Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Implantar uma política de acesso Central (etapas de demonstração)

Neste cenário, as operações de segurança do departamento de Finanças está trabalhando com segurança de informação central para especificar a necessidade de uma política de acesso central para que eles podem proteger informações de Finanças arquivados, armazenadas em servidores de arquivos. As informações arquivadas das Finanças de cada país podem ser acessadas como somente leitura por funcionários de Finanças do mesmo país. Um grupo de administração de Finanças central pode acessar as informações de Finanças de todos os países.

Implantação de uma política de acesso central inclui as seguintes fases:

Fase Descrição

Plano: Identificar a necessidade de políticas e a configuração necessária para a implantação

Identifica a necessidade de uma política e a configuração necessária para a implantação.

Implementar: Configurar os componentes e a política

Configure os componentes e a política.

Implantar a política de acesso central

Implante a política.

Manter: Mudança e fase a política

Estadiamento e mudanças na política

Antes de começar, você precisa configurar o laboratório para testar este cenário. As etapas para a criação do laboratório são explicadas em detalhes em Apêndice b: configuração do ambiente de teste .

Esta seção fornece a série de alto nível das etapas que ajuda na fase de planejamento da implantação.

Passo Exemplo

1.1

Negócio determina que é necessária uma política de acesso central

Para proteger as informações de Finanças que são armazenadas em servidores de arquivo, as operações de segurança do departamento de Finanças está trabalhando com segurança de informação central para especificar a necessidade de uma política de acesso central.

1.2

Expressar a política de acesso

Documentos de Finanças devem ser lido somente por membros do departamento de Finanças. Membros do departamento de Finanças devem somente acessar documentos em seu próprio país. Apenas administradores de Finanças deve ter acesso de gravação. Uma exceção será permitida para os membros do grupo FinanceException. Este grupo terá acesso de leitura.

1.3

Express que constrói a política de acesso no Windows Server 2012

Segmentação:
  • Resource.Department contém Finanças

Regras de acesso:
  • Permitir a leitura User.Country=Resource.Country e User.department = Resource.Department

  • Permitir controle total User.MemberOf(FinanceAdmin)

Exceção: Permitir a leitura memberOf(FinanceException)

1.4

Determinar as propriedades de arquivo necessárias para a política

Arquivos de tag com:

  • Departamento

  • País

1.5

Determinar os grupos necessários para a política e tipos de declaração

Tipos de declaração:

  • País

  • Departamento

Grupos de usuários:

  • FinanceAdmin

  • FinanceException

1.6

Determinar os servidores em que aplicar esta política

Aplica a política em todos os servidores de arquivo de Finanças.

Esta seção apresenta um exemplo que implementa uma política de acesso central para documentos de Finanças.

Não Passo Exemplo

2.1

Criar tipos de declaração

Crie os seguintes tipos de declaração:

  • Departamento

  • País

2.2

Criar propriedades de recurso

Criar e ativar as propriedades de recurso a seguir:

  • Departamento

  • País

2.3

Configurar uma regra de acesso central

Crie uma regra de Finanças documentos que inclui a política determinada na seção anterior.

2.4

Configurar uma diretiva de acesso central (CAP)

Criar um tampão chamado política de Finanças e adicionar a regra de financiamento documentos para esse CAP.

2.5

Política de acesso central de destino para os servidores de arquivos

Publica a tampa de política de financiamento para os servidores de arquivos.

2.6

Habilitar o KDC suporte para reclamações, composto de autenticação e blindagem de Kerberos.

Habilite KDC suporte para reclamações, autenticação composta e Kerberos blindagem para contoso.com.

No procedimento a seguir, você cria dois tipos de declaração: país e departamento.

Hh846167.collapse(pt-br,WS.11).gif Criar tipos de declaração

  1. Abra o DC1 de servidor no Gerenciador do Hyper-V e faça logon como CONTOSO\Administrador., com a senha pass@word1.

  2. Abra o centro administrativo do Active Directory.

  3. Clique no ícone de exibição de árvore, expanda o Controle de acesso dinâmicoe, em seguida, selecione Tipos de declaração.

    Com o botão direito Tipos de declaração, clique em novoe, em seguida, clique em Tipo de declaração.

    Hh846167.Tip(pt-br,WS.11).gif Dica
    Você também pode abrir um criar o tipo de declaração: janela do painel de tarefas . No painel tarefas , clique em novoe, em seguida, clique em Tipo de declaração.

