Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Apêndice b: configuração do ambiente de teste

Este tópico descreve as etapas para construir um laboratório prático para testar o controle de acesso dinâmico. As instruções destinam-se a ser seguido sequencialmente, porque existem muitos componentes que têm dependências.

Requisitos de hardware e software

Requisitos para a criação do laboratório de teste:

  • Um servidor executando o Windows Server 2008 R2 com SP1 e Hyper-V

  • Uma cópia do Windows Server 2012 ISO

  • Uma cópia do Windows 8 ISO

  • Microsoft Office 2010

  • Um servidor executando o Microsoft Exchange Server 2003 ou posterior

Você precisa construir as seguintes máquinas virtuais para testar os cenários de controle de acesso dinâmico:

  • DC1 (controlador de domínio)

  • DC2 (controlador de domínio)

  • Arquivo1 (file server e Active Directory Rights Management Services)

  • SRV1 (servidor de POP3 e SMTP)

  • CLIENT1 (computador cliente com o Microsoft Outlook)

As senhas para as máquinas virtuais devem ser como segue:

  • BUILTIN\Administrator: pass@word1

  • CONTOSO\Administrador.: pass@word1

  • Todas as outras contas: pass@word1

Hh831776.collapse(pt-br,WS.11).gif Instalar a função Hyper-V

Você precisa instalar a função Hyper-V em um computador executando o Windows Server 2008 R2 com SP1.

Hh831776.collapse(pt-br,WS.11).gif Para instalar a função Hyper-V

  1. Clique em Iniciare, em seguida, clique em Gerenciador de servidores.

  2. Na área de Resumo de funções da janela principal do Gerenciador do servidor, clique em Adicionar funções.

  3. Na página Selecionar funções do servidor , clique em Hyper-V.

  4. Na página Criar redes virtuais , clique em um ou mais adaptadores de rede, se você quiser disponibilizar sua conexão de rede para máquinas virtuais.

  5. Na página Confirmar seleções de instalação , clique em instalar.

  6. O computador deve ser reiniciado para concluir a instalação. Clique em fechar para concluir o assistente e, em seguida, clique em Sim para reiniciar o computador.

  7. Depois de reiniciar o computador, entrar com a mesma conta que você usou para instalar a função. Depois que o Assistente de configuração de currículo conclui a instalação, clique em fechar para concluir o assistente.

Hh831776.collapse(pt-br,WS.11).gif Criar uma rede virtual interna

Agora você irá criar uma rede interna virtual chamada ID_AD_Network.

Hh831776.collapse(pt-br,WS.11).gif Para criar uma rede virtual

  1. Abra o Gerenciador Hyper-V.

  2. No menu ações , clique em Gerenciador de rede Virtual.

  3. Em criar rede virtual, selecione o interno.

  4. Clique em Adicionar. Aparece a página Nova rede Virtual .

  5. Digite ID_AD_Network como o nome para a nova rede. Revise as outras propriedades e modificá-los se necessário.

  6. Clique em OK para criar a rede virtual e fechar o Gerenciador de rede Virtual, ou clique em aplicar para criar a rede virtual e continuar usando o Gerenciador de rede Virtual.

Hh831776.collapse(pt-br,WS.11).gif Construir o controlador de domínio

Construa uma máquina virtual para ser usado como controlador de domínio (DC1). Instale a máquina virtual usando Windows Server 2012 ISO e o nome DC1.

Hh831776.collapse(pt-br,WS.11).gif Para instalar serviços de domínio Active Directory

  1. Conecte a máquina virtual para o ID_AD_Network. Entrar para o DC1 como administrador com a senha pass@word1.

  2. No Server Manager, clique em gerenciare, em seguida, clique em adicionar funções e recursos.

  3. Na página antes de começar , clique em seguinte.

  4. Na página Selecionar tipo de instalação , clique em instalar Role-based, ou baseado em recursose, em seguida, clique em seguinte.

  5. Na página selecionar servidor de destino , clique em seguinte.

  6. Na página selecionar funções do servidor , clique em Serviços de domínio Active Directory. Na caixa de diálogo Assistente de recursos e adicionar funções , clique em Adicionar recursose, em seguida, clique em seguinte.

  7. Na página selecionar recursos , clique em seguinte.

  8. Na página Serviços de domínio Active Directory , examine as informações e clique em próximo.

  9. Na página confirmar seleções de instalação , clique em instalar. A barra de progresso de instalação do recurso na página de resultados indica que o papel está sendo instalado.

  10. Na página de resultados , verifique se a instalação sucedeu e clique em fechar. No Server Manager, clique no ícone de aviso com um ponto de exclamação no canto superior direito da tela, ao lado de gerenciar. Na lista de tarefas, clique no link de promover esse servidor a controlador de domínio .

  11. A página de Configuração de implantação , clique em Adicionar uma nova floresta, digite o nome do domínio raiz, contoso.come, em seguida, clique em seguinte.

  12. Na página Opções de controlador de domínio , selecione os níveis funcionais de domínio e de floresta Windows Server 2012, especifique a senha DSRM pass@word1e, em seguida, clique em seguinte.

  13. Na página Opções de DNS , clique em seguinte.

  14. Na página Opções adicionais , clique em seguinte.

  15. Na página caminhos , digite os locais para o banco de dados do Active Directory, arquivos de log e SYSVOL pasta (ou aceitar os locais padrão) e, em seguida, clique em seguinte.

  16. Na página Opções de revisão , confirmar suas seleções e clique em próximo.

  17. A página de Pré-requisitos verificar , confirme que a validação de pré-requisitos é concluída e, em seguida, clique em instalar.

  18. Na página de resultados , verifique se o servidor foi configurado com êxito como um controlador de domínio e, em seguida, clique em fechar.

  19. Reinicie o servidor para concluir a instalação do AD DS. (Por padrão, isso acontece automaticamente.)

Crie os seguintes usuários usando a central administrativa do Active Directory.

Hh831776.collapse(pt-br,WS.11).gif Criar usuários e grupos no DC1

  1. Entrar no contoso.com como administrador. Lançar o centro administrativo do Active Directory.

  2. Crie os grupos de segurança a seguir:

    Nome do grupo Endereço de e-mail

    FinanceAdmin

    financeadmin@contoso.com

    FinanceException

    financeexception@contoso.com

  3. Crie a seguinte unidade organizacional (UO):

    Nome da unidade organizacional Computadores

    FileServerOU

    ARQUIVO1

  4. Crie os seguintes usuários com os atributos Indicados:

    Usuário Nome de usuário Endereço de e-mail Departamento Grupo País/região

    Myriam Delesalle

    MDelesalle

    MDelesalle@contoso.com

    Finanças

    NOS

    Miles Reid

    MReid

    MReid@contoso.com

    Finanças

    FinanceAdmin

    NOS

    Esther Valle

    EValle

    EValle@contoso.com

    Operações

    FinanceException

    NOS

    Maira Wenzel

    MWenzel

    MWenzel@contoso.com

    HR

    NOS

    Jeff Low

    JLow

    JLow@contoso.com

    HR

    NOS

    Servidor RMS

    RMS

    RMS@contoso.com

    Para obter mais informações sobre como criar grupos de segurança, consulte criar um novo grupo no site do Windows Server.

Hh831776.collapse(pt-br,WS.11).gif Para criar um objeto de diretiva de grupo

  1. Passe o cursor no canto superior direito da tela e clique no ícone de pesquisa. Na caixa Pesquisar, digite Gerenciamento de diretiva de grupoe clique em Gerenciamento de diretiva de grupo.

  2. Expanda floresta: contoso.come, em seguida, expanda domínios, navegue para contoso.com, expandir (contoso.com)e, em seguida, selecione FileServerOU. Botão direito do mouse criar um GPO neste domínio e fazer um Link aqui...

  3. Digite um nome descritivo para o GPO, como FlexibleAccessGPOe, em seguida, clique em OK.

Hh831776.collapse(pt-br,WS.11).gif Para habilitar o controle de acesso dinâmico para contoso.com

  1. Abra o Console de gerenciamento de diretiva de grupo, clique em contoso.come, em seguida, clique duas vezes em Controladores de domínio.

  2. Botão direito do mouse Diretiva padrão de controladores de domínioe selecione Editar.

  3. Na janela Editor de gerenciamento de diretiva de grupo, clique duas vezes em Configuração do computador, clique duas vezes em diretivas, clique duas vezes em Modelos administrativos, clique duas vezes em sistemae, em seguida, clique duas vezes no KDC.

  4. Clique duas vezes no KDC suporte para reclamações, autenticação composta e Kerberos blindagem e selecione a opção ao lado de Enabled. Você precisa habilitar essa configuração para usar as diretivas de acesso Central.

  5. Abra um prompt de comando e execute o seguinte comando:

    
    
    gpupdate /force.
    
    

Hh831776.collapse(pt-br,WS.11).gif Criar o servidor de arquivos e servidor de AD RMS (arquivo1)

  1. Construa uma máquina virtual com o nome arquivo1 da ISO Windows Server 2012.

  2. Conecte a máquina virtual para o ID_AD_Network.

  3. Junte-se a máquina virtual ao domínio contoso.com e então entrar no arquivo1 como CONTOSO\Administrador. usando a senha pass@word1.

Hh831776.collapse(pt-br,WS.11).gif Instalar o Gerenciador de recursos de serviços de arquivo

Hh831776.collapse(pt-br,WS.11).gif Para instalar a função serviços de arquivo e o Gerenciador de recursos de servidor de arquivos

  1. No Server Manager, clique em adicionar funções e recursos.

  2. Na página antes de começar , clique em seguinte.

  3. Na página Selecionar tipo de instalação , clique em seguinte.

  4. Na página selecionar servidor de destino , clique em seguinte.

  5. Na página Selecionar funções do servidor , expanda serviços de armazenamento e de arquivo, marque a caixa de seleção ao lado de arquivo e iSCSI serviços, alargar e selecione Gerenciador de recursos de servidor de arquivos.

    No Assistente de recursos e adicionar funções, clique em Adicionar recursose, em seguida, clique em seguinte.

  6. Na página selecionar recursos , clique em seguinte.

  7. Na página confirmar seleções de instalação , clique em instalar.

  8. Na página progresso da instalação , clique em fechar.

Hh831776.collapse(pt-br,WS.11).gif Instalar os pacotes de filtro do Microsoft Office no servidor de arquivos

Você deve instalar os pacotes de filtro do Microsoft Office no Windows Server 2012 para habilitar IFilters para uma disposição mais larga de arquivos do Office que são fornecidos por padrão. Windows Server 2012 não tem qualquer IFilters para arquivos do Microsoft Office instalado por padrão, e a infra-estrutura de classificação do arquivo utiliza IFilters para realizar a análise de conteúdo.

Para baixar e instalar os IFilters, consulte o Microsoft Office 2010 Filter Packs.

Hh831776.collapse(pt-br,WS.11).gif Configurar notificações por e-mail em arquivo1

Quando você criar cotas e triagens de arquivos, você tem a opção de enviar notificações por e-mail para os usuários, quando se aproxima o respectivo limite de quota ou depois que eles tentaram salvar arquivos que tenham sido bloqueados. Se você quer notificar rotineiramente determinados administradores de cota e eventos de triagem de arquivo, você pode configurar um ou mais destinatários padrão. Para enviar essas notificações, você deve especificar o servidor SMTP a ser usado para encaminhar as mensagens de e-mail.

Hh831776.collapse(pt-br,WS.11).gif Para configurar as opções de e-mail no Gerenciador de recursos de servidor de arquivos

  1. Abra o Gerenciador de recursos de servidor de arquivos. Para abrir o Gerenciador de recursos de servidor de arquivos, clique em Iniciar, digite Gerenciador de recursos de servidor de arquivose clique em Gerenciador de recursos de servidor de arquivos.

  2. Na interface do Gerenciador de recursos de servidor de arquivos, clique em Gerenciador de recursos de servidor de arquivose clique em Configurar opções. Abre a caixa de diálogo Opções do Gerenciador de recursos de servidor de arquivos .

  3. Na guia Notificações por email , em nome do servidor SMTP ou o endereço IP, digite o nome do host ou o endereço IP do servidor SMTP que encaminhará as notificações de e-mail.

  4. Se você deseja notificar rotineiramente certos administradores do contingente ou eventos, de triagem de arquivo em padrão destinatários de administrador, digite cada endereço de e-mail fileadmin@contoso.com. Use o formato account@domain e usar o ponto e vírgula para separar várias contas.

Hh831776.collapse(pt-br,WS.11).gif Criar grupos em arquivo1

Hh831776.collapse(pt-br,WS.11).gif Criar grupos de segurança em arquivo1

  1. Entrar no arquivo1 como CONTOSO\Administrador., com a senha: pass@word1.

  2. Adicione NT \ usuários autenticados para o grupo de WinRMRemoteWMIUsers__ .

Hh831776.collapse(pt-br,WS.11).gif Criar arquivos e pastas em arquivo1

  1. Criar um novo volume NTFS em arquivo1 e, em seguida, crie a seguinte pasta: D:\Finance documentos.

  2. Crie os seguintes arquivos com os detalhes especificados:

    • Memo.docx de Finanças: adicionar alguns financiar relacionado texto no documento. Por exemplo, "as regras de negócio sobre quem pode acessar documentos Finanças mudaram. Documentos de Finanças agora são acessados somente por membros do grupo FinanceExpert. Não há outros departamentos ou grupos têm acesso." Você precisa avaliar o impacto dessa mudança antes de implementá-lo no ambiente. Certifique-se de que este documento tem CONTOSO confidenciais, como o rodapé em cada página.

    • Pedido de aprovação para Hire.docx: criar um formulário neste documento que coleta informações do requerente. Você deve ter os seguintes campos no documento: nome do requerente, CPF, cargo, salário proposto, data inicial, nome do Supervisor, departamento. Adicione uma seção adicional do documento que tem um formulário para assinatura do Supervisor, salário aprovado, conformação de oferecere Status de oferecer.
      Fazer o documento gerenciamento de direitos habilitado.

    • Palavra Document1.docx: adicionar algum conteúdo de teste para este documento.

    • Palavra Document2.docx: adicionar conteúdo a este documento de teste.

    • Workbook1. xlsx

    • Workbook2.xlsx

    • Crie uma pasta no desktop chamado expressões regulares. Crie um documento de texto chamado RegEx-SSNna pasta. Digite o seguinte conteúdo no arquivo e salve e feche o arquivo:
      ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012])) ([-]?)(?!00)? \d\d\3 (!0000) \d {4}$

  3. Compartilhe a pasta documentos de D:\Finance como finanças documentos e permitir que todos leram e acesso de gravação para o compartilhamento.

Hh831776.note(pt-br,WS.11).gif Nota
Condições de acesso central não são habilitadas por padrão no sistema ou boot volume c:.

Hh831776.collapse(pt-br,WS.11).gif Instalar o Active Directory Rights Management Services

Adicione o Active Directory Rights Management Services (AD RMS) e todos os recursos necessários através do Gerenciador de servidores. Escolha todos os padrões.

Hh831776.collapse(pt-br,WS.11).gif Para instalar o Active Directory Rights Management Services

  1. Entrar no arquivo1 como CONTOSO\Administrador. ou como um membro do grupo Administradores do domínio.

    Hh831776.Important(pt-br,WS.11).gif Importante
    Para instalar a função de servidor AD RMS o instalador conta (no caso, CONTOSO\Administrador.) devem ser dado a associação tanto o grupo Administradores local no computador do servidor onde o AD RMS deve ser instalado, bem como a associação ao grupo Administradores de empresa no Active Directory.

  2. No Server Manager, clique em adicionar funções e recursos. A adicionar funções e recursos assistente aparece.

  3. Na tela antes de começar , clique em seguinte.

  4. Na tela Selecionar tipo de instalação , clique em Papel/recurso baseado em instalare, em seguida, clique em seguinte.

  5. Na tela Selecionar alvos de servidor , clique em seguinte.

  6. Na tela Selecionar funções do servidor , marque a caixa ao lado de Active Directory Rights Management Servicese, em seguida, clique em seguinte.

  7. No Adicionar recursos que são necessários para Active Directory Rights Management Services? caixa de diálogo, clique em Adicionar recursos.

  8. Na tela Selecionar funções do servidor , clique em seguinte.

  9. Na tela Selecionar recursos para instalar , clique em seguinte.

  10. Na tela Active Directory Rights Management Services , clique em Avançar.

  11. Na tela Selecionar serviços de função , clique em seguinte.

  12. Na tela do Papel de servidor Web (IIS) , clique em seguinte.

  13. Na tela Selecionar serviços de função , clique em seguinte.

  14. Na tela Confirmar seleções de instalação , clique em instalar.

  15. Após concluída a instalação, na tela de Progresso da instalação , clique em executar configuração adicional. Aparece o Assistente de configuração do AD RMS.

  16. Na tela de RMS do AD , clique em seguinte.

  17. Na tela do Cluster de RMS do AD , selecione criar um novo cluster de raiz de RMS do AD e, em seguida, clique em seguinte.

  18. Na tela de Configuração de banco de dados , clique em Usar Windows Internal Database no servidore, em seguida, clique em seguinte.

    Hh831776.note(pt-br,WS.11).gif Nota
    Usar o banco de dados interno do Windows é recomendado para ambientes de teste, apenas porque não suporta mais de um servidor em cluster do AD RMS. Implantações de produção devem usar um servidor de banco de dados separado.

  19. Na tela de Conta de serviço , em Conta de usuário de domínio, clique em especificar , em seguida, especifique o nome de usuário (contoso\rms) e senha (pass@word1) e clique em OKe, em seguida, clique em seguinte.

  20. Na tela do Modo de criptografia , clique em criptografia modo 2.

  21. Na tela de Armazenamento da chave de Cluster , clique em seguinte.

  22. Na tela Senha de chave de Cluster , nas caixas senha e Confirmar senha , digite pass@word1e clique em próximo.

  23. Na tela do Site da Web de Cluster , certifique-se de que o Site padrão está selecionada e, em seguida, clique em seguinte.

  24. Na tela de Endereço de Cluster , selecione a opção de usar uma conexão não criptografada , na caixa de Nome de domínio totalmente qualificado , digite FILE1.contoso.come clique em próximo.

  25. Na tela Nome de certificado de licenciante , aceite o nome padrão (arquivo1) na caixa de texto e clique em seguinte.

  26. Na tela do Registro do SCP , selecione Registrar agora SCPe, em seguida, clique em seguinte.

  27. Na tela de confirmação , clique em instalar.

  28. Na tela de resultados , clique em fechare, em seguida, clique em fechar na tela de Progresso da instalação . Quando terminar, faça logoff e logon como contoso\rms usando a senha fornecida (pass@word1).

  29. O console do AD RMS e navegue até Modelos de diretiva de direitos.

    Para abrir o console do AD RMS, no Server Manager, clique em Servidor Local na árvore de console, em seguida, clique em ferramentase clique em Active Directory Rights Management Services.

  30. Clique no modelo de Diretiva de direitos distribuídos criar localizado no painel direito, clique em Adicionare selecione as seguintes informações:

    • Idioma: Inglês

    • Nome: Contoso Finanças apenas de Admin

    • Descrição: Contoso Finanças apenas de Admin

    Clique em Adicionare, em seguida, clique em seguinte.

  31. Na seção usuários e direitos, clique em usuários e direitos, clique em Adicionar, digite financeadmin@contoso.come clique em OK.

  32. Selecione o Controle totale deixar o controle total do proprietário (autor) Grant certo com nenhuma expiração selecionado.

  33. Clique embora as restantes guias sem alterações e, em seguida, clique em concluir. Cadastre-se como CONTOSO\Administrador..

  34. Navegue para selecionar pasta, C:\inetpub\wwwroot\_wmcs\certification, o arquivo ServerCertification e adicionar usuários autenticados para ler e escrever permissões para o arquivo.

  35. Abra o Windows PowerShell e executar Get-FsrmRmsTemplate . Verifique se que você é capaz de ver o modelo de RMS que você criou nas etapas anteriores neste procedimento com este comando.

Hh831776.Important(pt-br,WS.11).gif Importante
Se você quiser que seus servidores de arquivos para mudar imediatamente, assim você pode testá-los, você precisará fazer o seguinte:

  1. No servidor de arquivos, arquivo1, abra um prompt de comando e execute os seguintes comandos:

    • gpupdate /force.

    • NLTEST /SC_RESET:contoso.com

  2. No controlador de domínio (DC1), Replica o Active Directory.

    Para obter mais informações sobre as etapas para forçar a replicação do Active Directory, consulte Active Directory Replication

Opcionalmente, em vez de usar o Assistente de recursos e adicionar funções no Gerenciador do servidor, você pode usar o Windows PowerShell para instalar e configurar a função de servidor AD RMS como Mostrar no procedimento a seguir.

Hh831776.collapse(pt-br,WS.11).gif Para instalar e configurar um cluster AD RMS no Windows Server 2012 usando o Windows PowerShell

  1. Fazer o login no como CONTOSO\Administrador. a senha: pass@word1.

    Hh831776.Important(pt-br,WS.11).gif Importante
    Para instalar a função de servidor AD RMS o instalador conta (no caso, CONTOSO\Administrador.) devem ser dado a associação tanto o grupo Administradores local no computador do servidor onde o AD RMS deve ser instalado, bem como a associação ao grupo Administradores de empresa no Active Directory.

  2. Na área de trabalho do servidor, clique com botão direito no ícone do Windows PowerShell na barra de tarefas e selecione Executar como administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.

  3. Para usar cmdlets do Gerenciador de servidores para instalar a função de servidor AD RMS, digite:

    
    
    Add-WindowsFeature ADRMS –IncludeAllSubFeature –IncludeManagementTools
    
    
  4. Crie a unidade do Windows PowerShell para representar o servidor AD RMS, que você está instalando.

    Por exemplo criar uma unidade do Windows PowerShell chamado RC para instalar e configurar o primeiro servidor em um cluster AD RMS de raiz, tipo:

    
    
    Importação-módulo ADRMSNew-PSDrive - PSProvider ADRMSInstall-nome RC - RootCluster de raiz
    
    
  5. Definir propriedades em objetos no namespace de carro que representam as definições de configuração necessárias.

    Por exemplo, para definir a conta de serviço AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    $svcacct = Get-Credential
    
    

    Quando a caixa de diálogo de segurança do Windows aparece, digite o nome de usuário de domínio do AD RMS serviço conta CONTOSO\RMS e a senha atribuída.

