Bereitstellen von Ansprüchen in Gesamtstrukturen (Demonstrationsschritte)

 

Gilt für: Windows Server 2012

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="de-DE">In diesem Thema wird ein grundlegende Szenario behandelt, das erklärt, wie die Anspruchstransformation zwischen vertrauenden und vertrauten Gesamtstrukturen konfiguriert. Sie erfahren, wie Ansprüche Transformation Gruppenrichtlinienobjekte erstellt und auf die Vertrauensstellung der vertrauenden Gesamtstruktur und der vertrauenswürdigen Gesamtstruktur verknüpft werden. Das Szenario wird anschließend überprüft werden.SzenarioübersichtAdatum Corporation bietet Finanzdienstleistungen an Contoso, Ltd. In jedem Quartal kopieren Adatum Buchhalter ihre Konto-Tabellen in einem Ordner auf einem Dateiserver bei Contoso, Ltd. Es gibt eine bidirektionale Vertrauensstellung mit der von Contoso Adatum eingerichtet. Contoso, Ltd. möchte die Freigabe schützen, sodass nur Adatum Mitarbeiter auf die Remotefreigabe zugreifen können.In diesem Szenario:Set up the perquisites and the test environment Set up claims transformation on trusted forest Set up claims transformation on the trusting forest Validate the scenario Richten Sie die erforderlichen Komponenten und der Umgebung Die Konfiguration umfasst das Einrichten der zwei Gesamtstrukturen: Adatum Corporation und Contoso Ltd. und müssen eine bidirektionale Vertrauensstellung zwischen Contoso und Adatum. "adatum.com" ist der vertrauenswürdigen Gesamtstruktur, und "contoso.com" lautet der vertrauenden Gesamtstruktur.Die Ansprüche Transformation-Szenario veranschaulicht, Transformation der Anspruch in der vertrauenswürdigen Gesamtstruktur an einen Anspruch in der vertrauenden Gesamtstruktur. Zu diesem Zweck müssen Sie richten Sie eine neue Gesamtstruktur namens "adatum.com" und füllen die Gesamtstruktur mit einem Testbenutzer mit einem Unternehmens-Wert von "Adatum". Sie müssen eine bidirektionale Vertrauensstellung zwischen "contoso.com" und "adatum.com" festgelegt.Beim Einrichten von Contoso und Adatum Gesamtstrukturen müssen Sie sicherstellen, dass der Root-Domänen auf Windows Server 2012 als Domänenfunktionsebene für die Anspruchstransformation arbeiten werden.Sie müssen die folgenden für das Labor einrichten. Diese Verfahren werden ausführlich erläutert. Appendix B: Setting Up the Test EnvironmentSie müssen die folgenden Verfahren zum Einrichten der Übungseinheit für dieses Szenario zu implementieren:Adatum als vertrauenswürdigen Gesamtstruktur Contoso festlegenCreate the “Company” claim type on Contoso Enable the “Company” resource property on Contoso Create the central access rule Create the central access policy Publish the new policy through Group Policy Create the Earnings folder on the file server Set classification and apply the central access policy on the new folder Verwenden Sie die folgende Informationen, um dieses Szenario zu vervollständigen:ObjekteDetailsBenutzerJeff Low, ContosoBenutzeransprüche auf Adatum und Contoso-ID: Ad: / / Ext/Unternehmen: ContosoAdatum, Quellattribut: UnternehmenEmpfohlene Werte: Contoso, AdatumSie müssen die ID für die "Company" Anspruchstyp auf Contoso und Adatum identisch für die Anspruchstransformation arbeiten festlegen.Zentrale Zugriffsregel für ContosoAdatumEmployeeAccessRuleZentrale Zugriffsrichtlinie für ContosoAdatum nur ZugriffsrichtlinieAnsprüche Transformationsrichtlinien auf Adatum und ContosoDenyAllExcept UnternehmenOrdner für ContosoD:\EARNINGSEinrichten der Anspruchstransformation auf vertrauenswürdigen Gesamtstruktur (Adatum)In diesem Schritt erstellen Sie eine Transformation-Richtlinie in der Adatum alle Ansprüche mit Ausnahme von "Company" Übergabe an Contoso zu verweigern.Das Active Directory-Modul für Windows PowerShell bietet das DenyAllExcept -Argument, das alles mit Ausnahme der angegebenen Ansprüche in der Transformation Richtlinie gelöscht.Um die Anspruchstransformation einzurichten, müssen Sie eine Ansprüche Transformation-Richtlinie erstellen und den vertrauenswürdigen und vertrauenden Gesamtstrukturen zu verknüpfen.Erstellen Sie eine Ansprüche Transformation in der Adatum-Gesamtstruktur Zum Erstellen einer Transformation Richtlinie Adatum alle Ansprüche mit Ausnahme von "Company" verweigernMelden Sie sich bei dem Domänencontroller "adatum.com" als Administrator mit dem Kennwort pass@word1.Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein: New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" ` Legen Sie einen Ansprüche Transformation Link für Adatum Vertrauensobjekt DomäneIn diesem Schritt wenden Sie die neu erstellten Ansprüche Transformation Richtlinie für Adatum Vertrauensstellung Domänenobjekt für Contoso.Die Ansprüche Transformation Richtlinie anwendenMelden Sie sich bei dem Domänencontroller "adatum.com" als Administrator mit dem Kennwort pass@word1.Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein: Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` –TrustRole:Trusted ` Einrichten der Anspruchstransformation in der vertrauenden Gesamtstruktur (Contoso)In diesem Schritt erstellen Sie eine Ansprüche Transformation Richtlinie Contoso (der vertrauenden Gesamtstruktur), verweigern alle Ansprüche mit Ausnahme von "Company". Sie müssen eine Ansprüche Transformation-Richtlinie erstellen und verknüpfen Sie es mit der Gesamtstruktur-Vertrauensstellung.Erstellen Sie eine Ansprüche Transformation von ContosoZum Erstellen einer Transformation Richtlinie Adatum verweigern Sie alle außer "Company"Melden Sie sich bei dem Domänencontroller "contoso.com" als Administrator mit dem Kennwort pass@word1.Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein: New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" ` <caps:sentence sentenceid="005c7bd604fb3dc96149fdf7dddfa13d" id="tgt60" class="tgtSentence">Legen Sie einen Ansprüche Transformation Link auf Contoso Domäne Vertrauensobjekt</caps:sentence> <caps:sentence sentenceid="480c9765c45b5be00156343b9ac064e1" id="tgt61" class="tgtSentence">In diesem Schritt wenden Sie den neu erstellten Ansprüche Transformation Richtlinie für das Domänencontrollerobjekt für contoso.com Vertrauensstellung für Adatum "Company" zu "contoso.com" übergeben werden.</caps:sentence> <caps:sentence sentenceid="9f8e3c24f97513780ce20fe76e13adb0" id="tgt62" class="tgtSentence"> Das Domänenobjekt Vertrauensstellung heißt "adatum.com".</caps:sentence> <caps:sentence sentenceid="6c191e6275abfc5441dffb149f7818b8" id="tgt63" class="tgtSentence">Die Ansprüche Transformation Festlegen von Richtlinien</caps:sentence> <caps:sentence sentenceid="14d69345c4f48abb043b82577a7b50dc" id="tgt64" class="tgtSentence"> Melden Sie sich bei dem Domänencontroller "contoso.com" als Administrator mit dem Kennwort pass@word1.</caps:sentence> <caps:sentence sentenceid="219f7b7c98fdc5d2d2ae6fa7cd311eec" id="tgt65" class="tgtSentence">Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben Sie Folgendes ein: </caps:sentence> Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"DenyAllClaimsExceptCompanyPolicy" –TrustRole:Trusting ` <caps:sentence sentenceid="a9025f9c775d44393537df05f7cc2679" id="tgt66" class="tgtSentence">Überprüfen Sie das Szenario </caps:sentence> <caps:sentence sentenceid="56285a6999c46ea400ab79f04baf7332" id="tgt67" class="tgtSentence">In diesem Schritt versuchen Sie den Ordner D:\EARNINGS zugreifen, der eingerichtet wurde, auf dem Dateiserver "file1" zu überprüfen, ob der Benutzer Zugriff auf den freigegebenen Ordner hat.</caps:sentence> <caps:sentence sentenceid="a7571d62dc71ce1ca354add8e756e85c" id="tgt68" class="tgtSentence">Um sicherzustellen, dass den Adatum-Benutzer kann den freigegebenen Ordner zugreifen.</caps:sentence> <caps:sentence sentenceid="b4e34f337c8572646ac3b46d709c31a6" id="tgt69" class="tgtSentence">Melden Sie sich an den Client Computer CLIENT1 als Jeff Low mit dem Kennwort pass@word1.</caps:sentence> <caps:sentence sentenceid="9698f8b3395d82647066bb8156cdd294" id="tgt70" class="tgtSentence">Navigieren Sie zu dem Ordner \FILE1.contoso.com\Earnings.</caps:sentence> <caps:sentence sentenceid="a1b9238c6ceced854b3d2a4c8f975872" id="tgt71" class="tgtSentence">Jeff Low sollte auf den Ordner zugreifen können.</caps:sentence> <caps:sentence sentenceid="804e0b36bb9b019d5677671cb3f2b657" id="tgt72" class="tgtSentence">Zusätzliche Szenarien für die Ansprüche Transformationsrichtlinien</caps:sentence> <caps:sentence sentenceid="a77d9cc7d4c1b04ad68a1daed7214774" id="tgt73" class="tgtSentence">Es folgt eine Liste der zusätzlichen Fälle in Anspruchstransformation.</caps:sentence> <caps:sentence sentenceid="ff002f20300f51c19acdfd06f5dceb03" id="tgt74" class="tgtSentence">Szenario</caps:sentence> <caps:sentence sentenceid="f4af8b5789576c000ce9105b25609bd6" id="tgt75" class="tgtSentence">Richtlinie</caps:sentence> <caps:sentence sentenceid="18625e241bca741fb256f28462a561ee" id="tgt76" class="tgtSentence"> Können Sie alle Ansprüche, die Adatum-Gesamtstruktur auf Contoso Adatum durchlaufen werden</caps:sentence> New-ADClaimTransformPolicy -Description:"Claims transformation policy to allow all claims" -Name:"AllowAllClaimsPolicy" -AllowAll -Server:"contoso.com" ` Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"AllowAllClaimsPolicy" -TrustRole:Trusting -Server:"contoso.com" </code> </TD> </tr> <tr> <TD> <para> <caps:sentence sentenceid="7dca4bf71e06fe60eed5d1e7b11d1061" id="tgt77" class="tgtSentence">Verweigern Sie alle Ansprüche aus der Adatum durchlaufen bei Contoso Adatum</caps:sentence> </para> </TD> <TD> <code>New-ADClaimTransformPolicy -Description:"Claims transformation policy to deny all claims" -Name:"DenyAllClaimsPolicy" -DenyAll -Server:"contoso.com" Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"DenyAllClaimsPolicy" -TrustRole:Trusting -Server:"contoso.com"</code> </TD> </tr> <tr> <TD> <para> <caps:sentence sentenceid="add1e980ad5005ced8d7247b5ed8c215" id="tgt78" class="tgtSentence">Können Sie alle Ansprüche, die von Adatum außer "Company" und "Department" durchlaufen bei Contoso Adatum stammen</caps:sentence> </para> </TD> <TD> <code>New-ADClaimTransformationPolicy -Description:"Claims transformation policy to allow all claims except company and department" -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" -AllowAllExcept:company,department -Server:"contoso.com" Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" -TrustRole:Trusting -Server:"contoso.com" ` <caps:sentence sentenceid="0d3054ccc184f38824a046bf4d4c3517" id="tgt79" class="tgtSentence">Siehe auch</caps:sentence> <caps:sentence sentenceid="ec45fead5765e0eae6c8945343b499e3" id="tgt80" class="tgtSentence">Eine Liste aller Windows PowerShell-Cmdlets, die für die Anspruchstransformation verfügbar sind, finden Sie unter Active Directory-PowerShell-Cmdlet-Referenzhttp://go.microsoft.com/fwlink/?LinkId=243150.</caps:sentence> <caps:sentence sentenceid="ebc64dc22d165a77b2929fc0ff3cb883" id="tgt81" class="tgtSentence">Für erweiterte Aufgaben im Zusammenhang mit Export und Import von DAC-Konfigurationsinformationen zwischen zwei Gesamtstrukturen, verwenden Sie die Dynamic Access Control PowerShell-Referenzhttp://go.microsoft.com/fwlink/?LinkId=243150</caps:sentence> Scenario: Deploying Claims Across Forests Claims Transformation Rules Language Dynamic Access Control: scenario overview </caps:SxSTarget> <caps:SxSSource locale="en-US"> <caps:sentence id="src1" class="srcSentence">In this topic, we’ll cover a basic scenario that explains how to configure claims transformations between trusting and trusted forests.</caps:sentence> <caps:sentence id="src2" class="srcSentence"> You will learn how claims transformation policy objects can be created and linked to the trust on the trusting forest and the trusted forest.</caps:sentence> <caps:sentence id="src3" class="srcSentence"> You will then validate the scenario.</caps:sentence> <caps:sentence id="src4" class="srcSentence">Scenario overview</caps:sentence> <caps:sentence id="src5" class="srcSentence">Adatum Corporation provides financial services to Contoso, Ltd.</caps:sentence> <caps:sentence id="src6" class="srcSentence"> Each quarter, Adatum accountants copy their account spreadsheets to a folder on a file server located at Contoso, Ltd.</caps:sentence> <caps:sentence id="src7" class="srcSentence"> There is a two-way trust set up from Contoso to Adatum.</caps:sentence> <caps:sentence id="src8" class="srcSentence"> Contoso, Ltd.</caps:sentence> <caps:sentence id="src9" class="srcSentence"> wants to protect the share so that only Adatum employees can access the remote share.</caps:sentence> <caps:sentence id="src10" class="srcSentence">In this scenario:</caps:sentence> Set up the perquisites and the test environment Set up claims transformation on trusted forest Set up claims transformation on the trusting forest Validate the scenario <caps:sentence id="src11" class="srcSentence">Set up the prerequisites and the test environment </caps:sentence> <caps:sentence id="src12" class="srcSentence">The test configuration involves setting up two forests: Adatum Corporation and Contoso, Ltd, and having a two-way trust between Contoso and Adatum.</caps:sentence> <caps:sentence id="src13" class="srcSentence"> "adatum.com" is the trusted forest and "contoso.com" is the trusting forest.</caps:sentence> <caps:sentence id="src14" class="srcSentence">The claims transformation scenario demonstrates transformation of a claim in the trusted forest to a claim in the trusting forest.</caps:sentence> <caps:sentence id="src15" class="srcSentence"> To do this, you need to set up a new forest called adatum.com and populate the forest with a test user with a company value of “Adatum”.</caps:sentence> <caps:sentence id="src16" class="srcSentence"> You then have to set up a two-way trust between contoso.com and adatum.com.</caps:sentence> <caps:sentence id="src17" class="srcSentence">When setting up the Contoso and Adatum forests, you must ensure that both the root domains are at the Windows Server 2012 Domain Functional Level for claims transformation to work.</caps:sentence> <caps:sentence id="src18" class="srcSentence">You need to set up the following for the lab.</caps:sentence> <caps:sentence id="src19" class="srcSentence"> These procedures are explained in detail in Appendix B: Setting Up the Test Environment</caps:sentence> <caps:sentence id="src20" class="srcSentence">You need to implement the following procedures to set up the lab for this scenario:</caps:sentence> <caps:sentence id="src21" class="srcSentence">Set Adatum as trusted forest to Contoso</caps:sentence> Create the “Company” claim type on Contoso Enable the “Company” resource property on Contoso Create the central access rule Create the central access policy Publish the new policy through Group Policy Create the Earnings folder on the file server Set classification and apply the central access policy on the new folder <caps:sentence id="src22" class="srcSentence">Use the following information to complete this scenario:</caps:sentence> <caps:sentence id="src23" class="srcSentence">Objects</caps:sentence> <caps:sentence id="src24" class="srcSentence">Details</caps:sentence> <caps:sentence id="src25" class="srcSentence">Users</caps:sentence> <caps:sentence id="src26" class="srcSentence">Jeff Low, Contoso</caps:sentence> <caps:sentence id="src27" class="srcSentence">User claims on Adatum and Contoso</caps:sentence> <caps:sentence id="src28" class="srcSentence">ID: ad://ext/Company:ContosoAdatum, </caps:sentence> <caps:sentence id="src29" class="srcSentence">Source attribute: company</caps:sentence> <caps:sentence id="src30" class="srcSentence">Suggested values: Contoso, Adatum</caps:sentence> <caps:sentence id="src31" class="srcSentence">You must set the ID on the “Company” claim type on both Contoso and Adatum to be the same for the claims transformation to work.</caps:sentence> <caps:sentence id="src32" class="srcSentence">Central access rule on Contoso</caps:sentence> <caps:sentence id="src33" class="srcSentence">AdatumEmployeeAccessRule</caps:sentence> <caps:sentence id="src34" class="srcSentence">Central access policy on Contoso</caps:sentence> <caps:sentence id="src35" class="srcSentence">Adatum Only Access Policy</caps:sentence> <caps:sentence id="src36" class="srcSentence">Claims Transformation policies on Adatum and Contoso</caps:sentence> <caps:sentence id="src37" class="srcSentence">DenyAllExcept Company</caps:sentence> <caps:sentence id="src38" class="srcSentence">File folder on Contoso</caps:sentence> <caps:sentence id="src39" class="srcSentence">D:\EARNINGS</caps:sentence> <caps:sentence id="src40" class="srcSentence">Set up claims transformation on trusted forest (Adatum)</caps:sentence> <caps:sentence id="src41" class="srcSentence">In this step you create a transformation policy in Adatum to deny all claims except “Company” to pass to Contoso.