중앙 액세스 정책 배포(데모 단계)

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 시나리오에서는 재무 부서 보안 운영 팀이 중앙 정보 보안 팀과 함께 파일 서버에 저장되어 있는 보관된 재무 정보를 보호하기 위해 중앙 액세스 정책의 필요성을 지정하는 단계에 대해 설명합니다. 각 국가의 보관된 재무 정보에는 해당 국가의 재무 직원이 읽기 전용으로 액세스할 수 있습니다. 중앙 재무 관리자 그룹은 모든 국가의 재무 정보에 액세스할 수 있습니다.

중앙 액세스 정책 배포는 다음 단계로 구성됩니다.

단계	설명
정책 및 배포에 필요한 구성에 대 한 필요성을 식별 하는 계획:	정책의 필요성 및 배포에 필요한 구성 확인
구현: 구성 요소 및 정책	구성 요소 및 정책 구성
중앙 액세스 정책 배포	정책 배포
변경: 유지 및 정책 준비	정책 변경 및 준비 합니다.

테스트 환경 설정

시작하기 전에 이 시나리오를 테스트할 랩을 설정해야 합니다. 랩 설정에 대 한 단계에서 자세히 설명 되어 부록 b: the 테스트 환경 설정을합니다.

정책 및 배포에 필요한 구성에 대 한 필요성을 식별 하는 계획:

이 섹션에서는 배포의 계획 단계에 도움이 되는 개략적인 단계를 제공합니다.

단계 #	Step	예시
1.1	회사에서 중앙 액세스 정책이 필요한 것으로 결정	파일 서버에 저장된 재무 정보를 보호하기 위해 재무 부서 보안 운영 팀은 중앙 정보 보안 팀과 함께 중앙 액세스 정책의 필요성을 지정합니다.
1.2	액세스 정책 표현	재무 문서는 재무 부서의 구성원만 볼 수 있어야 합니다. 재무 부서의 구성원은 해당 국가의 문서에만 액세스해야 합니다. 재무 관리자만 쓰기 권한이 있어야 합니다. FinanceException 그룹의 구성원에게는 예외가 허용됩니다. 이 그룹에는 읽기 권한이 부여됩니다.
1.3	Windows Server 2012 구문으로 액세스 정책 표현	대상: -Resource.Department 재무를 포함합니다. 액세스 규칙: -허용 읽기 User.Country=Resource.Country AND User.department = Resource.Department --모든 권한 User.MemberOf(FinanceAdmin)를 허용 하는 중 예외: Allow read memberOf(FinanceException)
1.4	정책에 필요한 파일 속성 결정	파일에 지정할 태그: -부서 -국가
1.5	정책에 필요한 클레임 유형 및 그룹 결정	클레임 유형: -국가 -부서 사용자 그룹: -FinanceAdmin -FinanceException
1.6	이 정책을 적용할 서버 결정	모든 재무 파일 서버에 정책을 적용합니다.

구현: 구성 요소 및 정책

이 섹션에서는 재무 문서에 대한 중앙 액세스 정책을 배포하는 예제를 제공합니다.

단계 #	Step	예시
2.1	클레임 유형 만들기	다음 클레임 유형을 만듭니다. -부서 -국가
2.2	리소스 속성 만들기	다음 리소스 속성을 만들고 사용하도록 설정합니다. -부서 -국가
2.3	중앙 액세스 규칙 구성	이전 섹션에서 결정한 정책이 포함된 Finance Documents 규칙을 만듭니다.
2.4	CAP(중앙 액세스 규칙) 구성	재무 정책이라는 CAP를 만들고 이 CAP에 Finance Documents 규칙을 추가합니다.
2.5	중앙 액세스 정책의 대상으로 파일 서버로 지정	파일 서버에 재무 정책 CAP를 게시합니다.
2.6	클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원 설정	contoso.com에 대해 클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원을 설정합니다.

다음 절차에서는 두 개의 클레임 형식 만들게: 국가 및 부서입니다.

클레임 유형을 만들려면

1. 암호를 사용 하 여 contoso\administrator로에서 Hyper-v 관리자에서 DC1 서버를 열고 pass@word1합니다.

