Distribuire attestazioni nelle foreste (passaggi dimostrativi)
In questo argomento verrà illustrato uno scenario di base che illustra come configurare le trasformazioni delle attestazioni tra foreste trusting e trusted. Si apprenderà come è possibile creare e collegare gli oggetti dei criteri di trasformazione delle attestazioni all'attendibilità nella foresta trusting e nella foresta trusted. Si convaliderà quindi lo scenario.
Panoramica dello scenario
Adatum Corporation fornisce servizi finanziari a Contoso, Ltd. Ogni trimestre, i commercialisti Adatum copiano i fogli di calcolo dell'account in una cartella in un file server che si trova in Contoso, Ltd. Esiste un trust bidirezionale configurato da Contoso ad Adatum. Contoso, Ltd. vuole proteggere la condivisione in modo che solo i dipendenti di Adatum possano accedere alla condivisione remota.
In questo scenario:
Configurare la trasformazione delle attestazioni nella foresta trusted (Adatum)
Configurare la trasformazione delle attestazioni nella foresta trusting (Contoso)
Configurare i prerequisiti e l'ambiente di test
La configurazione di test prevede la configurazione di due foreste: Adatum Corporation e Contoso, Ltd e una relazione di trust bidirezionale tra Contoso e Adatum. "adatum.com" è la foresta trusted e "contoso.com" è la foresta trusting.
Lo scenario di trasformazione delle attestazioni illustra la trasformazione di un'attestazione nella foresta attendibile in un'attestazione nella foresta trusting. A tale scopo, è necessario configurare una nuova foresta denominata adatum.com e popolare la foresta con un utente test con un valore aziendale "Adatum". È quindi necessario configurare un trust bidirezionale tra contoso.com e adatum.com.
Importante
Quando si configurano le foreste Contoso e Adatum, è necessario assicurarsi che entrambi i domini radice si trovino a livello di funzionalità del dominio di Windows Server 2012 per il funzionamento della trasformazione delle attestazioni.
Per il lab è necessario configurare quanto segue. Queste procedure sono illustrate in dettaglio in Appendice B: Configurazione dell'ambiente di test
Per configurare il lab per questo scenario, è necessario implementare le procedure seguenti:
Usare le informazioni seguenti per completare questo scenario:
| Oggetti | Dettagli |
|---|---|
| Utenti | Jeff Low, Contoso |
| Attestazioni utente in Adatum e Contoso | ID: ad://ext/Company:ContosoAdatum, Attributo di origine: società Valori suggeriti: Contoso, Adatum Importante: È necessario impostare l'ID sul tipo di attestazione ‘Company’ in Contoso e Adatum affinché la trasformazione delle attestazioni funzioni correttamente. |
| Regola di accesso centrale in Contoso | AdatumEmployeeAccessRule |
| Criteri di accesso centrale in Contoso | Criteri di accesso solo Adatum |
| Criteri di trasformazione delle attestazioni in Adatum e Contoso | DenyAllExcept Company |
| Cartella file in Contoso | D:\EARNINGS |
Configurare la trasformazione delle attestazioni nella foresta trusted (Adatum)
In questo passaggio si creano criteri di trasformazione in Adatum per negare tutte le attestazioni ad eccezione di "Società" da passare a Contoso.
Il modulo Active Directory per Windows PowerShell fornisce l'argomento DenyAllExcept, che elimina tutto tranne le attestazioni specificate nei criteri di trasformazione.
Per configurare una trasformazione delle attestazioni, è necessario creare un criterio di trasformazione delle attestazioni e collegarlo tra le foreste trusted e trusting.
Creare criteri di trasformazione delle attestazioni in Adatum
Per creare un criterio di trasformazione Adatum per negare tutte le attestazioni ad eccezione di 'Company'
Accedi al controller di dominio adatum.com come contoso\administrator con la password pass@word1.
Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare quanto segue:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Impostare un collegamento di trasformazione delle attestazioni nell'oggetto dominio trust di Adatum
In questo passaggio si applicano i criteri di trasformazione delle attestazioni appena creati nell'oggetto dominio di attendibilità di Adatum per Contoso.
Per applicare i criteri di trasformazione delle attestazioni
Accedi al controller di dominio adatum.com come contoso\administrator con la password pass@word1.
Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare quanto segue:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Configurare la trasformazione delle attestazioni nella foresta trusting (Contoso)
In questo passaggio si creano criteri di trasformazione delle attestazioni in Contoso (foresta trusting) per negare tutte le attestazioni ad eccezione di "Società". È necessario creare un criterio di trasformazione delle attestazioni e collegarlo al trust tra foreste.
Creare criteri di trasformazione delle attestazioni in Contoso
Per creare un criterio di trasformazione Adatum per negare tutto ad eccezione di 'Società'
Accedi al controller di dominio contoso.com come contoso\administrator con la password pass@word1.
Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare il codice seguente:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Impostare un collegamento di trasformazione delle attestazioni nell'oggetto dominio trust di Contoso
In questo passaggio si applicano i criteri di trasformazione delle attestazioni appena creati nell'oggetto dominio di attendibilità contoso.com per Adatum per consentire il passaggio di "Società" a contoso.com. L'oggetto dominio trust è denominato adatum.com.
Per impostare i criteri di trasformazione delle attestazioni
Accedi al controller di dominio contoso.com come contoso\administrator con la password pass@word1.
Aprire un prompt dei comandi con privilegi elevati in Windows PowerShell e digitare il codice seguente:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Convalidare lo scenario
In questo passaggio si tenta di accedere alla cartella D:\EARNINGS configurata nel file server FILE1 per verificare che l'utente abbia accesso alla cartella condivisa.
Per assicurarsi che l'utente Adatum possa accedere alla cartella condivisa
Accedere al computer client, CLIENT1 come Jeff Low con la password pass@word1.
Passare alla cartella \\FILE1.contoso.com\Earnings.
Jeff Low dovrebbe essere in grado di accedere alla cartella.
Scenari aggiuntivi per i criteri di trasformazione delle attestazioni
Di seguito è riportato un elenco di casi comuni aggiuntivi nella trasformazione delle attestazioni.
| Scenario | Criteri |
|---|---|
| Consentire a tutte le attestazioni provenienti da Adatum di passare a Contoso Adatum | Codice: New-ADClaimTransformPolicy` -Description:"Criteri di trasformazione delle attestazioni per consentire tutte le attestazioni" ` -Name:"AllowAllClaimsPolicy" ` -AllowAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
| Negare tutte le attestazioni provenienti da Adatum di passare a Contoso Adatum | Codice: New-ADClaimTransformPolicy` -Description:"Criteri di trasformazione delle attestazioni per negare tutte le attestazioni" ` -Name:"DenyAllClaimsPolicy" ` -DenyAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"DenyAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com"` |
| Consentire a tutte le attestazioni provenienti da Adatum ad eccezione di "Società" e "Reparto" di passare a Contoso Adatum | Codice - New-ADClaimTransformationPolicy ` -Description:"Criteri di trasformazione delle attestazioni per consentire tutte le attestazioni tranne società e reparto" ` -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -AllowAllExcept:company,department ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
Vedi anche
Per un elenco di tutti i cmdlet di Windows PowerShell disponibili per la trasformazione delle attestazioni, vedere Guida di riferimento ai cmdlet di PowerShell di Active Directory.
Per le attività avanzate che comportano l'esportazione e l'importazione di informazioni di configurazione dell'applicazione livello dati tra due foreste, usare i Riferimenti a PowerShell per Controllo dinamico degli accessi
Linguaggio delle regole di trasformazione delle attestazioni
Panoramica dello scenario di controllo dinamico degli accessi