  4. Na lista de Atributos de fonte , percorra a lista de atributos e clique em departamento. Isso deve preencher o campo nome de exibição com o departamento. Clique em OK.

  5. No painel tarefas , clique em novoe, em seguida, clique em Tipo de declaração.

  6. Na lista de Atributos de fonte , percorra a lista de atributos e, em seguida, clique no atributo de c (nome do país). No campo nome para exibição , digite o país.

  7. Na seção de Valores sugeridos , selecione são sugeridos os seguintes valores:e, em seguida, clique em Adicionar.

  8. Nos campos valor e nome para exibição , digite -nose, em seguida, clique em OK.

  9. Repita o passo acima. Na caixa de diálogo Adicionar um valor de sugerir , digite JP nos campos valor e nome para exibição e clique em OK.

PowerShell Logo Comandos equivalentes do Windows PowerShell

O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.



New-ADClaimType país - SourceAttribute c - SuggestedValues: @((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP",""))) novo-ADClaimType - SourceAttribute de departamento departamento

Hh846167.Tip(pt-br,WS.11).gif Dica
Você pode usar o Visualizador de histórico do Windows PowerShell na central administrativa do Active Directory para procurar os cmdlets do Windows PowerShell para cada procedimento que você realizar na central administrativa do Active Directory. Para obter mais informações, consulte Visualizador de histórico do Windows PowerShell

O próximo passo é criar propriedades de recurso. No procedimento a seguir, você criar uma propriedade de recurso que é adicionada automaticamente à lista de propriedades de recursos globais no controlador de domínio, para que fique disponível para o servidor de arquivos.

Hh846167.collapse(pt-br,WS.11).gif Para criar e habilitar o recurso pré-criado Propriedades

  1. No painel esquerdo da central administrativa do Active Directory, clique em Exibir de árvore. Expandir o Controle de acesso dinâmicoe, em seguida, selecione Propriedades de recurso.

  2. Botão direito do mouse Propriedades de recurso, clique em novoe, em seguida, clique em Propriedade de recurso de referência.

    Hh846167.Tip(pt-br,WS.11).gif Dica
    Você também pode escolher uma propriedade do recurso do painel de tarefas . Clique em novo e, em seguida, clique em Propriedade de recurso de referência.

  3. Em Selecione um tipo de declaração para compartilhar sua lista de valores sugeridos, clique em país.

  4. No campo nome para exibição , digite o paíse, em seguida, clique em OK.

  5. Clique duas vezes na lista de Propriedades de recurso , desloque-se para a propriedade de recursos do departamento . Botão direito do mouse e, em seguida, clique em Ativar. Isso permitirá que a propriedade de recurso interna do departamento .

  6. A lista de Propriedades de recursos no painel de navegação da central administrativa do Active Directory, você terá agora duas propriedades de recurso habilitado:

    • País

    • Departamento

PowerShell Logo Comandos equivalentes do Windows PowerShell

O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.



País novo-ADResourceProperty - IsSecured $true - ResourcePropertyValueType MS-DS-MultivaluedChoice - SharesValuesWith countrySet-ADResourceProperty Department_MS-Enabled $trueAdd-ADResourcePropertyListMember "Lista de propriedade de recurso Global"-Membros CountryAdd-ADResourcePropertyListMember "Lista de propriedade de recurso Global"-Department_MS Membros

O próximo passo é criar regras de acesso central que definem quem podem acessar recursos. Neste cenário, as regras de negócios são:

  • Documentos de Finanças podem ser lido somente por membros do departamento de Finanças.

  • Membros do departamento de Finanças podem acessar somente os documentos no seu próprio país.

  • Apenas administradores de Finanças pode ter acesso de gravação.

  • Permitiremos que uma exceção para os membros do grupo FinanceException. Este grupo terá acesso de leitura.

  • O administrador e o proprietário do documento ainda terá acesso total.

Ou para expressar as regras com construções de Windows Server 2012:

Segmentação: Resource.Department contém Finanças

Regras de acesso:

  • Permitir a leitura User.Country=Resource.Country e User.department = Resource.Department

  • Permitir controle total User.MemberOf(FinanceAdmin)

  • Permitir a leitura User.MemberOf(FinanceException)

Hh846167.collapse(pt-br,WS.11).gif Para criar uma regra de acesso central

  1. No painel esquerdo da central administrativa do Active Directory, clique em Modo de exibição de árvore, selecione o Controle de acesso dinâmicoe, em seguida, clique em Regras de acesso Central.