2. Active Directory 관리 센터를 엽니다.

3. 클릭는 트리 뷰 아이콘, 확장 동적 액세스 제어, 를 선택한 다음 클레임 유형은합니다.

   마우스 오른쪽 단추로 클릭 클레임 유형, 클릭 새로, 를 클릭 하 고 클레임 유형합니다.

   팁

   열 수도 있습니다는 클레임 유형 만들기: 에서 창 고 작업 창. 에 작업 창에서 클릭 새로, 를 클릭 하 고 클레임 유형합니다.

4. 에 원본 특성 목록 특성 목록의 아래로 스크롤하여을 클릭 하 여 부서합니다. 이 채워야는 표시 이름 필드와 부서합니다. 확인을 클릭합니다.

5. 작업 창에서 클릭 새로, 를 클릭 하 고 클레임 유형합니다.

6. 에 원본 특성 목록, 특성 목록을 아래로 스크롤한 다음 클릭는 c 특성 (국가-이름). 에 표시 이름 필드를 입력 국가합니다.

7. 에 제안 값 섹션에서 다음 값이 제안 됨:, 를 클릭 하 고 추가.

8. 에 값 및 표시 이름 필드, 형식 미국, 를 클릭 하 고 확인합니다.

9. 위 단계를 반복합니다. 에 제안 값 추가 대화 상자에서 JP 에 값 및 표시 이름 필드 및 클릭 한 다음 확인합니다.

Windows PowerShell 해당 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

팁

Active Directory 관리 센터의 Windows PowerShell 기록 뷰어를 사용하여 Active Directory 관리 센터에서 수행하는 각 작업에 대한 Windows PowerShell cmdlet을 조회할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 기록 뷰어

다음 단계에서는 리소스 속성을 만듭니다. 아래 절차에 따라 파일 서버에서 사용할 수 있도록 도메인 컨트롤러의 전역 리소스 속성 목록에 자동으로 추가되는 리소스 속성을 만들 수 있습니다.

리소스 속성을 만들고 미리 만든 리소스 속성을 사용하려면

1. Active Directory 관리 센터의 왼쪽 창에서 트리 보기를 클릭합니다. 확장 동적 액세스 제어, 를 선택한 다음 리소스 속성합니다.

2. 마우스 오른쪽 단추로 클릭 리소스 속성, 클릭 새로, 를 클릭 하 고 참조 리소스 속성합니다.

   팁

   리소스 속성을 선택할 수도 있습니다는 작업 창입니다. 클릭 새로 클릭 하 고 참조 리소스 속성합니다.

3. 제안 된 값 목록을 공유 하려면 클레임 유형을 선택, 클릭 국가합니다.

4. 에 표시 이름 필드를 입력 국가, 를 클릭 하 고 확인합니다.

5. 두 번 클릭 하 고 리소스 속성 목록에서 아래로 스크롤하여는 부서 리소스 속성입니다. 마우스 오른쪽 단추를 클릭 한 다음 사용합니다. 이렇게 하면 기본 제공 부서 리소스 속성입니다.

6. 에 리소스 속성 목록 Active Directory 관리 센터 탐색 창에서 지금 할 두 가지 사용 가능한 리소스 속성:

   • 국가

   • 부서

Windows PowerShell 해당 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

다음 단계에서는 리소스에 액세스할 수 있는 사람을 정의하는 중앙 액세스 규칙을 만듭니다. 이 시나리오의 비즈니스 규칙은 다음과 같습니다.

• 재무 문서는 재무 부서의 구성원만 볼 수 있습니다.

• 재무 부서의 구성원은 해당 국가의 문서에만 액세스할 수 있습니다.

• 재무 관리자만 쓰기 권한을 가질 수 있습니다.

• FinanceException 그룹의 구성원에게는 예외가 허용됩니다. 이 그룹에는 읽기 권한이 부여됩니다.

• 관리자와 문서 소유자는 여전히 모든 권한을 가집니다.

또는 Windows Server 2012 구문으로 규칙을 표현 합니다.

재무 포함 되어 Resource.Department 목표 설정:

액세스 규칙:

• Allow read User.Country=Resource.Country AND User.department = Resource.Department

• Allow Full control User.MemberOf(FinanceAdmin)

• Allow Read User.MemberOf(FinanceException)

중앙 액세스 규칙을 만들려면

1. Active Directory 관리 센터의 왼쪽된 창에서 클릭 트리 뷰, 선택, 동적 액세스 제어, 를 클릭 하 고 중앙 액세스 규칙합니다.

2. 마우스 오른쪽 단추로 클릭 중앙 액세스 규칙, 클릭 새로, 를 클릭 하 고 중앙 액세스 규칙합니다.

3. 에 이름 필드를 입력 Finance Documents 규칙합니다.

4. 에 대상 리소스 섹션에서 클릭 편집, 및는 중앙 액세스 규칙 대화 상자를 클릭 하 여 조건을 추가. [리소스] [부서] [다음과 같음] [값] [재무] 조건을 추가하고 확인을 클릭합니다.

5. 에 사용 권한 섹션에서 다음 권한을 현재 권한으로 사용 하 여, 클릭 편집, 및는 권한에 대 한 고급 보안 설정 대화 상자 클릭 추가.

   참고 항목

   다음 권한을 임시 권한으로 사용 하 여 옵션 준비에는 정책을 만들 수 있습니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 유지 관리를 참조 하십시오: 변경 및 스테이지 정책 섹션을이 참조 합니다.

6. 에 사용 권한 권한 항목 대화 상자, 클릭 보안 주체 선택, 형식 Authenticated Users, 클릭 하 고 확인합니다.

7. 권한에 대한 권한 항목 대화 상자에서 조건 추가를 클릭하고 다음 조건을 추가합니다. [사용자] [국가] [모든] [리소스] [국가] 조건 추가를 클릭합니다. [그리고] [사용자] [부서] [모든] [리소스] [부서]를 클릭합니다. 설정의 권한을 에 읽기합니다.

8. 클릭 확인, 를 클릭 하 고 추가합니다. 클릭 보안 주체 선택, 형식 FinanceAdmin, 를 클릭 하 고 확인합니다.

9. 선택 된 수정, 읽기 및 실행, 읽기, 쓰기 권한과 클릭 한 다음 확인합니다.

10. 클릭 추가, 클릭 보안 주체 선택, 형식 FinanceException, 를 클릭 하 고 확인합니다. 되도록 사용 권한을 선택 읽기 및 읽기 및 실행합니다.

11. 확인 을 세 번 클릭하여 작업을 마치고 Active Directory 관리 센터로 돌아갑니다.

Windows PowerShell 해당 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

Important

위 예제 cmdlet에서 FinanceAdmin 그룹과 사용자의 SID(보안 식별자)는 만들 당시에 정해지므로 실제 예에서는 이와 다릅니다. 예를 들어 FinanceAdmins에 제공된 SID 값 (S-1-5-21-1787166779-1215870801-2157059049-1113)을 실제 배포에서 만들어야 하는 FinanceAdmin 그룹의 실제 SID로 바꿔야 합니다. 이 그룹의 SID 값을 조회를 해당 값을 변수에 할당 한 다음 변수를 여기서 사용 하려면 Windows PowerShell을 사용할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 팁: Sid합니다.

이제 사용자가 동일한 국가와 동일한 부서의 문서에 액세스할 수 있는 중앙 액세스 규칙이 만들어졌습니다. 이 규칙은 FinanceAdmin 그룹에서 문서를 편집할 수 있도록 허용하고, FinanceException 그룹에서 문서를 읽을 수 있도록 허용합니다. 이 규칙은 재무로 분류된 문서에만 적용됩니다.

중앙 액세스 정책에 중앙 액세스 규칙을 추가하려면

1. Active Directory 관리 센터의 왼쪽된 창에서 클릭 동적 액세스 제어, 를 클릭 하 고 중앙 액세스 정책을합니다.

2. 에 작업 창에서 클릭 새로, 를 클릭 하 고 중앙 액세스 정책.

3. 중앙 액세스 정책 만들기:, 형식 재무 정책 에 이름 상자입니다.

4. 구성원 중앙 액세스 규칙, 클릭 추가합니다.

5. 두 번 클릭 하는 Finance Documents 규칙 추가 하는 다음 중앙 액세스 규칙을 추가 목록을 연 다음 클릭 확인.

6. 클릭 확인 완료 합니다. 이제 재무 정책이라는 중앙 액세스 정책이 만들어졌습니다.

Windows PowerShell 해당 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

그룹 정책을 사용하여 파일 서버에서 중앙 액세스 정책을 적용하려면

1. 에 시작 화면의 검색 상자에 입력 합니다 그룹 정책 관리합니다. 두 번 클릭 그룹 정책 관리합니다.

   팁

   하는 경우는 관리 도구 표시 설정은 사용자가 관리 도구 폴더와 해당 내용에 표시 되지 것입니다는 설정을 결과입니다.

   팁

   프로덕션 환경에서는 파일 서버 OU(조직 단위)를 만들고 이 OU에 이 정책을 적용할 모든 파일 서버를 추가해야 합니다. 그런 다음 그룹 정책을 만들고 해당 정책에 이 OU를 추가할 수 있습니다.

2. 이 단계에서에서 만든 그룹 정책 개체 편집 도메인 컨트롤러 빌드 만든 중앙 액세스 정책을 포함 하도록 테스트 환경에서 섹션입니다. 그룹 정책 관리 편집기에서 탐색 하 고 (이 예에서는 contoso.com) 도메인에 조직 구성 단위를 선택 합니다.: 그룹 정책 관리, 포리스트: contoso.com, 도메인, contoso.com, Contoso, FileServerOU합니다.

3. 마우스 오른쪽 단추로 클릭 FlexibleAccessGPO, 를 클릭 하 고 편집합니다.

4. 그룹 정책 관리 편집기 창에서 이동 컴퓨터 구성, 확장 정책, 확장 Windows 설정, 를 클릭 하 고 보안 설정을합니다.

5. 파일 시스템을 확장하고 중앙 액세스 정책을 마우스 오른쪽 단추로 클릭한 다음 중앙 액세스 정책 관리를 클릭합니다.

6. 에 중앙 액세스 정책 구성 대화 상자에서 추가 재무 정책, 를 클릭 하 고 확인합니다.

7. 아래로 스크롤하여 고급 감사 정책 구성, 를 확장 합니다.

8. 확장 감사 정책을, 를 선택 하 고 개체 액세스합니다.

9. 두 번 클릭 중앙 액세스 정책 준비 감사합니다. 세 개의 모든 확인란을 선택한 다음 클릭 확인합니다. 이 단계를 수행하면 시스템에서 중앙 액세스 준비 정책과 관련된 감사 이벤트를 받을 수 있습니다.

10. 두 번 클릭 파일 시스템 속성 감사합니다. 세 개의 모든 확인란을 선택한 다음 클릭 확인합니다.

11. 그룹 정책 관리 편집기를 닫습니다. 이제 그룹 정책에 중앙 액세스 정책이 포함되었습니다.

클레임 또는 디바이스 권한 부여 데이터를 제공 하는 도메인의 도메인 컨트롤러에 대 한 도메인 컨트롤러가 동적 액세스 제어를 지원 하도록 구성 해야 합니다.

contoso.com에 대해 클레임 및 복합 인증을 지원하려면

1. 그룹 정책 관리를 열고 contoso.com, 를 클릭 하 고 도메인 컨트롤러합니다.

2. 기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭한 다음, 편집을 클릭합니다.

3. 그룹 정책 관리 편집기 창에서 컴퓨터 구성, 정책, 관리 템플릿, 시스템, KDC를 차례로 두 번 클릭합니다.

4. 두 번 클릭 클레임에 대 한 KDC 지원 복합 인증 및 Kerberos 아머 링합니다. 에 클레임에 대 한 KDC 지원 복합 인증 및 Kerberos 아머 링 대화 상자, 클릭 Enabled 선택 하 고 지원 되 에서 옵션 드롭 다운 목록. 중앙 액세스 정책에서 사용자 클레임을 사용하려면 이 설정을 지정해야 합니다.

