notificación de grupo con un valor de Admins. del dominio. Si desea permitir que todos los usuarios accedan al usuario de confianza, use la directiva de control de acceso Permitir a todos o la plantilla de regla Permitir a todos los usuarios, según la versión de Windows Server que esté utilizando. Aún así, es posible que los usuarios que tienen permiso para acceder al usuario de confianza por parte del Servicio de federación tengan el acceso denegado por parte del usuario de confianza.
Puede usar el procedimiento que se indica a continuación para crear una regla de notificaciones con el complemento Administración de AD FS.
La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.
Para crear una regla que permita el acceso a los usuarios en función de una notificación entrante en Windows Server 2016
En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso.
Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso.
En el cuadro del nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar.
En el Editor de reglas, en usuarios, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior.
En la pantalla Seleccionar notificaciones, haga clic en el botón de radio Notificaciones, seleccione el Tipo de notificación, el Operador y el Valor de la notificación. A continuación, haga clic en Aceptar.
En el Editor de reglas, haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso, haga clic en Aceptar.
En el árbol de consola de Administración de AD FS, en AD FS, haga clic en Veracidades de usuarios de confianza.
Haga clic con el botón derecho en la relación de confianza para usuario autenticado a la que desea permitir el acceso y seleccione Editar directiva de control de acceso.
En el cuadro Directiva de control de acceso, seleccione la directiva y haga clic en Aplicar y Aceptar.
Para crear una regla que deniegue el acceso a los usuarios en función de una notificación entrante en Windows Server 2016
En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.
En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso.
Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso.
En el cuadro del nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar.
En el Editor de reglas, asegúrese de que todos los usuarios estén seleccionados y, en Excepto, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior.
En la pantalla Seleccionar notificaciones, haga clic en el botón de radio Notificaciones, seleccione el Tipo de notificación, el Operador y el Valor de la notificación. A continuación, haga clic en Aceptar.
En el Editor de reglas, haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso, haga clic en Aceptar.
En el árbol de consola de Administración de AD FS, en AD FS, haga clic en Veracidades de usuarios de confianza.
Haga clic con el botón derecho en la relación de confianza para usuario autenticado a la que desea permitir el acceso y seleccione Editar directiva de control de acceso.
En el cuadro Directiva de control de acceso, seleccione la directiva y haga clic en Aplicar y Aceptar.
Para crear una regla que permita o deniegue el acceso a los usuarios en función de una notificación entrante en Windows Server 2012 R2
En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.
En el árbol de consola, en AD FS\Relaciones de confianza\Relaciones de confianza para usuario autenticado, haga clic en una relación de confianza específica en la lista donde desea crear esta regla.
Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación.
En el cuadro de diálogo Editar reglas de notificación, haga clic en la pestaña Reglas de autorización de emisión o en la pestaña Reglas de autorización de delegación (según el tipo de regla de autorización que necesite) y, a continuación, haga clic en Agregar regla para iniciar el Asistente para agregar regla de notificación de autorización de emisión.
En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Permitir o denegar el acceso a los usuarios según una notificación entrante en la lista y haga clic en Siguiente.
En la página Configurar regla, en Nombre de regla de notificación, escriba el nombre para mostrar de esta regla; en Tipo de notificación entrante, seleccione un tipo de notificación en la lista; en Valor de notificación entrante, escriba un valor o haga clic en Examinar (si está disponible) y seleccione un valor. A continuación, seleccione una de las siguientes opciones, según las necesidades de su organización:
Permitir acceso a los usuarios con esta notificación entrante
Denegar acceso a los usuarios con esta notificación entrante
Haga clic en Finalizar
En el cuadro de diálogo Editar reglas de notificación, haga clic en Aceptar para guardar la regla.
Referencias adicionales
Configuración de regla de notificación
Cuándo usar una regla de notificación de autorización