  2. Botão direito do mouse Regras de acesso Central, clique em novoe, em seguida, clique em Central de regra de acesso.

  3. No campo nome , digite Finanças documentos regra.

  4. Na seção de Recursos de destino , clique em Editare na caixa de diálogo Central de regra de acesso , clique em Adicionar uma condição. Adicione a seguinte condição:
    [Recurso] [Departamento] [Igual] [Valor] [Finanças] [Igual] e, em seguida, clique emOK. [Finanças]

  5. Na seção permissões , selecione uso seguindo as permissões conforme permissões atuais, clique em Editare na caixa de diálogo Configurações de segurança avançadas para permissões clique em Adicionar.

    Hh846167.note(pt-br,WS.11).gif Nota
    usar as seguintes permissões como permissões propostas Opção de usar as seguintes permissões como permissões propostas permite criar a política na encenação. Para obter mais informações sobre como fazer isso se referir a manutenção: mudança e fase a seção de política neste tópico.

  6. Na caixa de diálogo entrada de permissão para permissões , clique em Selecione uma entidade, digite Usuários autenticadose, em seguida, clique em OK.

  7. Na caixa de diálogo Entrada de permissão para permissões , clique em Adicionar uma condiçãoe adicionar as seguintes condições:
    [Usuário] [país] [Qualquer] [Recurso] [país] [Qualquer]
    Clique em Adicionar condição.
    [E] [E]
    Clique em [usuário][departamento][qualquer][recurso][departamento]. [recurso] Defina as permissões para leitura.

  8. Clique em OKe, em seguida, clique em Adicionar. Clique em Selecione uma entidade, digite FinanceAdmine clique em OK.

  9. Selecione as permissões modificar, ler e executar, ler, escrever e, em seguida, clique em OK.

  10. Clique em Adicionar, clique em Selecione uma entidade, digite FinanceExceptione clique em OK. Selecione as permissões leitura e leitura e execução.

  11. Clique em OK três vezes para concluir e voltar a central administrativa do Active Directory.

    PowerShell Logo Comandos equivalentes do Windows PowerShell

    O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.

    
    
    $countryClaimType = Get-ADClaimType país$ departmentClaimType = Get-ADClaimType departamento$ countryResourceProperty = país de Get-ADResourceProperty $departmentResourceProperty = departamento de Get-ADResourceProperty $currentAcl = "O:SYG:SYD:AR(A;;FA;; OW) (A;FA;;BA) (A; 0x1200a9;;S-1-5-21-1787166779-1215870801-2157059049-1113) (A; 0x1301bf;;S-1-5-21-1787166779-1215870801-2157059049-1112) (A;FA;;SY) (XA; 0x1200a9;;AU; ((@USER. "+ $countryClaimType.Name +" Any_of @RESOURCE. "+ $countryResourceProperty.Name +") & &(@USER. "+ $departmentClaimType.Name +" Any_of @RESOURCE. "+ $departmentResourceProperty.Name +"))) "$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + "Contains {'" Finanças ' "})" nova ADCentralAccessRule "Regra de documentos de financiamento" - CurrentAcl $currentAcl - ResourceCondition $resourceCondition
    
    
    Hh846167.Important(pt-br,WS.11).gif Importante
    No exemplo acima de cmdlet, os identificadores de segurança (SIDs) para o grupo FinanceAdmin e usuários é determinada no momento da criação e será diferentes em seu exemplo. Por exemplo, o SID fornecido valor (S-1-5-21-1787166779-1215870801-2157059049-1113) para o FinanceAdmins precisa ser substituído com o SID real para o grupo de FinanceAdmin que você precisa para criar na sua implantação. Você pode usar o Windows PowerShell para pesquisar o valor de SID deste grupo, atribuir esse valor a uma variável e, em seguida, use a variável aqui. Para obter mais informações, consulte dica do Windows PowerShell: trabalhando com SIDs.

