Поделиться через

Создание правила для отправки членства в группе в качестве утверждения

С помощью шаблона правила "Отправить группу" в качестве шаблона правила утверждения в службы федерации Active Directory (AD FS) (AD FS) можно создать правило, которое позволит выбрать группу безопасности Active Directory для отправки в качестве утверждения. Только одно утверждение будет создано из этого правила на основе выбранной группы. Например, этот шаблон правила можно использовать для создания правила, которое будет отправлять утверждение группы со значением Администратор, если пользователь является членом группы безопасности доменных Администратор. Это правило следует использовать только для пользователей в локальном домене Active Directory.

Чтобы создать правило утверждения с оснасткой управления AD FS, можно использовать следующую процедуру.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Создание правила для отправки членства в группах в качестве утверждения доверия проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя для этого правила, в группе "Пользователь" нажмите кнопку "Обзор" и выберите группу, в разделе "Тип исходящего утверждения" выберите нужный тип утверждения, а затем в разделе "Тип исходящего утверждения" введите значение. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Создание правила для отправки членства в группах в качестве утверждения доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя для этого правила, в группе "Пользователь" нажмите кнопку "Обзор" и выберите группу, в разделе "Тип исходящего утверждения" выберите нужный тип утверждения, а затем в разделе "Тип исходящего утверждения" введите значение. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Создание правила для отправки членства в группах в качестве утверждения в Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок в зависимости от того, в каком доверии вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияcreate rule

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя для этого правила, в группе "Пользователь" нажмите кнопку "Обзор" и выберите группу, в разделе "Тип исходящего утверждения" выберите нужный тип утверждения, а затем в разделе "Тип исходящего утверждения" введите значение. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Контрольный список. Создание правил утверждений для доверия поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений