在 Windows Server 2016 中,您可以使用 訪問控制原則 來建立規則,以根據傳入宣告允許或拒絕使用者。 在 Windows Server 2012 R2 中,使用 Active Directory 同盟服務(AD FS)中的 根據傳入宣告允許或拒絕使用者 規則範本,您可以建立授權規則,根據傳入宣告的類型和值來授與或拒絕使用者對信賴方的存取權。
例如,您可以使用這個來建立規則,只允許具有網域系統管理員值之群組宣告的使用者存取信賴端。 如果您想要允許所有使用者存取信賴方,請使用 允許所有人存取控制原則 或 允許所有使用者 規則範本,這取決於您的 Windows Server 版本。 允許從同盟服務存取依賴方的使用者仍可能會遭到依賴方拒絕服務。
您可以使用下列程序來透過 AD FS 管理單元建立宣告規則。
在本機電腦上,Administrators群組或等效群組的成員資格是完成此程序所需的最低要求。 請檢閱關於在 本機和網域預設群組中使用適當帳戶和群組成員資格的詳細資訊。
建立規則以根據 Windows Server 2016 上的傳入宣告來允許用戶存取
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,按一下 [存取控制原則]。
右鍵點擊並選取 新增存取控制政策。
![醒目提示 [新增存取控制原則] 選單選項的螢幕快照。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny4.png)
在 [名稱] 方塊中,輸入原則的名稱和描述,然後按一下 [新增]。
在 [規則編輯器]的 [使用者] 區域中,將要求 中的具特定聲明打勾於,然後點擊底部帶底線的特定項目 。
在 [選取宣告] 畫面上,點選 [宣告] 單選按鈕,選取 [宣告類型]、[運算符] 和 [宣告值],然後點選 [確定]。
![說明選擇 [申請] 選項位置的螢幕擷圖。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny7.png)
在 [規則編輯器] 按兩下 [確定] 。 在 新增存取控制原則 畫面上,按一下 確定。
在AD FS 管理 控制台樹的 AD FS 下,按一下 信賴方信任。
![顯示選擇 [信賴派對信任] 位置的螢幕快照。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule9.png)
以滑鼠右鍵按下您要允許存取的 信賴方信任,然後選取 編輯存取控制原則。
![顯示選取 [編輯存取控制原則] 選單選項位置的螢幕快照。](media/create-a-rule-to-permit-all-users/permitall2.png)
在 [存取控制原則] 中選擇您的原則,然後點擊 套用 和 確定。
![顯示選取 [套用] 和 [確定] 位置的螢幕快照。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny8.png)
要在 Windows Server 2016 上根據傳入宣告建立拒絕使用者的規則
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,按一下 [存取控制原則]。
右鍵點擊並選取 新增存取控制政策。
在 [名稱] 方塊中,輸入原則的名稱和描述,然後按一下 [新增]。
在 [規則編輯器]上,確定已選取每個人,並在 [] 下的 [] 中,於要求 中勾選 特定宣告,然後按一下底部標有底線的 特定選項。
![螢幕快照,其中顯示確定已選取 [每個人] 選項的位置。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny10.png)
在 [選取宣告] 畫面上,點選 [宣告] 單選按鈕,選取 [宣告類型]、[運算符] 和 [宣告值],然後點選 [確定]。
![這是顯示 [選取宣告] 畫面的螢幕快照。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny11.png)
在 [規則編輯器] 按兩下 [確定] 。 在 新增存取控制原則 畫面上,點選 確定。
在 [AD FS 管理] 控制台樹的 [AD FS] 下,單擊 [信任端信任]。
以滑鼠右鍵按下您要允許存取的 信賴方信任,然後選取 編輯存取控制原則。
在 [存取控制原則] 中選擇您的原則,然後點擊 套用 和 確定。
建立規則以根據 Windows Server 2012 R2 上的傳入宣告來允許或拒絕使用者
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹中的 AD FS\信任關係\信賴憑證者信任下,點選您要在清單中建立此規則的特定信任。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 ![顯示 [編輯申請規則] 功能表選項的螢幕快照。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
在 [編輯宣告規則] 對話框中,按兩下 [發行授權規則] 索引標籤或 [委派授權規則] 索引標籤(根據您需要的授權規則類型),然後按兩下 [新增規則],以啟動 [新增授權宣告規則精靈]。
![顯示如何啟動 [新增授權宣告規則精靈] 的螢幕快照。](media/create-a-rule-to-permit-all-users/permitall5.png)
在 [選取規則範本] 頁面上,於 [宣告規則範本] 底下,從清單中選取 [根據傳入宣告允許或拒絕使用者],然後按一下 [下一步]。
![螢幕快照,其中顯示根據傳入宣告範本選取 [允許] 或 [拒絕使用者] 的位置。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny1.png)
在 [設定規則] 頁面的 [宣告規則名稱] 底下,輸入此規則的顯示名稱,在 [傳入宣告類型] 選取清單中的宣告類型,在 [傳入宣告值] 底下輸入值,或按一下 [瀏覽] 並選取值,然後選取下列其中一個選項,視組織的需求而定:
允許具有此傳入宣告的使用者獲得存取權
拒絕存取具有此傳入宣告的使用者
按一下完成。
在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。