5. 그룹 정책 관리를 닫습니다.

6. 명령 프롬프트를 열고 gpupdate /force를 입력합니다.

중앙 액세스 정책 배포

단계 #	Step	예시
3.1	파일 서버의 적절한 공유 폴더에 CAP 할당	파일 서버의 적절한 공유 폴더에 중앙 액세스 정책을 할당합니다.
3.2	액세스가 적절하게 구성되었는지 확인	다른 국가 및 부서의 사용자에 대한 액세스를 확인합니다.

이 단계에서는 파일 서버에 중앙 액세스 정책을 할당합니다. 이전 단계에서 만든 중앙 액세스 정책을 수신하는 파일 서버에 로그온하여 정책을 공유 폴더에 할당합니다.

파일 서버에 중앙 액세스 정책을 할당하려면

1. Hyper-V 관리자에서 FILE1 서버에 연결합니다. Contoso\administrator 암호로 사용 하 여 서버에 로그온: pass@word1합니다.

2. 관리자 권한 명령 프롬프트를 열고 gpupdate /force를 입력합니다. 그러면 그룹 정책 변경 내용이 서버에 적용됩니다.

3. 또한 Active Directory에서 전역 리소스 속성을 새로 고쳐야 합니다. 관리자 권한 Windows PowerShell 창을 열고 Update-FSRMClassificationpropertyDefinition을 입력합니다. Enter 키를 클릭하고 Windows PowerShell을 닫습니다.

   팁

   파일 서버에 로그온하여 전역 리소스 속성을 새로 고칠 수도 있습니다. 파일 서버에서 전역 리소스 속성을 새로 고치려면 다음을 수행합니다

   1. 암호를 사용 하 여 contoso\administrator로 파일 서버 파일을 1에 로그온 pass@word1합니다.
   2. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.
   3. 파일 서버 리소스 관리자에서 클릭 파일 분류 관리 , 를 마우스 오른쪽 단추로 클릭 분류 속성 클릭 하 고 새로 고침합니다.

4. Windows 탐색기를 열고 왼쪽된 창에서 4. 마우스 오른쪽 단추로 클릭 하는 드라이브는 재무 문서 클릭 속성합니다.

5. 클릭는 분류 탭을 클릭 국가, 를 선택한 다음 미국 에 값 필드입니다.

6. 클릭 부서, 을 선택한 다음 재무 에 값 필드를 클릭 한 다음 적용합니다.

   참고 항목

   중앙 액세스 정책은 재무 부서의 파일에 적용되도록 구성되었음을 기억해야 합니다. 위 단계를 수행하면 폴더의 모든 문서에 국가 및 부서 특성이 표시됩니다.

7. 클릭 하 고 보안 탭을 클릭 한 후 고급합니다. 클릭 하 고 중앙 정책 탭 합니다.

8. 클릭 변경, 선택, 재무 정책 클릭 한 다음 확인 하 고 드롭다운 메뉴에서 적용합니다. 볼 수는 Finance Documents 규칙 는 정책에 나열 합니다. 항목을 확장하여 Active Directory에서 규칙을 만들 때 설정한 모든 사용 권한을 확인합니다.

9. 확인 을 클릭하여 Windows 탐색기로 돌아갑니다.

다음 단계에서는 액세스가 적절하게 구성되었는지 확인합니다. 사용자 계정에 적절한 부서 특성이 설정되어 있어야 합니다(Active Directory 관리 센터를 사용하여 설정). 새 정책의 적용 결과 볼 수 있는 가장 간단한 방법은 사용 하는 유효한 액세스 Windows 탐색기 탭에에서 있습니다. 유효한 액세스 탭에 지정 된 사용자 계정에 대 한 액세스 권한을 표시 합니다.

여러 사용자에 대한 액세스 권한을 확인하려면

1. Hyper-V 관리자에서 FILE1 서버에 연결합니다. contoso\administrator로 서버에 로그온합니다. Windows 탐색기에서 D:\로 이동합니다. 마우스 오른쪽 단추로 클릭는 재무 문서 폴더를 마우스 클릭 한 다음 속성합니다.

2. 클릭 된 보안 탭을 클릭 고급, 클릭 하 고는 유효한 액세스 탭 합니다.

3. 사용자에 대 한 권한의 검사 하려면 클릭 사용자 선택, 사용자의 이름을 입력 하 고 클릭 한 다음 유효한 액세스 보기 유효한 액세스 권한을 볼 수 있습니다. 예시:

   • Myriam Delesalle(MDelesalle)은 재무 부서에 속해 있으므로 폴더에 대한 읽기 권한이 있어야 합니다.

   • Miles Reid(MReid)는 FinanceAdmin 그룹의 구성원이므로 폴더에 대한 수정 권한이 있어야 합니다.

   • Esther Valle(EValle)는 재무 부서에 속해 있지 않지만 FinanceException 그룹의 구성원이므로 읽기 권한이 있어야 합니다.

   • Maira Wenzel(MWenzel)은 재무 부서에 속해 있지 않고 FinanceAdmin 또는 FinanceException 그룹의 구성원도 아니므로 폴더에 대한 액세스 권한이 없어야 합니다.

   마지막 열 이라는 사라졌는지 액세스 제한 유효한 액세스 창에. 이 열은 주는 게이트 사용자의 권한에 영향을 알려 줍니다. 이 예제에서는 공유 및 NTFS 권한이 모든 사용자에게 모든 권한을 허용합니다. 그러나 중앙 액세스 정책이 이전에 구성한 규칙에 따라 액세스를 제한합니다.

변경: 유지 및 정책 준비

단계 #	Step	예시
4.1	클라이언트에 대한 디바이스 클레임 구성	디바이스 클레임을 사용하도록 그룹 정책 설정을 지정합니다.
4.2	디바이스에 클레임 사용	디바이스에 국가 클레임 유형을 사용합니다.
4.3	수정하려는 기존 중앙 액세스 규칙에 준비 정책 추가	Finance Documents 규칙을 수정하여 준비 정책을 추가합니다.
4.4	준비 정책의 결과 보기	Ester Velle의 사용 권한을 확인 합니다.

디바이스에 클레임을 사용하도록 그룹 정책 설정을 지정하려면

1. D c 1에서 열린 그룹 정책 관리를 클릭 하 여 로그온 contoso.com, 클릭 기본 도메인 정책, 마우스 오른쪽 단추로 클릭 편집합니다.

2. 그룹 정책 관리 편집기 창에서 이동 컴퓨터 구성, 정책, 관리 템플릿, 시스템, Kerberos합니다.

3. 선택 클레임, 복합 인증 및 Kerberos 아머 링에 대 한 Kerberos 클라이언트 지원 클릭 사용합니다.

디바이스에 클레임을 사용하려면

1. 암호를 사용 하 여 contoso\Administrator로에서 Hyper-v 관리자에서 DC1 서버를 열고 pass@word1합니다.

2. 도구 메뉴에서 Active Directory 관리 센터를 엽니다.

3. 클릭 트리 뷰, 확장 동적 액세스 제어, 를 두 번 클릭 클레임 유형, 두 번 클릭 하 고는 국가 클레임입니다.

4. 다음 클래스에 대 한이 유형의 클레임을 발급할 수 있습니다, 선택는 컴퓨터 확인란입니다. 확인을 클릭합니다. 모두는 사용자 및 컴퓨터 확인란 선택 됩니다. 이제 사용자 외에 디바이스에서도 국가 클레임을 사용할 수 있습니다.

다음 단계에서는 준비 정책 규칙을 만듭니다. 준비 정책은 새 정책 항목을 사용하기 전에 그 효과를 모니터링하는 데 사용될 수 있습니다. 다음 단계에서는 준비 정책 항목을 만들고 공유 폴더에 대한 효과를 모니터링합니다.

준비 정책 규칙을 만들고 중앙 액세스 정책에 추가하려면

1. 암호를 사용 하 여 contoso\Administrator로에서 Hyper-v 관리자에서 DC1 서버를 열고 pass@word1합니다.

2. Active Directory 관리 센터를 엽니다.

3. 클릭 트리 뷰, 를 확장 하 고 동적 액세스 제어, 선택한 중앙 액세스 규칙합니다.

4. 마우스 오른쪽 단추로 클릭 Finance Documents 규칙, 를 클릭 하 고 속성합니다.

5. 에 임시 권한 섹션에서는 준비 구성 사용 권한을 확인란을 클릭 하 여 편집, 클릭 하 고 추가. 에 임시 권한 권한 항목 창 클릭는 보안 주체 선택 링크를 입력 Authenticated Users, 를 클릭 하 고 확인.

6. 조건 추가 링크를 클릭하고 다음 조건을 추가합니다. [사용자] [국가] [모든] [리소스] [국가]

7. 조건 추가를 다시 클릭하고 다음 조건을 추가합니다.[그리고] [디바이스] [국가] [모든] [리소스] [국가]

8. 클릭 조건 추가 다시 다음 조건을 추가 합니다. [그리고] [사용자] [그룹] [구성원] [값](재무 제외)

9. FinanceException을 설정 하려면 그룹에서 항목 추가 및는 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 창, 형식 FinanceException합니다.

10. 클릭 권한을, 선택, 모든 권한, 클릭 하 고 확인합니다.

11. 제안 된 사용 권한 창에 대 한 고급 보안 설정에서 선택 FinanceException 클릭 제거합니다.

12. 클릭 확인 완료를 두 번입니다.

Windows PowerShell 해당 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

참고 항목

위 예제 cmdlet에서 Server 값은 테스트 랩 환경의 서버를 나타냅니다. Windows PowerShell 기록 뷰어를 사용하여 Active Directory 관리 센터에서 수행하는 각 작업에 대한 Windows PowerShell cmdlet을 조회할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 기록 뷰어

이 임시 권한 집합에서 FinanceException 그룹의 구성원은 문서와 동일한 국가에서 디바이스를 통해 액세스한 경우 해당 국가의 파일에 대한 모든 권한을 가집니다. 재무 부서의 다른 구성원이 파일에 액세스하려고 한 경우 파일 서버 보안 로그에서 감사 항목을 확인할 수 있습니다. 그러나 정책이 준비 단계에서 승격될 때까지 보안 설정은 적용되지 않습니다.

다음 절차에서는 준비 정책의 결과를 확인합니다. 현재 규칙에 따라 권한이 있는 사용자 이름으로 공유 폴더에 액세스합니다. Esther Valle(EValle)은 FinanceException의 구성원이므로 현재 읽기 권한이 있습니다. 준비 정책에 따르면 EValle은 어떤 권한도 가질 수 없습니다.

준비 정책의 결과를 확인하려면

1. 암호를 사용 하 여 contoso\administrator로 Hyper-v 관리자에서 FILE1 파일 서버에 연결 pass@word1합니다.

2. 명령 프롬프트 창을 열고 유형 gpupdate /force합니다. 그러면 그룹 정책 변경 내용이 서버에 적용됩니다.

3. Hyper-V 관리자에서 CLIENT1에 연결합니다. 현재 로그온된 사용자를 로그오프합니다. 가상 컴퓨터 CLIENT1을 다시 시작합니다. 그런 다음 contoso\EValle pass@word1을 사용하여 컴퓨터에 로그온합니다.

4. 바탕 화면 바로 가기를 두 번 클릭하여 \FILE1\Finance 문서로 이동합니다. EValle이 여전히 파일에 액세스할 수 있습니다. FILE1로 다시 전환합니다.

5. 열기 이벤트 뷰어 바탕 화면 바로 가기에서 합니다. 확장 Windows 로그, 를 선택한 다음 보안합니다. 항목을 엽니다 Event ID 4818아래는 중앙 액세스 정책 준비 작업 범주입니다. EValle에 액세스가 허용된 것으로 표시되어 있습니다. 그러나 준비 정책에 따르면 이 사용자는 액세스가 거부되어야 합니다.

다음 단계

System Center Operations Manager와 같은 중앙 서버 관리 시스템을 사용하는 경우 이벤트에 대한 모니터링을 구성할 수도 있습니다. 이를 통해 관리자는 중앙 액세스 정책을 적용하기 전에 그 효과를 모니터링할 수 있습니다.