</caps:sentence> <caps:sentence id="src42" class="srcSentence">The Active Directory module for Windows PowerShell provides the DenyAllExcept argument, which drops everything except the specified claims in the transformation policy.</caps:sentence> <caps:sentence id="src43" class="srcSentence">To set up a claims transformation, you need to create a claims transformation policy and link it between the trusted and trusting forests.</caps:sentence> <caps:sentence id="src44" class="srcSentence">Create a claims transformation policy in Adatum </caps:sentence> <caps:sentence id="src45" class="srcSentence">To create a transformation policy Adatum to deny all claims except “Company”</caps:sentence> <caps:sentence id="src46" class="srcSentence">Sign in to the domain controller, adatum.com as Administrator with the password pass@word1.</caps:sentence> <caps:sentence id="src47" class="srcSentence">Open an elevated command prompt in Windows PowerShell, and type the following: </caps:sentence> New-ADClaimTransformPolicy -Description:"Claims transformation policy to deny all claims except Company" -Name:"DenyAllClaimsExceptCompanyPolicy" -DenyAllExcept:company -Server:"adatum.com" </code> </content> </step> </steps> </procedure> </content> </section> <section address="BKMK_2.3"> <title> <caps:sentence id="src48" class="srcSentence">Set a claims transformation link on Adatum’s trust domain object</caps:sentence> </title> <content> <para> <caps:sentence id="src49" class="srcSentence">In this step, you apply the newly created claims transformation policy on Adatum’s trust domain object for Contoso.</caps:sentence> </para> <procedure> <title> <caps:sentence id="src50" class="srcSentence">To apply the claims transformation policy</caps:sentence> </title> <steps class="ordered"> <step> <content> <para> <caps:sentence id="src51" class="srcSentence">Sign in to the domain controller, adatum.com as Administrator with the password <system>pass@word1</system>.</caps:sentence> </para> </content> </step> <step> <content> <para> <caps:sentence id="src52" class="srcSentence">Open an elevated command prompt in Windows PowerShell, and type the following: <br /></caps:sentence> </para> <code> Set-ADClaimTransformLink -Identity:"contoso.com" -Policy:"DenyAllClaimsExceptCompanyPolicy" –TrustRole:Trusted </code> </content> </step> </steps> </procedure> </content> </section> </sections> </section> <section expanded="true" address="BKMK_4"> <title> <caps:sentence id="src53" class="srcSentence">Set up claims transformation in the trusting forest (Contoso)</caps:sentence> </title> <content> <para> <caps:sentence id="src54" class="srcSentence">In this step you create a claims transformation policy in Contoso (the trusting forest) to deny all claims except “Company.”</caps:sentence> <caps:sentence id="src55" class="srcSentence"> You need to create a claims transformation policy and link it to the forest trust.</caps:sentence> </para> </content> <sections> <section address="BKMK_4.1"> <title> <caps:sentence id="src56" class="srcSentence">Create a claims transformation policy in Contoso</caps:sentence> </title> <content> <para></para> <procedure> <title> <caps:sentence id="src57" class="srcSentence">To create a transformation policy Adatum to deny all except “Company”</caps:sentence> </title> <steps class="ordered"> <step> <content> <para> <caps:sentence id="src58" class="srcSentence">Sign in to the domain controller, contoso.com as Administrator with the password <system>pass@word1</system>.</caps:sentence> </para> </content> </step> <step> <content> <para> <caps:sentence id="src59" class="srcSentence">Open an elevated command prompt in Windows PowerShell and type the following: <br /></caps:sentence> </para> <code>New-ADClaimTransformPolicy -Description:"Claims transformation policy to deny all claims except company" -Name:"DenyAllClaimsExceptCompanyPolicy" -DenyAllExcept:company -Server:"contoso.com" <caps:sentence id="src60" class="srcSentence">Set a claims transformation link on Contoso’s trust domain object</caps:sentence> <caps:sentence id="src61" class="srcSentence">In this step, you apply the newly created claims transformation policy on the contoso.com trust domain object for Adatum to allow “Company” be passed through to contoso.com.</caps:sentence> <caps:sentence id="src62" class="srcSentence"> The trust domain object is named adatum.com.</caps:sentence> <caps:sentence id="src63" class="srcSentence">To set the claims transformation policy</caps:sentence> <caps:sentence id="src64" class="srcSentence"> Sign in to the domain controller, contoso.com as Administrator with the password pass@word1.</caps:sentence> <caps:sentence id="src65" class="srcSentence">Open an elevated command prompt in Windows PowerShell and type the following: </caps:sentence> Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"DenyAllClaimsExceptCompanyPolicy" –TrustRole:Trusting ` <caps:sentence id="src66" class="srcSentence">Validate the scenario </caps:sentence> <caps:sentence id="src67" class="srcSentence">In this step you try to access the D:\EARNINGS folder that was set up on the file server FILE1 to validate that the user has access to the shared folder.</caps:sentence> <caps:sentence id="src68" class="srcSentence">To ensure that the Adatum user can access the shared folder</caps:sentence> <caps:sentence id="src69" class="srcSentence">Sign in to the Client machine, CLIENT1 as Jeff Low with the password pass@word1.</caps:sentence> <caps:sentence id="src70" class="srcSentence">Browse to the folder \FILE1.contoso.com\Earnings.</caps:sentence> <caps:sentence id="src71" class="srcSentence">Jeff Low should be able to access the folder.</caps:sentence> <caps:sentence id="src72" class="srcSentence">Additional scenarios for claims transformation policies</caps:sentence> <caps:sentence id="src73" class="srcSentence">Following is a list of additional common cases in claims transformation.</caps:sentence> <caps:sentence id="src74" class="srcSentence">Scenario</caps:sentence> <caps:sentence id="src75" class="srcSentence">Policy</caps:sentence> <caps:sentence id="src76" class="srcSentence"> Allow all claims that come from Adatum to go through to Contoso Adatum</caps:sentence> New-ADClaimTransformPolicy -Description:"Claims transformation policy to allow all claims" -Name:"AllowAllClaimsPolicy" -AllowAll -Server:"contoso.com" ` Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"AllowAllClaimsPolicy" -TrustRole:Trusting -Server:"contoso.com" </code> </TD> </tr> <tr> <TD> <para> <caps:sentence id="src77" class="srcSentence">Deny all claims that come from Adatum to go through to Contoso Adatum</caps:sentence> </para> </TD> <TD> <code>New-ADClaimTransformPolicy -Description:"Claims transformation policy to deny all claims" -Name:"DenyAllClaimsPolicy" -DenyAll -Server:"contoso.com" Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"DenyAllClaimsPolicy" -TrustRole:Trusting -Server:"contoso.com"</code> </TD> </tr> <tr> <TD> <para> <caps:sentence id="src78" class="srcSentence">Allow all claims that come from Adatum except “Company” and “Department” to go through to Contoso Adatum</caps:sentence> </para> </TD> <TD> <code>New-ADClaimTransformationPolicy -Description:"Claims transformation policy to allow all claims except company and department" -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" -AllowAllExcept:company,department -Server:"contoso.com" Set-ADClaimTransformLink -Identity:"adatum.com" -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" -TrustRole:Trusting -Server:"contoso.com" ` <caps:sentence id="src79" class="srcSentence">See also</caps:sentence> <caps:sentence id="src80" class="srcSentence">For a list of all Windows PowerShell cmdlets that are available for claims transformation, see Active Directory PowerShell Cmdlet Referencehttp://go.microsoft.com/fwlink/?LinkId=243150.</caps:sentence> <caps:sentence id="src81" class="srcSentence">For advanced tasks that involve export and import of DAC configuration information between two forests, use the Dynamic Access Control PowerShell Referencehttp://go.microsoft.com/fwlink/?LinkId=243150</caps:sentence> Scenario: Deploying Claims Across Forests Claims Transformation Rules Language Dynamic Access Control: scenario overview </caps:SxSSource> </caps:SxS>

Anzeigen: