建立規則依據傳入宣告允許或拒絕使用者
在 Windows Server 2016 中,您可以使用存取控制原則,來建立根據傳入宣告允許或拒絕使用者的規則。 在 Windows Server 2012 R2 中,使用 Active Directory 同盟服務 (AD FS) 中的 [根據傳入宣告允許或拒絕使用者] 規則範本,您可以建立授權規則,根據傳入宣告的類型和值來授與或拒絕使用者對信賴憑證者的存取。
例如,您可以使用此規則範本建立一個規則,僅允許群組宣告值為 Domain Admins 的使用者存取信賴憑證者。 如果您想要允許所有使用者存取信賴憑證者,請使用 [允許所有人] 存取控制原則或 [允許所有使用者] 規則範本,視您的 Windows Server 版本而定。 從同盟服務獲准存取信賴憑證者的使用者,仍可能遭信賴憑證者拒絕服務。
您可以使用下列程序,搭配 AD FS 管理嵌入式管理單元來建立宣告規則。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
建立規則根據 Windows Server 2016 上的傳入宣告來允許使用者
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的中,按一下 [AD FS] 下的 [存取控制原則]。
按一下滑鼠右鍵並選取 [新增存取控制原則]。
在 [名稱] 方塊中,輸入原則的名稱、描述,然後按一下 [新增]。
在 [規則編輯器] 上,核取 [使用者] 下的 [要求中具有特定宣告],然後按一下底部帶有底線的 [特定]。
在 [選取宣告] 畫面上,按一下 [宣告] 選項按鈕、選取 [宣告類型]、 [運算子] 和 [宣告值],然後按一下 [確定]。
在 [規則編輯器] 上,按一下 [確定]。 在 [新增存取控制原則] 畫面上,按一下 [確定]。
在 [AD FS 管理] 主控台樹狀結構中,按一下 [AD FS] 下的 [信賴憑證者信任]。
以滑鼠右鍵按一下您想要允許存取的 [信賴憑證者信任],然後選取 [編輯存取控制原則]。
在存取控制原則上,選取您的原則,然後按一下 [套用] 和 [確定]。
建立規則根據 Windows Server 2016 上的傳入宣告來拒絕使用者
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的中,按一下 [AD FS] 下的 [存取控制原則]。
按一下滑鼠右鍵並選取 [新增存取控制原則]。
在 [名稱] 方塊中,輸入原則的名稱、描述,然後按一下 [新增]。
在 [規則編輯器]上,確定已選取所有人,然後在 [例外] 下,核取 [要求中具有特定宣告],然後按一下底部帶有底線的 [特定]。
在 [選取宣告] 畫面上,按一下 [宣告] 選項按鈕、選取 [宣告類型]、 [運算子] 和 [宣告值],然後按一下 [確定]。
在 [規則編輯器] 上,按一下 [確定]。 在 [新增存取控制原則] 畫面上,按一下 [確定]。
在 [AD FS 管理] 主控台樹狀結構中,按一下 [AD FS] 下的 [信賴憑證者信任]。
以滑鼠右鍵按一下您想要允許存取的 [信賴憑證者信任],然後選取 [編輯存取控制原則]。
在存取控制原則上,選取您的原則,然後按一下 [套用] 和 [確定]。
建立規則根據 Windows Server 2012 R2 上的傳入宣告來允許或拒絕使用者
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS\信任關係\信賴憑證者信任] 下,按一下清單中您想要在其中建立此規則的特定信任。
以滑鼠右鍵按一下選取的信任,然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊中,按一下 [發行授權規則] 索引標籤或 [委派授權規則] 索引標籤 (根據您需要的授權規則類型),然後按一下 [新增規則],以啟動 [新增授權宣告規則精靈]。
在 [選取規則範本] 頁面上,於 [宣告規則範本] 底下,從清單中選取 [根據傳入宣告允許或拒絕使用者],然後按 [下一步]。
在 [設定規則] 頁面上,於 [宣告規則名稱] 下輸入此規則的顯示名稱、在 [連入宣告類型] 中選取清單中的宣告類型、在 [連入宣告值] 下輸入一值或按一下 [瀏覽] (如果可用的話) 並選取一值,然後選取下列其中一個選項,取決於您的組織需求:
允許具有這個傳入宣告的使用者存取
拒絕具有這個傳入宣告的使用者存取
按一下完成。
在 [編輯宣告規則] 對話方塊中,按一下 [確定] 以儲存規則。