    Em seguida, para atribuir a conta de serviço AD RMS para as configurações de cluster do AD RMS, digite o seguinte:

    
    
    Set-ItemProperty –Path RC: \-ServiceAccount de nome-valor $svcacct
    
    

    Em seguida, para definir o servidor de AD RMS para usar o Windows Internal Database, no prompt de comando do Windows PowerShell, digite:

    
    
    Set-ItemProperty –Path RC:\ClusterDatabase-UseWindowsInternalDatabase de nome-valor $true
    
    

    Em seguida, para armazenar com segurança a senha de chave de cluster em uma variável, no prompt de comando do Windows PowerShell, digite:

    
    
    $senha = Read-Host - AsSecureString-alerta "senha:"
    
    

    Digite a senha da chave de cluster e, em seguida, pressione Enter.

    Em seguida, para atribuir a senha para a instalação do AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    Set-ItemProperty-caminho RC:\ClusterKey-nome CentrallyManagedPassword-senha $ de valor
    
    

    Em seguida, para definir o endereço de cluster do AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    Set-ItemProperty-caminho RC: \-ClusterURL de nome-valor "http://file1.contoso.com:80"
    
    

    Em seguida, para atribuir o nome SLC para sua instalação do AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    Set-ItemProperty-caminho RC: \-SLCName de nome-valor "Arquivo1"
    
    

    Em seguida, para definir o ponto de conexão de serviço (SCP) para o cluster do AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    Set-ItemProperty-caminho RC: \-RegisterSCP de nome-valor $true
    
    
  6. Execute o cmdlet Install-ADRMS . Além de instalar a função de servidor AD RMS e configuração do servidor, esse cmdlet também instala outras características necessárias de RMS do AD, se necessário.

    Por exemplo, para alterar a unidade de Windows PowerShell chamado RC e instalar e configurar o AD RMS, digite:

    
    
    RC:\Install Set-Location-ADRMS –Path.
    
    

    Tipo "Y" quando o cmdlet solicita que você confirme que você deseja iniciar a instalação.

  7. Logout como CONTOSO\Administrador. e faça logon como CONTOSO\RMS usando a senha fornecida ("pass@word1").

    Hh831776.Important(pt-br,WS.11).gif Importante
    Para gerenciar o servidor RMS do AD a conta que você está conectado a e usando gerenciar o servidor (neste caso, CONTOSO\RMS) terá a dar adesão em ambos o grupo Administradores local no computador de servidor do AD RMS, bem como a associação ao grupo Administradores de empresa no Active Directory.

  8. Na área de trabalho do servidor, clique com botão direito no ícone do Windows PowerShell na barra de tarefas e selecione Executar como administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.

  9. Crie a unidade do Windows PowerShell para representar o servidor AD RMS, que você está configurando.

    Por exemplo, para criar uma unidade do Windows PowerShell chamada RC para configurar o cluster AD RMS root, digite:

    
    
    Importação-módulo ADRMSAdmin ' New-PSDrive - PSProvider ADRMSAdmin-nome RC-raiz http://localhost-força - escopo Global
    
    
  10. Para criar novo modelo de direitos para o administrador de finanças da Contoso e atribuir direitos de usuário com controle total na instalação do AD RMS, no prompt de comando do Windows PowerShell, digite:

    
    
    Novo Item - en de –LocaleName de RC:\RightsPolicyTemplate de caminho-nós - DisplayName "Contoso Finanças Admin apenas"-Descrição "Contoso Finanças Admin só" - grupo financeadmin@contoso.com-direita ('FullControl')
    
    
  11. Para verificar que você pode ver o novo modelo de direitos para o administrador de finanças da Contoso, no prompt de comando do Windows PowerShell:

    
    
    Get-FsrmRmsTemplate
    
    

    Revisão a saída desse cmdlet para confirmar o modelo de RMS que você criou na etapa anterior está presente.

Hh831776.collapse(pt-br,WS.11).gif Criar o servidor de email (SRV1)

SRV1 é o servidor de email SMTP/POP3. Você precisará configurá-lo para que você pode enviar notificações por email como parte do cenário de acesso negado a assistência.

Configure o Microsoft Exchange Server neste computador. Para obter mais informações, consulte como instalar o Exchange Server.

Hh831776.collapse(pt-br,WS.11).gif Construir a máquina virtual cliente (CLIENT1)

Hh831776.collapse(pt-br,WS.11).gif Para criar a máquina virtual cliente

  1. Conecte o CLIENT1 para o ID_AD_Network.

  2. Instale o Microsoft Office 2010.

  3. Cadastre-se como CONTOSO\Administrador. e usar as informações a seguir para configurar o Microsoft Outlook.

    • Seu nome: administrador de arquivos

    • Endereço electrónico: fileadmin@contoso.com

    • Tipo de conta: POP3

    • Servidor de mensagens recebidas: endereço IP estático do SRV1

    • Outgoing mail server: o endereço IP estático do SRV1

    • Nome de usuário: fileadmin@contoso.com

    • Lembrar senha: selecione

  4. Crie um atalho para o Outlook no desktop CONTOSO\Administrador..

  5. Abra o Outlook e abordar todas as mensagens "lançou a primeira vez".

  6. Exclua todas as mensagens de teste que foram geradas.

  7. Crie um novo atalho na área de trabalho para todos os usuários na máquina cliente virtual que aponta para \\FILE1\Finance documentos.

  8. Reinicie conforme necessário.

Hh831776.collapse(pt-br,WS.11).gif Habilitar acesso negado assistência na máquina cliente virtual

  1. Abra o Editor do registro e navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.

    • Conjunto EnableShellExecuteFileStreamCheck para 1.

    • Valor: DWORD

Hh831776.collapse(pt-br,WS.11).gif Construir uma máquina virtual para DC2

  • Construa uma máquina virtual de Windows Server 2012 ISO.


  • Crie o nome da máquina virtual como DC2.

  • Conecte a máquina virtual para o ID_AD_Network.

Hh831776.Important(pt-br,WS.11).gif Importante
Juntando-se máquinas virtuais para um domínio e implantar tipos de reivindicação entre florestas exigem que as máquinas virtuais será capaz de resolver os FQDNs dos domínios relevantes. Talvez você precise definir manualmente as configurações de DNS nas máquinas virtuais para realizar essa tarefa. Para obter mais informações, consulte Configurando uma rede virtual.

Todas as imagens de máquina virtual (servidores e clientes) devem ser reconfiguradas para usar um estático IP versão 4 (IPv4) endereço e configurações de sistema de nome de domínio (DNS) do cliente. Para obter mais informações, consulte configurar um cliente de DNS para o endereço de IP estático.

Hh831776.collapse(pt-br,WS.11).gif Criar uma nova floresta chamado adatum.com

Hh831776.collapse(pt-br,WS.11).gif Para instalar serviços de domínio Active Directory

  1. Conecte a máquina virtual para o ID_AD_Network. Entrar para o DC2 como administrador com a senha Pass@word1.

  2. No Server Manager, clique em gerenciare, em seguida, clique em adicionar funções e recursos.

  3. Na página antes de começar , clique em seguinte.

  4. Na página Selecionar tipo de instalação , clique em instalar Role-based, ou baseado em recursose, em seguida, clique em seguinte.

  5. Na página selecionar servidor de destino , clique em selecionar um servidor do pool do servidor, clique nos nomes do servidor onde você deseja instalar serviços de domínio do Active Directory (AD DS) e, em seguida, clique em seguinte.

  6. Na página Selecionar funções do servidor , clique em Serviços de domínio Active Directory. Na caixa de diálogo Assistente de recursos e adicionar funções , clique em Adicionar recursose, em seguida, clique em seguinte.

  7. Na página Selecionar recursos , clique em seguinte.

  8. A página de AD DS , revise as informações e clique em próximo.

  9. Na página confirmação , clique em instalar. A barra de progresso de instalação do recurso na página de resultados indica que o papel está sendo instalado.

  10. Na página de resultados , verifique se a instalação sucedeu e, em seguida, clique no ícone de aviso com um ponto de exclamação no canto superior direito da tela, ao lado de gerenciar. Na lista de tarefas, clique no link de promover esse servidor a controlador de domínio .

    Hh831776.Important(pt-br,WS.11).gif Importante
    Se você fecha o Assistente de instalação neste ponto ao invés de clicar de promover esse servidor a controlador de domínio, você pode continuar a instalação do AD DS clicando em tarefas no Gerenciador de servidores.

  11. A página de Configuração de implantação , clique em Adicionar uma nova floresta, digite o nome do domínio raiz, adatum.come, em seguida, clique em seguinte.

  12. Na página Opções de controlador de domínio , selecione os níveis funcionais de domínio e de floresta Windows Server 2012, especifique a senha DSRM pass@word1e, em seguida, clique em seguinte.

  13. Na página Opções de DNS , clique em seguinte.

  14. Na página Opções adicionais , clique em seguinte.

  15. Na página caminhos , digite os locais para o banco de dados do Active Directory, arquivos de log e SYSVOL pasta (ou aceitar os locais padrão) e, em seguida, clique em seguinte.

  16. Na página Opções de revisão , confirmar suas seleções e clique em próximo.

  17. A página de Pré-requisitos verificar , confirme que a validação de pré-requisitos é concluída e, em seguida, clique em instalar.

  18. Na página de resultados , verifique se o servidor foi configurado com êxito como um controlador de domínio e, em seguida, clique em fechar.

  19. Reinicie o servidor para concluir a instalação do AD DS. (Por padrão, isso acontece automaticamente.)

Hh831776.Important(pt-br,WS.11).gif Importante
Para garantir que a rede está configurada corretamente, depois que você configurar ambas as florestas, você deve fazer o seguinte:

  • Entrar para adatum.com como adatum\administrator. Abra uma janela de Prompt de comando, digite nslookup contoso.come então pressione ENTER.

  • Entrar no contoso.com como CONTOSO\Administrador.. Abra uma janela de Prompt de comando, digite nslookup adatum.come, em seguida, pressione ENTER.

Se esses comandos executar sem erros, as florestas podem se comunicar uns com os outros. Para obter mais informações sobre erros de nslookup, consulte a seção solução de problemas no tópico Usando NSlookup.exe

Hh831776.collapse(pt-br,WS.11).gif Conjunto contoso.com como uma floresta confiante para adatum.com

Nesta etapa, você cria uma relação de confiança entre o site do Adatum Corporation e a Contoso, Ltd. site.

Hh831776.collapse(pt-br,WS.11).gif Para definir a Contoso como uma floresta confiante para Adatum

  1. Entrar no DC2 como administrador. Na tela Iniciar , digite domain.msc.

  2. Na árvore de console, clique com botão direito adatum.com e, em seguida, clique em Propriedades.

  3. Na guia relações de confiança , clique em Confiar de novoe, em seguida, clique em seguinte.

  4. Na página Nome de confiança , digite contoso.com, no campo de nome do sistema de nome de domínio (DNS) e, em seguida, clique em seguinte.

  5. Na página Tipo de confiança , clique em Confiança de florestae, em seguida, clique em seguinte.

  6. Na página da Direção de confiança , clique em bidirecional.

  7. Na página Lados de confiança , clique tanto este domínio e o domínio especificadoe, em seguida, clique em seguinte.

  8. Continue seguindo as instruções no assistente.

Hh831776.collapse(pt-br,WS.11).gif Criar usuários adicionais na floresta Adatum

Criar o usuário Jeff Low com a senha pass@word1e atribuir o atributo de empresa com o valor Adatum.

Hh831776.collapse(pt-br,WS.11).gif Para criar um usuário com o atributo de empresa

  1. Abra um prompt de comando no Windows PowerShell e cole o seguinte código:

    
    
    Novo-ADUser '-jlow SamAccountName '-nome "Baixa de Jeff" '-UserPrincipalName jlow@adatum.com '-AccountPassword (ConvertTo-SecureString ' - AsPlainText "pass@word1" - força) '-Enabled $true '-PasswordNeverExpires $true '-caminho ' CN = Users, DC = adatum, DC = com' '-empresa Adatum'
    
    

Hh831776.collapse(pt-br,WS.11).gif Criar o tipo de declaração da empresa em adataum.com

Hh831776.collapse(pt-br,WS.11).gif Para criar um tipo de declaração usando o Windows PowerShell

  1. Entrar no adatum.com como administrador.

  2. Abra um prompt de comando no Windows PowerShell e digite o seguinte código:

    
    
    New-ADClaimType '-AppliesToClasses:@('user') '-Descrição: "Empresa" '-DisplayName: "Empresa" '-ID: "anúncio: / / ext/empresa: ContosoAdatum" '-IsSingleValued:$ true '-Server:"adatum.com" '-SourceAttribute:Company '-SuggestedValues: @((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) '
    
    

Hh831776.collapse(pt-br,WS.11).gif Habilitar a propriedade de recurso de empresa em contoso.com

Hh831776.collapse(pt-br,WS.11).gif Para habilitar a propriedade de recurso de empresa em contoso.com

  1. Entrar no contoso.com como administrador.

  2. No Server Manager, clique em ferramentase clique em Central administrativa do Active Directory.

  3. No painel esquerdo da central administrativa do Active Directory, clique em Exibir de árvore. No painel esquerdo, clique em Controle de acesso dinâmicoe, em seguida, clique duas vezes em Propriedades de recurso.

  4. Selecionar a empresa na lista de Propriedades de recurso , com o botão direito e selecione Propriedades. Na seção de Valores sugeridos , clique em Adicionar para adicionar os valores sugeridos: Contoso e Adatum e, em seguida, clique em OK duas vezes.

  5. Selecionar a empresa na lista de Propriedades de recurso , com o botão direito e selecione Ativar.

Hh831776.collapse(pt-br,WS.11).gif Habilitar controle de acesso dinâmico adatum.com

Hh831776.collapse(pt-br,WS.11).gif Para habilitar o controle de acesso dinâmico para adatum.com

  1. Entrar no adatum.com como administrador.

  2. Abra o Console de gerenciamento de diretiva de grupo, clique em adatum.come clique duas vezes em Controladores de domínio.

  3. Botão direito do mouse Diretiva padrão de controladores de domínioe selecione Editar.

  4. Na janela Editor de gerenciamento de diretiva de grupo, clique duas vezes em Configuração do computador, clique duas vezes em diretivas, clique duas vezes em Modelos administrativos, clique duas vezes em sistemae, em seguida, clique duas vezes no KDC.

  5. Clique duas vezes no KDC suporte para reclamações, autenticação composta e Kerberos blindagem e selecione a opção ao lado de Enabled. Você precisa habilitar essa configuração para usar as diretivas de acesso Central.

  6. Abra um prompt de comando e execute o seguinte comando:

    
    
    gpupdate /force.
    
    

Hh831776.collapse(pt-br,WS.11).gif Criar o tipo de declaração de empresa em contoso.com

Hh831776.collapse(pt-br,WS.11).gif Para criar um tipo de declaração usando o Windows PowerShell

  1. Entrar no contoso.com como administrador.

  2. Abra um prompt de comando no Windows PowerShell, digite o seguinte código:

    
    
    Novo-ADClaimType –SourceTransformPolicy ' –DisplayName "Empresa" ' – ID "anúncio: / / ext/empresa: ContosoAdatum" ' –IsSingleValued $true, '–ValueType 'string' '
    
    

Hh831776.collapse(pt-br,WS.11).gif Criar a regra de acesso central

Hh831776.collapse(pt-br,WS.11).gif Para criar uma regra de acesso central

  1. No painel esquerdo da central administrativa do Active Directory, clique em Exibir de árvore. No painel esquerdo, clique em Controle de acesso dinâmicoe, em seguida, clique em Regras de acesso Central.

  2. Botão direito do mouse Regras de acesso Central, clique em novoe, em seguida, Regra de acesso Central.

  3. No campo nome , digite AdatumEmployeeAccessRule.

  4. Na seção permissões , selecione a opção de uso seguindo as permissões conforme permissões atuais , clique em Editare, em seguida, clique em Adicionar. Clique no link selecionar uma entidade , digite Usuários autenticadose, em seguida, clique em OK.

  5. Na caixa de diálogo Entrada de permissão para permissões , clique em Adicionar uma condiçãoe digite as seguintes condições: [usuário][empresa][igual][valor][Adatum]. [valor] Permissões devem ser modificar, ler e executar, ler, escrever.

  6. Clique em OK.

  7. Clique em OK três vezes para concluir e voltar a central administrativa do Active Directory.

    PowerShell Logo Comandos equivalentes do Windows PowerShell

    O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.

    
    
    Novo-ADCentralAccessRule '-CurrentAcl: "O:SYG:SYD:AR(A;;FA;; OW) (A;FA;;BA) (A;FA;;SY) (XA; 0x1301bf;;AU; (@USER.ad://ext/Company:ContosoAdatum = = ' "Adatum'")) "'-nome:"AdatumEmployeeAccessRule"'-ProposedAcl:$ null '-ProtectedFromAccidentalDeletion:$ true '-Server:"contoso.com "'
    
    

Hh831776.collapse(pt-br,WS.11).gif Criar a diretiva de acesso central

Hh831776.collapse(pt-br,WS.11).gif Para criar uma diretiva de acesso central

  1. Entrar no contoso.com como administrador.

  2. Abra um prompt de comando no Windows PowerShell e, em seguida, cole o seguinte código:

    
    
    Novo-ADCentralAccessPolicy "Adatum única política de acesso" Adicionar-ADCentralAccessPolicyMember "Adatum única política de acesso" '-membro "AdatumEmployeeAccessRule" '
    
    

Hh831776.collapse(pt-br,WS.11).gif Publicar a nova política através de diretiva de grupo

Hh831776.collapse(pt-br,WS.11).gif Para aplicar a diretiva de acesso central através de servidores de arquivos por meio de diretiva de grupo

  1. Na tela Iniciar , digite Ferramentas administrativase na barra de pesquisa , clique em configurações. Os resultados de configurações , clique em Ferramentas administrativas. Abra o Console de gerenciamento de diretiva de grupo na pasta Ferramentas administrativas .

    Hh831776.Tip(pt-br,WS.11).gif Dica
    Se a configuração de Ferramentas administrativas Mostrar estiver desativada, a pasta Ferramentas administrativas e seu conteúdo não aparecerá nos resultados de configurações .

  2. Botão direito do mouse no domínio contoso.com, clique em criar um GPO neste domínio e fazer um Link aqui...

  3. Digite um nome descritivo para o GPO, como AdatumAccessGPOe, em seguida, clique em OK.

Hh831776.collapse(pt-br,WS.11).gif Para aplicar a diretiva de acesso central para o servidor de arquivos por meio de diretiva de grupo

  1. Na tela Iniciar , digite Gerenciamento de diretiva de grupo, na caixa de pesquisa . Abra o Gerenciamento de diretiva de grupo na pasta Ferramentas administrativas.

    Hh831776.Tip(pt-br,WS.11).gif Dica
    Se a configuração de Ferramentas administrativas Mostrar estiver desativada, na pasta Ferramentas administrativas e seu conteúdo não aparecerá nos resultados de configurações.

  2. Navegue até e selecione Contoso como segue: Management\Forest de diretiva de Grupo: contoso.com\Domains\contoso.com.

  3. A política de AdatumAccessGPO de atalho e selecione Editar.

  4. No Editor de gerenciamento de diretiva de grupo, clique em Configuração do computador, expanda diretivas, configurações do Windowse, em seguida, clique em Configurações de segurança.

  5. Expandir o Sistema de arquivo, botão direito do mouse Diretiva de acesso Centrale, em seguida, clique em gerenciar Central de políticas de acesso.

  6. Na caixa de diálogo Configuração de diretivas de acesso Central , clique em Adicionar, selecione Adatum apenas política de acessoe clique em OK.

  7. Feche o Editor de gerenciamento de diretiva de grupo. Agora você adicionou a política de acesso central para a diretiva de grupo.

Hh831776.collapse(pt-br,WS.11).gif Criar a pasta de ganhos no servidor de arquivos

Criar um novo volume NTFS em ficheiro1 e crie a seguinte pasta: D:\Earnings.

Hh831776.note(pt-br,WS.11).gif Nota
Condições de acesso central não são habilitadas por padrão no sistema ou boot volume c:.

Hh831776.collapse(pt-br,WS.11).gif Classificação de definir e aplicar a diretiva de acesso central na pasta de ganhos

Hh831776.collapse(pt-br,WS.11).gif Para atribuir a diretiva de acesso central no servidor de arquivos

  1. No Gerenciador do Hyper-V, se conecte ao servidor arquivo1. Entrar no servidor usando o CONTOSO\Administrador., com a senha pass@word1.

  2. Abra um prompt de comando e digite: gpupdate /force. Isto irá assegurar que as alterações de diretiva de grupo terão efeito no seu servidor.

  3. Você também precisará atualizar as propriedades de recurso Global do Active Directory. Abrir Windows PowerShell, tipo Update-FSRMClassificationpropertyDefinition , e pressione ENTER. Fechar o Windows PowerShell.

  4. Abra o Windows Explorer e navegue para D:\EARNINGS. Botão direito do mouse a pasta de ganhos e clique em Propriedades.

  5. Clique na guia de classificação . Selecione a empresae selecione Adatum no campo valor .

  6. Clique em alterar, selecione Diretiva de acesso apenas Adatum no menu suspenso e clique em aplicar.

  7. Clique na guia segurança , clique em avançadoe clique na guia Diretiva Central . Você deve ver o AdatumEmployeeAccessRule listados. Você pode expandir o item para exibir todas as permissões que você definiu ao criar a regra no Active Directory.

  8. Clique em OK para retornar ao Windows Explorer.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft