Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Implantar declarações entre florestas (etapas de demonstração)

Neste tópico, abordaremos um cenário básico que explica como configurar a reivindicação de transformações entre florestas confiantes e confiáveis. Você vai aprender como objectos de política de transformação do pedido podem ser criados e vinculados à confiança sobre a floresta confiante e floresta confiável. Você então irá validar o cenário.

Adatum Corporation fornece serviços financeiros a Contoso, Ltd. Cada trimestre, Adatum contabilistas copiar suas planilhas de conta para uma pasta em um servidor de arquivo localizado na Contoso, Ltd. Há uma relação de confiança bidirecional configurado Contoso-Adatum. A contoso, Ltd. quer proteger o compartilhamento para que apenas os funcionários Adatum podem acessar o compartilhamento remoto.

Neste cenário:

  1. Configurar os pré-requisitos e o ambiente de teste

  2. Configurar a transformação de alegação na floresta confiável (Adatum)

  3. Configurar transformação de pedido da floresta confiante (Contoso)

  4. Validar o cenário

A configuração de teste envolve a criação de duas florestas: Adatum Corporation e Contoso, Ltd e ter uma relação de confiança bidirecional entre Contoso e Adatum." adatum.com"é floresta confiável e"contoso.com"é a floresta confiante.

O cenário de transformação de alegação demonstra a transformação de uma reivindicação na floresta confiável para uma reivindicação da floresta confiante. Para fazer isso, você precisará criar uma nova floresta chamado adatum.com e preencher a floresta com um usuário de teste com um valor de empresa de "Adatum". Você então tem que configurar uma relação de confiança bidirecional entre contoso.com e adatum.com.

Hh831742.Important(pt-br,WS.11).gif Importante
Ao configurar as florestas Contoso e Adatum, certifique-se de que ambos os domínios de raiz correm o Windows Server 2012 nível funcional do domínio para transformação de reivindicações para trabalhar.

Você precisa configurar o seguinte para o laboratório. Estes procedimentos são explicados em detalhes em Apêndice b: configuração do ambiente de teste

Você precisa implementar os procedimentos a seguir para configurar o laboratório para este cenário:

  1. Conjunto Adatum como floresta confiável para a Contoso

  2. Criar o tipo de declaração de "Empresa" em Contoso

  3. Habilitar a propriedade de recurso de "Empresa" em Contoso

  4. Criar a regra de acesso central

  5. Criar a diretiva de acesso central

  6. Publicar a nova política através de diretiva de grupo

  7. Criar a pasta de ganhos no servidor de arquivos

  8. Classificação de definir e aplicar a diretiva de acesso central na nova pasta

Use as seguintes informações para completar este cenário:

Objetos Detalhes

Usuários

Jeff Low, Contoso

Reclamações do usuário no Adatum e Contoso

ID: ad: / / empresa: ContosoAdatum,

Atributo de fonte: empresa

Sugeriu valores: Contoso, Adatum

Hh831742.Important(pt-br,WS.11).gif Importante
Você deve definir o ID a "empresa" tipo de declaração tanto Contoso e Adatum para ser o mesmo para a transformação de reivindicações para trabalhar.

Regra de acesso central na Contoso

AdatumEmployeeAccessRule

Política de acesso central na Contoso

Adatum única política de acesso

Reivindicar condições de transformação no Adatum e Contoso

Empresa de DenyAllExcept

Pasta de arquivo em Contoso

D:\EARNINGS

Nesta etapa, você cria uma política de transformação no Adatum negar todas as acusações, exceto "Empresa" para passar para Contoso.

O Active Directory module for Windows PowerShell fornece o argumento de DenyAllExcept , que cai tudo, exceto as declarações especificado na política de transformação.

Para definir uma transformação de pedido, você precisa criar uma política de transformação e um link entre as florestas confiáveis e confiantes.

Hh831742.collapse(pt-br,WS.11).gif Criar uma política de transformação no Adatum

Hh831742.collapse(pt-br,WS.11).gif Para criar uma política de transformação Adatum negar todas as acusações, exceto "Empresa"

  1. Cadastre-se para o controlador de domínio, adatum.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando no Windows PowerShell e digite o seguinte:

    
    
    Novo-ADClaimTransformPolicy '-Descrição: "Política de transformação para negar todas as acusações, exceto a empresa alega que" '-nome: "DenyAllClaimsExceptCompanyPolicy" '-DenyAllExcept:company '-Server:"adatum.com" '
    
    

Hh831742.collapse(pt-br,WS.11).gif Definir um link de transformação de reivindicação no objeto de domínio na Adatum confiança

Nesta etapa, você aplicar a política de transformação recém-criado no objeto de domínio na Adatum confiança para Contoso.

Hh831742.collapse(pt-br,WS.11).gif Aplicar a política de transformação

  1. Cadastre-se para o controlador de domínio, adatum.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando no Windows PowerShell e digite o seguinte:

    
    
    Conjunto-ADClaimTransformLink '-Identity:"contoso.com" '-política: "DenyAllClaimsExceptCompanyPolicy" ' –TrustRole: confiável '
    
    

Nesta etapa, você cria uma política de transformação em Contoso (a floresta confiante) para negar todas as acusações, exceto "Empresa". Você precisa criar uma política de transformação e um link para a relação de confiança de floresta.

Hh831742.collapse(pt-br,WS.11).gif Criar uma política de transformação em Contoso

Hh831742.collapse(pt-br,WS.11).gif Para criar uma política de transformação Adatum negar todas, exceto "Empresa"

  1. Cadastre-se para o controlador de domínio contoso.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando no Windows PowerShell e digite o seguinte:

    
    
    Novo-ADClaimTransformPolicy '-Descrição: "Política de transformação para negar todas as acusações, exceto a empresa alega que" '-nome: "DenyAllClaimsExceptCompanyPolicy" '-DenyAllExcept:company '-Server:"contoso.com" '
    
    

Hh831742.collapse(pt-br,WS.11).gif Definir um link de transformação de reivindicação no objeto de domínio de confiança da Contoso

Nesta etapa, você aplicar o recém-criado política de transformação no objeto de domínio contoso.com confiança para Adatum permitir que a "Empresa" ser passada para contoso.com. O objeto de domínio de confiança é nomeado adatum.com.

Hh831742.collapse(pt-br,WS.11).gif Para definir a política de transformação

  1. Cadastre-se para o controlador de domínio contoso.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando no Windows PowerShell e digite o seguinte:

    
    
    Conjunto-ADClaimTransformLink-Identity:"adatum.com" '-política: "DenyAllClaimsExceptCompanyPolicy" ' –TrustRole: confiar '
    
    

Nesta etapa, você tentar acessar a pasta D:\EARNINGS que foi criada no servidor de arquivos FILE1 para validar se o usuário tem acesso à pasta compartilhada.

Hh831742.collapse(pt-br,WS.11).gif Para garantir que o usuário do Adatum pode acessar a pasta compartilhada

  1. Entrar no computador do cliente, CLIENT1 como Jeff Low com a senha pass@word1.

  2. Navegue até a pasta \\FILE1.contoso.com\Earnings.

  3. Jeff Low deve ser capaz de acessar a pasta.

A seguir é uma lista de casos comuns adicionais na transformação de reivindicações.

Cenário Política

Permitir que todas as reclamações que vêm da Adatum atravessar a Contoso Adatum



Novo-ADClaimTransformPolicy '-Descrição: "Afirma a política de transformação para permitir que todas as reivindicações" '-nome: "AllowAllClaimsPolicy" '-AllowAll '-Server:"contoso.com" ' Set-ADClaimTransformLink '-Identity:"adatum.com" '-política: "AllowAllClaimsPolicy" '-TrustRole: confiando '-Server:"contoso.com" '

Negar todas as acusações que vêm da Adatum atravessar a Contoso Adatum



Novo-ADClaimTransformPolicy '-Descrição: "Afirma a política de transformação para negar todas as acusações" '-nome: "DenyAllClaimsPolicy" '-DenyAll '-Server:"contoso.com" ' Set-ADClaimTransformLink '-Identity:"adatum.com" '-política: "DenyAllClaimsPolicy" '-TrustRole: confiando '-Server:"contoso.com"'

Permitir que todas as reclamações que vêm da Adatum exceto "Empresa" e "Departamento" para passar para a Contoso Adatum



Novo-ADClaimTransformationPolicy '-Descrição: "Reivindicação política de transformação para permitir que todas as reclamações, exceto o departamento e a empresa" '-nome: "AllowAllClaimsExceptCompanyAndDepartmentPolicy" '-AllowAllExcept:company, departamento '-Server:"contoso.com" ' Set-ADClaimTransformLink '-Identity:"adatum.com" '-política: "AllowAllClaimsExceptCompanyAndDepartmentPolicy" '-TrustRole: confiando '-Server:"contoso.com" '

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft