Déployer les revendications entre les forêts (procédure descriptive)
Dans cette rubrique, nous allons aborder un scénario de base qui explique comment configurer les transformations de revendications entre les forêts d’approbation et les forêts approuvées. Vous allez découvrir comment créer des objets de stratégie de transformation des revendications et les lier à l’approbation sur la forêt d’approbation et la forêt approuvée. Vous allez ensuite valider le scénario.
Présentation du scénario
Adatum Corporation fournit des services financiers à Contoso, Ltd. Chaque trimestre, les comptables d’Adatum copient les feuilles de calcul de leur compte dans un dossier sur un serveur de fichiers situé chez Contoso, Ltd. Une approbation bidirectionnelle est configurée de Contoso vers Adatum. Contoso, Ltd. souhaite protéger le partage afin que seuls les employés d’Adatum puissent accéder au partage distant.
Dans ce scénario :
Configurer la transformation des revendications sur une forêt approuvée (Adatum)
Configurer la transformation des revendications dans la forêt d’approbation (Contoso)
Configurer les prérequis et l’environnement de test
La configuration de test implique la configuration de deux forêts : Adatum Corporation et Contoso, Ltd, ainsi qu’une approbation bidirectionnelle entre Contoso et Adatum. « adatum.com » est la forêt approuvée et « contoso.com » est la forêt d’approbation.
Le scénario de transformation des revendications illustre la transformation d’une revendication dans la forêt approuvée en revendication dans la forêt d’approbation. Pour ce faire, vous devez configurer une nouvelle forêt appelée adatum.com et la remplir avec un utilisateur de test dont la valeur d’entreprise est « Adatum ». Vous devez ensuite configurer une approbation bidirectionnelle entre contoso.com et adatum.com.
Important
Lors de la configuration des forêts Contoso et Adatum, vous devez vous assurer que les deux domaines racines se trouvent au niveau fonctionnel du domaine Windows Server 2012 pour que la transformation des revendications fonctionne.
Vous devez configurer les éléments suivants pour le labo. Ces procédures sont expliquées en détail dans l’Annexe B : configuration de l’environnement de test
Vous devez implémenter les procédures suivantes pour configurer le labo pour ce scénario :
Activer la propriété de ressource « Entreprise » sur Contoso
Publier la nouvelle stratégie à l'aide de la stratégie de groupe
Définir la classification et appliquer la stratégie d’accès centralisée sur le nouveau dossier
Pour réaliser ce scénario, utilisez les informations suivantes :
| Objets | Détails |
|---|---|
| Utilisateurs | Jeff Low, Contoso |
| Revendications utilisateur sur Adatum et Contoso | ID : ad://ext/Company:ContosoAdatum, Attribut source : entreprise Valeurs suggérées : Contoso, Adatum Important : vous devez définir le même ID du type de revendication « Entreprise » sur Contoso et Adatum pour que la transformation des revendications fonctionne. |
| Règle d’accès centralisée sur Contoso | AdatumEmployeeAccessRule |
| Stratégie d’accès centralisée sur Contoso | Stratégie d’accès Adatum uniquement |
| Stratégies de transformation des revendications sur Adatum et Contoso | DenyAllExcept Entreprise |
| Dossier de fichiers sur Contoso | D:\EARNINGS |
Configurer la transformation des revendications sur une forêt approuvée (Adatum)
Dans cette étape, vous créez une stratégie de transformation dans Adatum afin de refuser toutes les revendications à transmettre à Contoso, à l’exception de « Entreprise ».
Le module Active Directory pour Windows PowerShell fournit l’argument DenyAllExcept, qui exclut tout, à l’exception des revendications spécifiées dans la stratégie de transformation.
Pour configurer une transformation des revendications, vous devez créer une stratégie de transformation des revendications et la lier entre les forêts d’approbation et les forêts approuvées.
Créer une stratégie de transformation des revendications dans Adatum
Pour créer une stratégie de transformation Adatum pour refuser toutes les revendications à l’exception de « Entreprise »
Connectez-vous au contrôleur de domaine adatum.com en tant que qu’administrateur avec le mot de passe pass@word1.
Ouvrez une invite de commandes avec élévation de privilèges dans Windows PowerShell et tapez ce qui suit :
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Définir un lien de transformation des revendications sur l’objet de domaine d’approbation d’Adatum
Dans cette étape, vous appliquez la stratégie de transformation des revendications nouvellement créée sur l’objet de domaine d’approbation d’Adatum pour Contoso.
Pour appliquer la stratégie de transformation des revendications
Connectez-vous au contrôleur de domaine adatum.com en tant que qu’administrateur avec le mot de passe pass@word1.
Ouvrez une invite de commandes avec élévation de privilèges dans Windows PowerShell et tapez ce qui suit :
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Configurer la transformation des revendications dans la forêt d’approbation (Contoso)
Dans cette étape, vous créez une stratégie de transformation des revendications dans Contoso (la forêt d’approbation) afin de refuser toutes les revendications, à l’exception de « Entreprise ». Vous devez créer une stratégie de transformation des revendications et la lier à la forêt d’approbation.
Créer une stratégie de transformation des revendications dans Contoso
Pour créer une stratégie de transformation Adatum pour tout refuser à l’exception de « Entreprise »
Connectez-vous au contrôleur de domaine contoso.com en tant que qu’administrateur avec le mot de passe pass@word1.
Ouvrez une invite de commandes avec élévation de privilèges dans Windows PowerShell et tapez ce qui suit :
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Définir un lien de transformation des revendications sur l’objet de domaine d’approbation de Contoso
Dans cette étape, vous appliquez la stratégie de transformation des revendications nouvellement créée sur l’objet de domaine d’approbation contoso.com pour Adatum afin d’autoriser la transmission de « Entreprise » à contoso.com. L’objet de domaine d’approbation est nommé adatum.com.
Pour définir la stratégie de transformation des revendications
Connectez-vous au contrôleur de domaine contoso.com en tant que qu’administrateur avec le mot de passe pass@word1.
Ouvrez une invite de commandes avec élévation de privilèges dans Windows PowerShell et tapez ce qui suit :
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Valider le scénario
Dans cette étape, vous essayez d’accéder au dossier D:\EARNINGS qui a été configuré sur le serveur de fichiers FILE1 pour vérifier que l’utilisateur a accès au dossier partagé.
Pour s’assurer que l’utilisateur d’Adatum peut accéder au dossier partagé
Connectez-vous à l’ordinateur client CLIENT1 en tant que Jeff Low avec le mot de passe pass@word1.
Accédez au dossier \\FILE1.contoso.com\Earnings.
Jeff Low doit pouvoir accéder au dossier.
Scénarios supplémentaires pour les stratégies de transformation des revendications
Voici une liste de cas courants supplémentaires dans la transformation des revendications.
| Scénario | Stratégie |
|---|---|
| Autoriser toutes les revendications provenant d’Adatum à passer à Contoso Adatum | Code - New-ADClaimTransformPolicy ` -Description : « Stratégie de transformation des revendications pour autoriser toutes les revendications » ` -Nom : « AllowAllClaimsPolicy » ` -AllowAll ` -Serveur : « contoso.com » ` Set-ADClaimTransformLink ` -Identité : « adatum.com » ` -Stratégie : « AllowAllClaimsPolicy » ` -TrustRole:Trusting ` -Serveur : « contoso.com » ` |
| Refuser toutes les revendications provenant d’Adatum à passer à Contoso Adatum | Code - New-ADClaimTransformPolicy ` -Description : « Stratégie de transformation des revendications pour refuser toutes les revendications » ` -Nom : « DenyAllClaimsPolicy » ` -DenyAll ` -Serveur : « contoso.com » ` Set-ADClaimTransformLink ` -Identité : « adatum.com » ` -Stratégie : « DenyAllClaimsPolicy » ` -TrustRole:Trusting ` -Serveur : « contoso.com »` |
| Autoriser toutes les revendications provenant d’Adatum, à l’exception de « Entreprise » et « Département » à passer à Contoso Adatum | Code - New-ADClaimTransformationPolicy ` -Description : « Stratégie de transformation des revendications pour autoriser toutes les revendications, à l’exception de celles d’entreprise et de département » ` -Nom : « AllowAllClaimsExceptCompanyAndDepartmentPolicy » ` -AllowAllExcept:company,department ` -Serveur : « contoso.com » ` Set-ADClaimTransformLink ` -Identité : « adatum.com » ` -Stratégie : « AllowAllClaimsExceptCompanyAndDepartmentPolicy » ` -TrustRole:Trusting ` -Serveur : « contoso.com » ` |
Voir aussi
Pour obtenir une liste de toutes les applets de commande Windows PowerShell disponibles pour la transformation des revendications, consultez Référence des applets de commande PowerShell Active Directory.
Pour les tâches avancées qui impliquent l’exportation et l’importation d’informations de configuration DAC entre deux forêts, utilisez la Référence PowerShell du contrôle d’accès dynamique