Agora você deve ter uma regra de acesso central que permite às pessoas acessar documentos do mesmo país e o mesmo departamento. A regra permite que o grupo de FinanceAdmin editar os documentos, e permite que o grupo de FinanceException ler os documentos. Esta regra destina-se apenas a documentos classificados como finanças.

Hh846167.collapse(pt-br,WS.11).gif Para adicionar uma regra de acesso central para uma política de acesso central

  1. No painel esquerdo da central administrativa do Active Directory, clique em Controle de acesso dinâmicoe, em seguida, clique em Diretivas de acesso Central.

  2. No painel tarefas , clique em novoe, em seguida, clique em Diretiva de acesso Central.

  3. Em criar política de acesso Central:, digite Diretiva de Finanças na caixa nome .

  4. Em regras de acesso central do membro, clique em Adicionar.

  5. Clique duas vezes a Regra de financiamento documentos para adicionar para a lista de Adicionar as seguintes regras de acesso central e clique em OK.

  6. Clique em OK para terminar. Agora você deve ter uma diretiva de acesso central denominada política de Finanças.

    PowerShell Logo Comandos equivalentes do Windows PowerShell

    O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.

    
    
    Novo-ADCentralAccessPolicy "Política financeira" Adicionar-ADCentralAccessPolicyMember-identidade "Política financeira"-membro "Regra de documentos das Finanças"
    
    

Hh846167.collapse(pt-br,WS.11).gif Para aplicar a diretiva de acesso central em servidores de arquivo, usando a diretiva de grupo

  1. Na tela Iniciar , na caixa Pesquisar , digite Gerenciamento de diretiva de grupo. Clique duas vezes em Gerenciamento de diretiva de grupo.

    Hh846167.Tip(pt-br,WS.11).gif Dica
    Se a configuração de Ferramentas administrativas Mostrar estiver desativada, a pasta Ferramentas administrativas e seu conteúdo não aparecerá nos resultados de configurações .

    Hh846167.Tip(pt-br,WS.11).gif Dica
    Em seu ambiente de produção, você deve criar um arquivo servidor organização (OU unidade) e adicionar todos os seus servidores de arquivos para esta unidade organizacional, ao qual você deseja aplicar esta diretiva. Você pode criar uma diretiva de grupo e adicionar este OU a essa política...

  2. Nesta etapa, você pode editar o objeto de diretiva de grupo que você criou na seção criar o controlador de domínio no ambiente de teste para incluir a política de acesso central que você criou. No Editor de gerenciamento de diretiva de grupo, navegue para e selecione a unidade organizacional no domínio (contoso.com neste exemplo): Gerenciamento de diretiva de grupo, floresta: contoso.com, domínios, contoso.com, Contoso, FileServerOU.

  3. Botão direito do mouse FlexibleAccessGPOe, em seguida, clique em Editar.

  4. Na janela Editor de gerenciamento de diretiva de grupo, navegue até Configuração do computador, expanda diretivas, configurações do Windowse clique em Configurações de segurança.

  5. Expandir o Sistema de arquivo, botão direito do mouse Diretiva de acesso Centrale, em seguida, clique em gerenciar Central de políticas de acesso.

  6. Na caixa de diálogo Configuração de diretivas de acesso Central , adicionar a Política financeirae, em seguida, clique em OK.

  7. Role para baixo até a Configuração de diretiva de auditoria avançadae expandi-lo.

  8. Expanda Diretivas de auditoriae selecione o Acesso a objetos.

  9. Clique duas vezes em auditoria encenação de política de acesso Central. Selecione todas as três caixas de seleção e, em seguida, clique em OK. Este passo permite que o sistema receber a auditoria de eventos relacionadas às políticas de encenação de acesso Central.

  10. Clique duas vezes em Propriedades de sistema de arquivo de auditoria. Selecione todas as três caixas de seleção e clique em OK.

  11. Feche o Editor de gerenciamento de diretiva de grupo. Você agora incluiu a política de acesso central para a política de grupo.

Para controladores de domínio de um domínio fornecer créditos ou dados de autorização do dispositivo, os controladores de domínio precisam ser configurados para oferecer suporte a controle de acesso dinâmico.

Hh846167.collapse(pt-br,WS.11).gif Para habilitar o suporte para declarações e autenticação composta para contoso.com

  1. Gerenciamento de diretiva de grupo aberto, clique em contoso.come, em seguida, clique em Controladores de domínio.

  2. Botão direito do mouse Diretiva de controladores de domínio padrãoe clique em Editar.

  3. Na janela Editor de gerenciamento de diretiva de grupo, clique duas vezes em Configuração do computador, clique duas vezes em diretivas, clique duas vezes em Modelos administrativos, clique duas vezes em sistemae, em seguida, clique duas vezes no KDC.

  4. Clique duas vezes no KDC suporte para reclamações, autenticação composta e blindagem de Kerberos. Na caixa de diálogo KDC suporte para reclamações, autenticação composta e blindagem de Kerberos , clique em habilitado e selecione suportados na lista suspensa de Opções . (Você precisará habilitar essa configuração de usar declarações do usuário em condições de acesso central).

  5. Feche o Gerenciamento de diretiva de grupo.

  6. Abra um prompt de comando e digite gpupdate /force .

Passo Exemplo

3.1

Atribua a tampa para as apropriado pastas compartilhadas no servidor de arquivos.

Atribua a política de acesso central para a apropriado pasta compartilhada no servidor de arquivos.

3.2

Verifique se que o acesso está configurado adequadamente.

Verificar o acesso para usuários de diferentes países e departamentos.

Nesta etapa você irá atribuir a diretiva de acesso central para um servidor de arquivos. Você faça logon em um servidor de arquivos que está recebendo a política de acesso central que você criou nas etapas anteriores e atribuir a política a uma pasta compartilhada.

Hh846167.collapse(pt-br,WS.11).gif Para atribuir uma diretiva de acesso central para um servidor de arquivos

  1. No Gerenciador do Hyper-V, se conecte ao servidor arquivo1. Faça logon no servidor usando o CONTOSO\Administrador. com a senha: pass@word1.

  2. Abra um prompt de comando e digite: gpupdate /force. Isso garante que as alterações de diretiva de grupo tenham efeito em seu servidor.

  3. Você também precisará atualizar as propriedades de recurso Global do Active Directory. Abra uma janela do Windows PowerShell com privilégios elevados e tipo Update-FSRMClassificationpropertyDefinition . Clique em inserir e, em seguida, feche o Windows PowerShell.

    Hh846167.Tip(pt-br,WS.11).gif Dica
    Você também pode atualizar as propriedades de recurso Global fazendo logon em servidores de ficheiros. Para atualizar as propriedades de recurso Global do servidor de arquivos, faça o seguinte

    1. Logon para o servidor de arquivo FILE1 como CONTOSO\Administrador., usando a senha pass@word1.

    2. Abra o Gerenciador de recursos de servidor de arquivos. Para abrir o Gerenciador de recursos de servidor de arquivos, clique em Iniciar, digite Gerenciador de recursos de servidor de arquivose clique em Gerenciador de recursos de servidor de arquivos.

    3. No Gerenciador de recursos de servidor de arquivo, clique em Gerenciamento de classificação de arquivos , clique com botão direito Propriedades de classificação e, em seguida, clique em Atualizar.

  4. Abra o Windows Explorer e no painel esquerdo, clique em unidade D. Botão direito do mouse a pasta de Documentos do financiamento e clique em Propriedades.

  5. Clique na guia de classificação , clique em paíse selecione - no campo valor .

  6. Clique em departamento, escolha das Finanças no campo valor e, em seguida, clique em aplicar.

    Hh846167.note(pt-br,WS.11).gif Nota
    Lembre-se que a política de acesso central foi configurada para arquivos de destino para o departamento de Finanças. As etapas anteriores marcam todos os documentos na pasta com o país e departamento de atributos.

  7. Clique na guia segurança e, em seguida, clique em avançado. Clique na guia Diretiva Central .

  8. Clique em alterar, selecione a Política financeira no menu suspenso e clique em aplicar. Você pode ver que a Regra de Finanças documentos listados na política. Expanda o item para exibir todas as permissões que você definiu ao criar a regra no Active Directory.

  9. Clique em OK para retornar ao Windows Explorer.

Na próxima etapa, você garantir que o acesso está configurado adequadamente. Contas de usuário precisam ter o conjunto de atributo do departamento apropriado (definir isso usando a central administrativa do Active Directory). A maneira mais simples para Ver os resultados efetivos da nova política é usar o guia de Acesso efectivo no Windows Explorer. O guia de Acesso eficaz mostra os direitos de acesso para uma conta de determinado usuário.

Hh846167.collapse(pt-br,WS.11).gif Para examinar o acesso para vários usuários

  1. No Gerenciador do Hyper-V, se conecte ao servidor arquivo1. Faça logon no servidor usando o CONTOSO\Administrador.. Navegue até D:\ no Windows Explorer. Botão direito do mouse a pasta de Documentos do financiamento e, em seguida, clique em Propriedades.

  2. Clique na guia segurança , clique em avançadoe, em seguida, clique na guia Acesso eficaz .

  3. Para examinar as permissões para um usuário, clique em selecionar um usuário, digite o nome do usuário e clique em acesso eficaz de exibição para Ver os direitos de acesso eficaz. Por exemplo:

    • Myriam Delesalle (MDelesalle) é o departamento de Finanças e devem ter acesso de leitura para a pasta.

    • Miles Reid (MReid) é um membro do grupo de FinanceAdmin e deve ter acesso de modificar a pasta.

    • Esther Valle (EValle) não é o departamento de Finanças;no entanto, ela é um membro do grupo de FinanceException e deve ter acesso de leitura.

    • Maira Wenzel (MWenzel) não é o departamento de Finanças e é não um membro de um grupo FinanceAdmin ou FinanceException. Ela não deve ter qualquer acesso à pasta.

    Observe que a última coluna chamado acesso limitado pela janela de acesso eficaz. Esta coluna informa quais portas estão efetuando permissões da pessoa. Neste caso, as permissões de compartilhamento e NTFS permitem todos os usuários controle total. No entanto, a política de acesso central restringe o acesso baseado em regras que você configurou anteriormente.

Número

Etapa

Exemplo

4.1

Configurar o créditos de dispositivo para clientes

Defina a configuração de diretiva de grupo para habilitar o dispositivo reivindicações

4.2

Habilite uma reivindicação para dispositivos.

Habilite o tipo de declaração do país para dispositivos.

4.3

Adicione uma diretiva de preparo para a regra de acesso central existente que você gostaria de modificar.

Modifica a regra de documentos de Finanças para adicionar uma diretiva de preparo.

4.4

Exibir os resultados da transição política.

Verificar permissões do éster Velle.

Hh846167.collapse(pt-br,WS.11).gif Para configurar a diretiva de grupo configuração para permitir reivindicações para dispositivos

  1. Logon para DC1, abra o gerenciamento de diretiva de grupo, clique em contoso.com, clique em Diretiva de domínio padrão, clique com botão direito e selecione Editar.

  2. Na janela Editor de gerenciamento de diretiva de grupo, navegue até Configuração do computador, diretivas, Modelos administrativos, sistema, Kerberos.

  3. Selecione o cliente Kerberos suporte para reclamações, autenticação composta e Kerberos blindagem e clique em Ativar.

Hh846167.collapse(pt-br,WS.11).gif Para permitir que uma reivindicação para dispositivos

  1. Abra o DC1 de servidor no Gerenciador do Hyper-V e faça logon como CONTOSO\Administrador., com a senha pass@word1.

  2. No menu ferramentas , abra a central administrativa do Active Directory.

  3. Clique em Modo de exibição de árvore, expandir o Controle de acesso dinâmico, clique duas vezes em Tipos de reivindicare clique duas vezes o crédito do país .

  4. Em declarações desse tipo podem ser emitidas para as classes a seguir, selecione a caixa de verificação do computador . Clique em OK.
    As caixas de seleção o usuário e o computador agora deve ser selecionadas. A reivindicação do país agora pode ser usada com dispositivos, além de usuários.

O próximo passo é criar uma regra de diretiva a preparo. Condições de teste podem ser usadas para monitorar os efeitos de uma nova entrada de política, antes que você o ative. Na etapa seguinte, você irá criar uma entrada de política de preparo e monitorar o efeito em sua pasta compartilhada.

Hh846167.collapse(pt-br,WS.11).gif Criar uma regra de diretiva preparo e adicioná-lo para a política de acesso central

  1. Abra o DC1 de servidor no Gerenciador do Hyper-V e faça logon como CONTOSO\Administrador., com a senha pass@word1.

  2. Abra o centro administrativo do Active Directory.

  3. Clique em Modo de exibição de árvore, expanda o Controle de acesso dinâmicoe selecione Regras de acesso Central.

  4. Botão direito do mouse a Regra de documentos das Finançase, em seguida, clique em Propriedades.

  5. Na seção Permissões proposto , selecione a caixa de seleção Habilitar configuração preparo de permissão , clique em Editare, em seguida, clique em Adicionar. Na janela de Entrada de permissão para propostas de permissões , clique no link selecionar uma entidade , digite Usuários autenticadose, em seguida, clique em OK.

