Compartir a través de


Crear una regla para permitir o denegar usuarios según una notificación entrante

En Windows Server 2016, puede usar una directiva de control de acceso para crear una regla que permita o deniegue usuarios en función de una notificación entrante. En Windows Server 2012 R2, puede usar la plantilla de regla Permitir o denegar el acceso a los usuarios según una notificación entrante en los Servicios de federación de Active Directory (AD FS) para crear una regla de autorización que conceda o deniegue el acceso de los usuarios al usuario de confianza en función del tipo y el valor de una notificación entrante.

Por ejemplo, puede usar esto para crear una regla que solo permita el acceso a los usuarios que tienen una notificación de grupo con un valor de Admins. del dominio. Si desea permitir que todos los usuarios accedan al usuario de confianza, use la directiva de control de acceso Permitir a todos o la plantilla de regla Permitir a todos los usuarios, según la versión de Windows Server que esté utilizando. Aún así, es posible que los usuarios que tienen permiso para acceder al usuario de confianza por parte del Servicio de federación tengan el acceso denegado por parte del usuario de confianza.

Puede usar el procedimiento que se indica a continuación para crear una regla de notificaciones con el complemento Administración de AD FS.

La pertenencia al grupo Administradores o equivalente en el equipo local es el requisito mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.

Para crear una regla que permita el acceso a los usuarios en función de una notificación entrante en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso. Screenshot that highlights Access Control Policies in the console tree.

  3. Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso. Screenshot that highlights the Add Access Control Policy menu option.

  4. En el cuadro del nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar. Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. En el Editor de reglas, en usuarios, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior. Screenshot that highlights where to select the underlined specific.

  6. En la pantalla Seleccionar notificaciones, haga clic en el botón de radio Notificaciones, seleccione el Tipo de notificación, el Operador y el Valor de la notificación. A continuación, haga clic en Aceptar. Screenshot that shows where to select the Claims option.

  7. En el Editor de reglas, haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso, haga clic en Aceptar.

  8. En el árbol de consola de Administración de AD FS, en AD FS, haga clic en Veracidades de usuarios de confianza. Screenshot that shows where to select Relying Party Trusts.

  9. Haga clic con el botón derecho en la relación de confianza para usuario autenticado a la que desea permitir el acceso y seleccione Editar directiva de control de acceso. Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. En el cuadro Directiva de control de acceso, seleccione la directiva y haga clic en Aplicar y Aceptar. Screenshot that shows where to select Apply and OK.

Para crear una regla que deniegue el acceso a los usuarios en función de una notificación entrante en Windows Server 2016

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS, haga clic en Directivas de control de acceso. Screenshot that shows where to select Access Control Policies.

  3. Haga clic con el botón derecho y seleccione Agregar directiva de control de acceso. Screenshot that shows where to add an Access Control Policy.

  4. En el cuadro del nombre, escriba un nombre para la directiva, una descripción y haga clic en Agregar. Screenshot that shows where to enter a name for your policy.

  5. En el Editor de reglas, asegúrese de que todos los usuarios estén seleccionados y, en Excepto, seleccione con notificaciones específicas en la solicitud y haga clic en la palabra específicas subrayada en la parte inferior. Screenshot that shows where to make sure that the everyone option is selected.

  6. En la pantalla Seleccionar notificaciones, haga clic en el botón de radio Notificaciones, seleccione el Tipo de notificación, el Operador y el Valor de la notificación. A continuación, haga clic en Aceptar. Screenshot that shows the Select Claims screen.

  7. En el Editor de reglas, haga clic en Aceptar. En la pantalla Agregar directiva de control de acceso, haga clic en Aceptar.

  8. En el árbol de consola de Administración de AD FS, en AD FS, haga clic en Veracidades de usuarios de confianza. create rule

  9. Haga clic con el botón derecho en la relación de confianza para usuario autenticado a la que desea permitir el acceso y seleccione Editar directiva de control de acceso. Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. En el cuadro Directiva de control de acceso, seleccione la directiva y haga clic en Aplicar y Aceptar. Screenshot that shows how go apply the changes to the Access Control Policy.

Para crear una regla que permita o deniegue el acceso a los usuarios en función de una notificación entrante en Windows Server 2012 R2

  1. En el Administrador del servidor, haga clic en Herramientas y, luego, seleccione Administración de AD FS.

  2. En el árbol de consola, en AD FS\Relaciones de confianza\Relaciones de confianza para usuario autenticado, haga clic en una relación de confianza específica en la lista donde desea crear esta regla.

  3. Haga clic con el botón derecho en la confianza seleccionada y elija Editar reglas de notificación. Screenshot that shows the Edit Claim Rules menu option.

  4. En el cuadro de diálogo Editar reglas de notificación, haga clic en la pestaña Reglas de autorización de emisión o en la pestaña Reglas de autorización de delegación (según el tipo de regla de autorización que necesite) y, a continuación, haga clic en Agregar regla para iniciar el Asistente para agregar regla de notificación de autorización de emisión. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. En la página Seleccionar plantilla de regla, en Plantilla de regla de notificación, seleccione Permitir o denegar el acceso a los usuarios según una notificación entrante en la lista y haga clic en Siguiente. Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. En la página Configurar regla, en Nombre de regla de notificación, escriba el nombre para mostrar de esta regla; en Tipo de notificación entrante, seleccione un tipo de notificación en la lista; en Valor de notificación entrante, escriba un valor o haga clic en Examinar (si está disponible) y seleccione un valor. A continuación, seleccione una de las siguientes opciones, según las necesidades de su organización:

    • Permitir acceso a los usuarios con esta notificación entrante

    • Denegar acceso a los usuarios con esta notificación entranteScreenshot that shows where to select the incoming claim type.

  7. Haga clic en Finalizar

  8. En el cuadro de diálogo Editar reglas de notificación, haga clic en Aceptar para guardar la regla.

Referencias adicionales

Configuración de regla de notificación

Lista de comprobación: crear reglas de notificación para una relación de confianza para usuario autenticado

Cuándo usar una regla de notificación de autorización

El papel de las notificaciones

El papel de las reglas de notificaciones