通过

跨林部署声明(示范步骤)

在本主题中,我们将介绍一个基本方案,说明如何在信任林和受信任林之间配置声明转换。 你将了解如何创建声明转换策略对象并将其链接到信任林和受信任林上的信任。 然后,你将验证该方案。

方案概述

Adatum Corporation 为 Contoso, Ltd. 提供金融服务。每个季度,Adatum 会计师都会将他们的帐户电子表格复制到位于 Contoso, Ltd. 的文件服务器上的一个文件夹中。从 Contoso 到 Adatum 建立了双向信任。 Contoso, Ltd. 希望保护共享,以便只有 Adatum 员工可以访问远程共享。

在本方案中:

  1. 设置先决条件和测试环境

  2. 在受信任的林上设置声明转换 (Adatum)

  3. 在信任林中设置声明转换 (Contoso)

  4. 验证方案

设置先决条件和测试环境

测试配置涉及设置两个林:Adatum Corporation 和 Contoso, Ltd,并在 Contoso 和 Adatum 之间建立双向信任。 “adatum.com”是受信任林,“contoso.com”是信任林。

声明转换场景演示了将受信任林中的声明转换为信任林中的声明。 为此,需要设置一个名为 adatum.com 的新林,并使用公司值为“Adatum”的测试用户填充该林。 然后,必须在 contoso.com 和 adatum.com 之间建立双向信任。

重要

设置 Contoso 和 Adatum 林时,必须确保两个根域都处于 Windows Server 2012 域功能级别,以便声明转换起作用。

需为实验室设置以下内容。 这些过程在附录 B:设置测试环境中有详细说明

需要实现以下过程来为此方案设置实验室:

  1. 将 Adatum 设置为 Contoso 的受信任林

  2. 在 Contoso 上创建“公司”声明类型

  3. 在 Contoso 上启用“Company”资源属性

  4. 创建中心访问规则

  5. 创建中心访问策略

  6. 通过组策略发布新策略

  7. 在文件服务器上创建 Earnings 文件夹

  8. 设置分类并对新文件夹应用中心访问策略

使用以下信息完成此方案:

对象 详细信息
用户 Jeff Low,Contoso
Adatum 和 Contoso 上的用户声明 ID:ad://ext/Company:ContosoAdatum,

源属性:公司

建议值:Contoso、Adatum 重要提示:必须将 Contoso 和 Adatum 上“公司”声明类型的 ID 设置为相同,才能使声明转换生效
Contoso 上的中心访问规则 AdatumEmployeeAccessRule
Contoso 上的中心访问策略 仅限 Adatum 访问策略
Adatum 和 Contoso 上的声明转换策略 DenyAllExcept 公司
Contoso 上的文件文件夹 D:\EARNINGS

在受信任的林上设置声明转换 (Adatum)

在此步骤中,将在 Adatum 中创建一个转换策略,以拒绝将“公司”以外的所有声明传递给 Contoso。

Windows PowerShell 的 Active Directory 模块提供了 DenyAllExcept 参数,它会删除转换策略中除指定声明之外的所有内容

若要设置声明转换,需要创建声明转换策略,并在受信任林和信任林之间链接它。

在 Adatum 中创建声明转换策略

创建转换策略 Adatum 以拒绝除“公司”之外的所有声明

  1. 以管理员的身份,使用密码 pass@word1 登录到域控制器 adatum.com

  2. 在 Windows PowerShell 中打开提升的命令提示符,然后键入以下内容:

    New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except Company"`
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"adatum.com" `

在 Adatum 的信任域对象上设置声明转换链接

在此步骤中,将对 Adatum 的 Contoso 信任域对象应用新创建的声明转换策略。

应用声明转换策略

  1. 以管理员的身份,使用密码 pass@word1 登录到域控制器 adatum.com

  2. 在 Windows PowerShell 中打开提升的命令提示符,然后键入以下内容:

    
  Set-ADClaimTransformLink `
-Identity:"contoso.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
'"TrustRole:Trusted `

在信任林中设置声明转换 (Contoso)

在此步骤中,将在 Contoso(信任林)中创建声明转换策略以拒绝除“公司”之外的所有声明。 需要创建声明转换策略并将其链接到林信任。

在 Contoso 中创建声明转换策略

创建转换策略 Adatum 以拒绝除“公司”之外的所有声明

  1. 以管理员的身份,使用密码 pass@word1 登录到域控制器 contoso.com

  2. 在 Windows PowerShell 中打开提升的命令提示符,然后键入以下内容:

    New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except company" `
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"contoso.com" `

在 Contoso 的信任域对象上设置声明转换链接

在此步骤中,将新创建的声明转换策略应用于 Adatum 的 contoso.com 信任域对象,以允许将“公司”传递到 contoso.com。 信任域对象命名为 adatum.com。

设置声明转换策略

  1. 以管理员的身份,使用密码 pass@word1 登录到域控制器 contoso.com

  2. 在 Windows PowerShell 中打开提升的命令提示符,然后键入以下内容:

    
  Set-ADClaimTransformLink
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
-TrustRole:Trusting `

验证方案

在此步骤中,你尝试访问在文件服务器 FILE1 上设置的 D:\EARNINGS 文件夹,以验证用户是否有权访问共享文件夹。

确保 Adatum 用户可以访问共享文件夹

  1. 使用密码 pass@word1 以 Jeff Low 身份登录到客户端计算机 CLIENT1

  2. 浏览到文件夹 \\FILE1.contoso.com\Earnings。

  3. Jeff Low 应该能够访问该文件夹。

声明转换策略的其他场景

以下是声明转换中其他常见案例的列表。

方案 策略
允许来自 Adatum 的所有声明通过 Contoso Adatum Code -
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to allow all claims" `
-Name:"AllowAllClaimsPolicy" `
-AllowAll `
-Server:"contoso.com"`
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`
拒绝来自 Adatum 的所有声明通过 Contoso Adatum Code -
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims" `
-Name:"DenyAllClaimsPolicy" `
-DenyAll `
-Server:"contoso.com"`
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`
允许来自 Adatum 除“公司”和“部门”之外的所有声明通过 Contoso Adatum 代码
- New-ADClaimTransformationPolicy `
-Description:"Claims transformation policy to allow all claims except company and department" `
-Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-AllowAllExcept:company,department `
-Server:"contoso.com"`
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`