  6. Clique no link Adicionar uma condição e adicionar a seguinte condição:
    [Usuário] [país] [Qualquer] [Recurso] [País] [Qualquer] . [Recurso]

  7. Clique em Adicionar uma condiçãonovamente e adicione a seguinte condição: [e]
    [Dispositivo] [país] [Qualquer] [Recurso] [País] [Qualquer]

  8. Clique em Adicionar uma condição novamente e adicione a seguinte condição. [E]
    [Usuário] [Grupo] [Membro de qualquer] [Valor](FinanceException) [Valor]

  9. Para definir o FinanceException, grupo, clique em Adicionar itens e na janela Selecionar usuário, computador, conta de serviço ou grupo , digite FinanceException.

  10. Clique em permissões, selecione o Controle totale clique em OK.

  11. Nas configurações de segurança de avanço para a janela de permissões proposto, selecione FinanceException e clique em remover.

  12. Clique em OK duas vezes para terminar.

PowerShell Logo Comandos equivalentes do Windows PowerShell

O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles apareçam em várias linhas aqui por causa de restrições de formatação.



Conjunto-ADCentralAccessRule-identidade: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;BA) (A;FA;;SY) (A; 0x1301bf;;S-1-21=1426421603-1057776020-1604)"-Server:"vitória-2R92NN8VKFP.Contoso.com"

Hh846167.note(pt-br,WS.11).gif Nota
No exemplo acima de cmdlet, o valor do servidor reflete o servidor no ambiente de laboratório de teste. Você pode usar o Visualizador de histórico do Windows PowerShell para procurar os cmdlets do Windows PowerShell para cada procedimento que você realizar na central administrativa do Active Directory. Para obter mais informações, consulte Visualizador de histórico do Windows PowerShell

Neste conjunto de permissões proposto, membros do grupo FinanceException terá acesso total aos arquivos do seu próprio país quando eles acessá-los através de um dispositivo do mesmo país que o documento. Entradas de auditoria estão disponíveis nos servidores de arquivo de log de segurança quando alguém do departamento de Finanças tenta acessar os arquivos. No entanto, as configurações de segurança não são aplicadas até que a política é promovida de encenação.

No próximo procedimento, você pode verificar os resultados da transição política. Você acessar a pasta compartilhada com um nome de usuário que tenha permissões com base na regra atual. Esther Valle (EValle) é um membro do FinanceException, e ela atualmente tem direitos de leitura. De acordo com nossa política de preparo, EValle não deve ter quaisquer direitos.

Hh846167.collapse(pt-br,WS.11).gif Para verificar os resultados da política de preparo

  1. Ligue para o arquivo FILE1 de servidor no Gerenciador do Hyper-V e log em como CONTOSO\Administrador., com a senha pass@word1.

  2. Abra uma janela de Prompt de comando e digite gpupdate /force. Isso garante que as alterações de diretiva de grupo terão efeito no seu servidor.

  3. No Gerenciador do Hyper-V, se conecte ao servidor CLIENT1. Faça logoff do usuário que está conectado no momento. Reinicie a máquina virtual, CLIENT1. Em seguida, logon para o computador usando o contoso\EValle pass@word1.

  4. Clique duas vezes o atalho no desktop para \\FILE1\Finance documentos. EValle ainda devem ter acesso aos arquivos. Alternar de volta para arquivo1.

  5. Abra o Visualizador de eventos do atalho no desktop. Expanda Logs do Windowse selecione segurança. Abra as inscrições com evento ID 4818 sob a categoria de tarefa de Encenação de política de acesso Central . Você verá que EValle foi permitido acesso;no entanto, de acordo com a política de preparo, o usuário seria ter sido acesso negado.

Se você tem um sistema de gerenciamento de servidor central como o System Center Operations Manager, você pode também configurar o monitoramento de eventos. Isso permite aos administradores monitorar os efeitos das políticas de acesso central antes de impor-lhes.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft