Bereitstellen einer zentralen Zugriffsrichtlinie (Demonstrationsschritte)

 

Gilt für: Windows Server 2012

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="de-DE">In diesem Szenario werden die Finanzabteilungs-Sicherheitsvorgänge zusammen mit der zentralen Informationssicherheit verwendet, um die Notwendigkeit für eine zentrale Zugriffsrichtlinie anzugeben, sodass sie auf Dateiservern archivierte Finanzinformationen schützen kann. Die archivierten Finanzinformationen jedes Lands kann durch alle Finanzmitarbeiter aus demselben Land mit Lesezugriff aufgerufen werden. Eine zentrale Finanzadministratorgruppe kann auf die Finanzinformationen aus allen Ländern zugreifen.Das Bereitstellen einer zentralen Zugriffsrichtlinie beinhaltet die folgenden Phasen: PhaseBeschreibungPlan HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Plan:_Identify_the" Bestimmen der Richtliniennotwendigkeit und der für die Bereitstellung erforderlichen Konfiguration.Implement Konfigurieren der Komponenten und Richtlinie.Deploy Bereitstellen der RichtlinieMaintain Richtlinienänderungen und StagingEinrichten einer TestumgebungBevor Sie beginnen, müssen Sie ein Labor zum Testen dieses Szenarios einrichten. Die Schritte zum Einrichten der Testumgebung werden detailliert in Appendix B: Setting Up the Test Environment erläutert.Planen: Bestimmen der Richtliniennotwendigkeit und der für die Bereitstellung erforderlichen KonfigurationIn diesem Abschnitt werden eine Reihe allgemeiner Schritte erläutert, die Sie in der Planungsphase Ihrer Bereitstellung unterstützen.SchrittBeispiel1.1Unternehmen bestimmt, dass eine zentrale Zugriffsrichtlinie erforderlich istDamit auf Dateiservern gespeicherte Finanzinformationen zu schützen, werden die Finanzabteilungs-Sicherheitsvorgänge mit der zentralen Informationssicherheit verwendet, um die Notwendigkeit für eine zentrale Zugriffsrichtlinie zu bestimmen.1.2Ausdrücken der Zugriffsrichtlinie Finanzdokumente sollten nur von Mitgliedern der Finanzabteilung gelesen werden. Mitglieder der Finanzabteilung sollten nur auf Dokumente in ihrem eigenen Land zugreifen. Nur Finanzadministratoren sollten über Schreibzugriff verfügen. Für Mitglieder der Gruppe "FinanceException" wird eine Ausnahme zugelassen. Diese Gruppe verfügt über Lesezugriff.1.3Ausdrücken der Zugriffsrichtlinie in Windows Server 2012-KonstruktenZiel:„Resource.Department“ enthält „Finance“Zugriffsregeln:Allow read User.Country=Resource.Country AND User.department = Resource.DepartmentAllow Full control User.MemberOf(FinanceAdmin)Ausnahme:Allow read memberOf(FinanceException)1.4Bestimmen der für die Richtlinie erforderlichen DateieigenschaftenDateien kennzeichnen mit:DepartmentLand1.5Bestimmen der für die Richtlinie erforderlichen Anspruchstypen und -gruppenAnspruchstypen:Land DepartmentBenutzergruppen:FinanceAdminFinanceException1.6Bestimmen der Server, auf denen diese Richtlinie angewendet werden sollWenden Sie die Richtlinie auf alle Finanzdateiserver an.Implementieren: Konfigurieren der Komponenten und RichtlinieIn diesem Abschnitt ist ein Beispiel vorhanden, in dem eine zentrale Zugriffsrichtlinie für Finanzdokumente bereitgestellt wird.NeinSchrittBeispiel 2.1Erstellen von AnspruchstypenErstellen Sie die folgenden Anspruchstypen:DepartmentLand2.2Erstellen von RessourceneigenschaftenErstellen und aktivieren Sie die folgenden Ressourceneigenschaften:DepartmentLand2.3 HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Step_2.3:_Create_1" Konfigurieren einer zentralen Zugriffsregel Erstellen Sie eine Regel für Finanzdokumente, die die im vorherigen Abschnitt bestimmte Richtlinie enthält.2.4 HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Step_2.4:_Add" Konfigurieren einer zentralen Zugriffsrichtlinie Erstellen Sie eine zentrale Zugriffsrichtlinie mit dem Namen „Finance Policy“, und fügen Sie dieser zentralen Zugriffsrichtlinie die Regel „Finance Documents“ hinzu.2.5Vorgeben einer zentralen Zugriffsrichtlinie für die DateiserverVeröffentlichen der zentrale Zugriffsrichtlinie „Finance Policy“ auf den Dateiservern.2.6Ermöglichen der KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring.Ermöglichen der KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring für „contoso.com“.Im folgenden Verfahren erstellen Sie zwei Anspruchstypen: „Country“ und „Department“.So erstellen Sie Anspruchstypen:Öffnen Sie den Server "DC1" im Hyper-V-Manager, und melden Sie sich als "contoso\administrator" mit dem Kennwort pass@word1 an.Öffnen Sie das Active Directory-Verwaltungscenter.Klicken Sie auf das Strukturansichtssymbol, erweitern Sie Dynamische Zugriffssteuerung, und wählen Sie dann Anspruchstypen aus.Klicken Sie mit der rechten Maustaste auf Anspruchstypen, klicken Sie auf Neu und dann auf Anspruchstyp.Sie können ein Fenster vom Typ Anspruchstyp erstellen auch im Bereich Aufgaben öffnen. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Anspruchstyp.Führen Sie in der Liste Quellattribut einen Bildlauf durch die Liste der Attribute durch, und klicken Sie auf department. Dadurch sollte das Feld Anzeigename mit department aufgefüllt werden. Klicken Sie auf OK.Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Anspruchstyp.Führen Sie in der Liste Quellattribut einen Bildlauf durch die Liste der Attribute durch, und klicken Sie dann auf das Attribut c (Ländername). Geben Sie in das Feld Anzeigenamecountry ein.Wählen Sie im Abschnitt Vorgeschlagene Werte die Option Folgende Werte werden vorgeschlagen aus, und klicken Sie dann auf Hinzufügen.Geben Sie in die Felder Wert und AnzeigenameUS ein, und klicken Sie dann auf OK.Wiederholen Sie den obigen Schritt. Geben Sie im Dialogfeld Vorgeschlagenen Wert hinzufügenJP in die Felder Wert und Anzeigename ein, und klicken Sie dann auf OK. Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP",""))) New-ADClaimType department -SourceAttribute department <caps:sentence sentenceid="60717915766fa57aa1f23563a1e135c6" id="tgt98" class="tgtSentence">Sie können die Windows PowerShell-Verlaufsanzeige im Active Directory-Verwaltungscenter verwenden, um Windows PowerShell-Cmdlets nach jeder Prozedur zu durchsuchen, die Sie im Active Directory-Verwaltungscenter ausführen.</caps:sentence> <caps:sentence sentenceid="1070f425823a6e05a98eb2d747f0c53d" id="tgt99" class="tgtSentence"> Weitere Informationen finden Sie im Thema zum Windows PowerShell History Viewerhttp://technet.microsoft.com/library/hh831702.</caps:sentence> <caps:sentence sentenceid="82a29ad6311e07998422d2c44a9e4cbb" id="tgt100" class="tgtSentence">Im nächsten Schritt werden Ressourceneigenschaften erstellt.</caps:sentence> <caps:sentence sentenceid="e71796338061d5c1692916a29b152758" id="tgt101" class="tgtSentence"> Im folgenden Verfahren erstellen Sie eine Ressourceneigenschaft, die der Liste mit den globalen Ressourceneigenschaften auf dem Domänencontroller automatisch hinzugefügt wird, sodass sie für den Dateiserver verfügbar ist.</caps:sentence> <caps:sentence sentenceid="3047a39fc75f052a62f935ed143d365e" id="tgt102" class="tgtSentence">So erstellen und aktivieren Sie vorab erstellte Ressourceneigenschaften</caps:sentence> <caps:sentence sentenceid="30da1c0174151b2ef4bce70ef02a6362" id="tgt103" class="tgtSentence">Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht.</caps:sentence> <caps:sentence sentenceid="b15cec80bc4ebbc5694fb65e534b1f92" id="tgt104" class="tgtSentence"> Erweitern Sie Dynamische Zugriffssteuerung, und wählen Sie dann Ressourceneigenschaften aus.</caps:sentence> <caps:sentence sentenceid="5fa7333a602467b3b0f5d87bd3dc3e29" id="tgt105" class="tgtSentence">Klicken Sie mit der rechten Maustaste auf Ressourceneigenschaften, klicken Sie auf Neu und dann auf Referenzressourceneigenschaft.</caps:sentence> <caps:sentence sentenceid="c566f241a39005e2f07d6bd5fdd5d1db" id="tgt106" class="tgtSentence">Sie können auch eine Ressourceneigenschaft aus dem Bereich Aufgaben auswählen.</caps:sentence> <caps:sentence sentenceid="9c246454e1fc1fdab04143e527678570" id="tgt107" class="tgtSentence"> Klicken Sie auf Neu und dann auf Referenzressourceneigenschaft.</caps:sentence> <caps:sentence sentenceid="2d5a4eebfaf348c097ce2509288ef568" id="tgt108" class="tgtSentence">Klicken Sie in Wählen Sie den Anspruchstyp aus, dessen vorgeschlagene Werte verwendet werden sollen auf country.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt109" class="tgtSentence">Geben Sie country in das Feld Anzeigename ein, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="71bc4cedd7ca11d9058e8a7ff4d8627e" id="tgt110" class="tgtSentence">Doppelklicken Sie auf die Liste Ressourceneigenschaften, führen Sie einen Bildlauf zur Ressourceneigenschaft Department durch.</caps:sentence> <caps:sentence sentenceid="d108bd21bb45428e334a36db1286cb03" id="tgt111" class="tgtSentence"> Klicken Sie mit der rechten Maustaste, und klicken Sie dann auf Aktivieren.</caps:sentence> <caps:sentence sentenceid="eed17bcb7a177620858f6e554002ede7" id="tgt112" class="tgtSentence"> Dadurch wird die integrierte Ressourceneigenschaft Department aktiviert.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt113" class="tgtSentence">In der Liste Ressourceneigenschaften im Navigationsbereich des Active Directory-Verwaltungscenters stehen Ihnen nun zwei aktivierte Ressourceneigenschaften zur Verfügung:</caps:sentence> <caps:sentence sentenceid="a0176e165880398dd0756bbcf5682487" id="tgt114" class="tgtSentence">Land </caps:sentence> <caps:sentence sentenceid="459d9fca17e3a950deae755d13578292" id="tgt115" class="tgtSentence">Department</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country Set-ADResourceProperty Department_MS -Enabled $true Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS <caps:sentence sentenceid="76d9ddd2ad0b1e8dfd41aad00def7b77" id="tgt116" class="tgtSentence">Im nächsten Schritt erstellen Sie die zentralen Zugriffsregeln, in denen definiert wird, wer auf Ressourcen zugreifen kann.</caps:sentence> <caps:sentence sentenceid="cae3826a6eeb2b90024ab031daa799cf" id="tgt117" class="tgtSentence"> In diesem Szenario lauten die Geschäftsregeln wie folgt:</caps:sentence> <caps:sentence sentenceid="fd71c229a3b99c95290cecc4b3616ad0" id="tgt118" class="tgtSentence">Finanzdokumente können nur von Mitgliedern der Finanzabteilung gelesen werden.</caps:sentence> <caps:sentence sentenceid="deaf7e07cc12d994224fdc393083e6fc" id="tgt119" class="tgtSentence">Mitglieder der Finanzabteilung können nur auf Dokumente in ihrem eigenen Land zugreifen.</caps:sentence> <caps:sentence sentenceid="55aeca8e57d820475cdd78d0d6d3650a" id="tgt120" class="tgtSentence">Nur Finanzadministratoren können über Schreibzugriff verfügen.</caps:sentence> <caps:sentence sentenceid="9d14ac75b570ceab0434c487b37c7f73" id="tgt121" class="tgtSentence">Wir ermöglichen eine Ausnahme für die Mitglieder der Gruppe „FinanceException“.</caps:sentence> <caps:sentence sentenceid="7cf24540d222d7234a5bd7c2e86ab661" id="tgt122" class="tgtSentence"> Diese Gruppe verfügt über Lesezugriff.</caps:sentence> <caps:sentence sentenceid="5b0b54424302ba73f910108e1cd14fd6" id="tgt123" class="tgtSentence">Sowohl der Administrator als auch der Dokumentbesitzer haben weiterhin Vollzugriff.</caps:sentence> <caps:sentence sentenceid="3ce2d8beda59a4b95967e05022f29c19" id="tgt124" class="tgtSentence">Oder zum Ausdrücken der Regeln mit Windows Server 2012-Konstrukten:</caps:sentence> <caps:sentence sentenceid="26fb42cb1cced962f744ec6d76bf98d8" id="tgt125" class="tgtSentence">Ziel: „Resource.Department“ enthält „Finance“</caps:sentence> <caps:sentence sentenceid="b6c11eb1667200517bc78e3b60ceafe0" id="tgt126" class="tgtSentence">Zugriffsregeln:</caps:sentence> <caps:sentence sentenceid="efb3f7741c0333bd1428a46089dd6aeb" id="tgt127" class="tgtSentence">Allow Read User.Country=Resource.Country AND User.department = Resource.Department</caps:sentence> <caps:sentence sentenceid="5fdf44b9d9a5ac0f41bb9a912febaec4" id="tgt128" class="tgtSentence">Allow Full control User.MemberOf(FinanceAdmin)</caps:sentence> <caps:sentence sentenceid="6a6a7570337fa322e0b8e31ebf5ebf29" id="tgt129" class="tgtSentence">Allow Read User.MemberOf(FinanceException)</caps:sentence> <caps:sentence sentenceid="1f7f69b349b1248a935ecf6bd73a0ed1" id="tgt130" class="tgtSentence">So erstellen Sie eine zentrale Zugriffsregel</caps:sentence> <caps:sentence sentenceid="37f7e2f133661a048282f27f597cfed1" id="tgt131" class="tgtSentence">Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht, wählen Sie Dynamische Zugriffssteuerung aus, und klicken Sie dann auf Zentrale Zugriffsregeln.</caps:sentence> <caps:sentence sentenceid="5fa7333a602467b3b0f5d87bd3dc3e29" id="tgt132" class="tgtSentence">Klicken Sie mit der rechten Maustaste auf Zentrale Zugriffsregeln, klicken Sie auf Neu und dann auf Zentrale Zugriffsregel.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt133" class="tgtSentence">Geben Sie Finance Documents Rule in das Feld Name ein.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt134" class="tgtSentence">Klicken Sie im Abschnitt Zielressourcen auf Bearbeiten, und klicken Sie im Dialogfeld Zentrale Zugriffsregel auf Bedingung hinzufügen.</caps:sentence> <caps:sentence sentenceid="27fe326df544d56a1ac91832e70705d2" id="tgt135" class="tgtSentence"> Fügen Sie die folgende Bedingung hinzu: [Resource] [Department] [Equals] [Value] [Finance], und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt136" class="tgtSentence">Wählen Sie im Abschnitt Berechtigungen die Option Folgende Berechtigungen als aktuelle Berechtigungen verwenden aus, klicken Sie auf Bearbeiten, und klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen für Berechtigungen auf Hinzufügen.</caps:sentence> <caps:sentence sentenceid="b60a2905c66c8bdac87fa5546660fa24" id="tgt137" class="tgtSentence">Mit der Option Folgende Berechtigungen als vorgesehene Berechtigungen verwenden können Sie die Richtlinie in Staging erstellen.</caps:sentence> <caps:sentence sentenceid="7721d285be6c20adf12628f7fa254996" id="tgt138" class="tgtSentence"> Weitere Informationen darüber, wie Sie dies umsetzen können, finden Sie im Abschnitt „Warten: Ändern und Staging der Richtlinie“ in diesem Thema.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt139" class="tgtSentence">Klicken Sie im Dialogfeld Berechtigungseintrag für Berechtigungen, klicken Sie auf Prinzipal auswählen, geben Sie Authentifizierte Benutzer ein, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt140" class="tgtSentence">Klicken Sie im Dialogfeld Berechtigungseintrag auf Bedingung hinzufügen, und fügen Sie die folgenden Bedingungen hinzu: [User] [country] [Any of] [Resource] [country] . Klicken Sie auf Bedingung hinzufügen.</caps:sentence> <caps:sentence sentenceid="7215ee9c7d9dc229d2921a40e899ec5f" id="tgt141" class="tgtSentence"> [And] Klicken Sie auf [User] [Department] [Any of] [Resource] [Department].</caps:sentence> <caps:sentence sentenceid="c98b79ef9bbdb520e705f31d7c97f5c3" id="tgt142" class="tgtSentence"> Legen Sie die Berechtigungen auf Lesen fest.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt143" class="tgtSentence">Klicken Sie auf OK und dann auf Hinzufügen.</caps:sentence> <caps:sentence sentenceid="9c246454e1fc1fdab04143e527678570" id="tgt144" class="tgtSentence"> Klicken Sie auf Prinzipal auswählen, geben Sie FinanceAdmin ein, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="7486589d03c162162a7c4e75345fcca4" id="tgt145" class="tgtSentence">Wählen Sie die Berechtigungen Ändern, Lesen und Ausführen, Lesen, Schreiben aus, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt146" class="tgtSentence">Klicken Sie auf Hinzufügen, klicken Sie auf Prinzipal auswählen, geben Sie FinanceException ein, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="a07e3f010ceb8e10c425c935bd1a10f0" id="tgt147" class="tgtSentence"> Wählen Sie aus, dass die Berechtigungen Lesen und Lesen und Ausführen lauten sollen.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt148" class="tgtSentence">Klicken Sie dreimal auf OK zum Abschließen des Vorgangs, und kehren Sie zum Active Directory-Verwaltungscenter zurück.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.$countryClaimType = Get-ADClaimType country $departmentClaimType = Get-ADClaimType department $countryResourceProperty = Get-ADResourceProperty Country $departmentResourceProperty = Get-ADResourceProperty Department $currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))" $resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {"Finance"})" New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition <caps:sentence sentenceid="6ea61871f818ed20000cf9525baffd71" id="tgt149" class="tgtSentence">Im obigen Cmdlet-Beispiel werden die Sicherheits-IDs für die Gruppe „FinanceAdmin“ und Benutzer zur Erstellungszeit bestimmt, und sie unterscheiden sich in Ihrem Beispiel.</caps:sentence> <caps:sentence sentenceid="8b27ccfe524ac61d9a074ff474b5423c" id="tgt150" class="tgtSentence"> Beispielsweise muss der angegebene Sicherheits-ID-Wert (S-1-5-21-1787166779-1215870801-2157059049-1113) für „FinanceAdmins“ durch die tatsächliche Sicherheits-ID für die Gruppe „FinanceAdmin“ ersetzt werden, die Sie zum Erstellen in Ihrer Bereitstellung bräuchten.</caps:sentence> <caps:sentence sentenceid="3167d41f0ef32d2cc88177f60c6c1042" id="tgt151" class="tgtSentence"> Sie können die Windows PowerShell verwenden, um den Sicherheits-ID-Wert dieser Gruppe zu suchen, diesen Wert zu einer Variablen zuzuweisen und anschließend die Variable hier zu verwenden.</caps:sentence> <caps:sentence sentenceid="1070f425823a6e05a98eb2d747f0c53d" id="tgt152" class="tgtSentence"> Weitere Informationen finden Sie im Thema zum Windows PowerShell-Tipp: Arbeiten mit SIDshttp://go.microsoft.com/fwlink/?LinkId=253545.</caps:sentence> <caps:sentence sentenceid="170d86b0f6781756cb2b8240583065e3" id="tgt153" class="tgtSentence">Sie sollten nun über eine zentrale Zugriffsregel verfügen, die Personen erlaubt, auf Dokumente aus demselben Land und derselben Abteilung zuzugreifen.</caps:sentence> <caps:sentence sentenceid="825e59c51cc0bce3a7b44c022f1bdef7" id="tgt154" class="tgtSentence"> Die Regel ermöglicht der Gruppe „FinanceAdmin“ die Bearbeitung der Dokumente, und sie ermöglicht der Gruppe „FinanceException“, die Dokumente zu lesen.</caps:sentence> <caps:sentence sentenceid="57c021138f783dfebf6fcfcb00fcff0c" id="tgt155" class="tgtSentence"> Diese Regel zielt nur auf Dokumente ab, die als „Finance“ klassifiziert wurden.</caps:sentence> <caps:sentence sentenceid="f5ab6c4ab28e4a8d783b9c18bc1605f9" id="tgt156" class="tgtSentence">So fügen Sie eine zentrale Zugriffsregel zu einer zentralen Zugriffsrichtlinie hinzu</caps:sentence> <caps:sentence sentenceid="37f7e2f133661a048282f27f597cfed1" id="tgt157" class="tgtSentence">Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Dynamische Zugriffssteuerung, und klicken Sie dann auf Zentrale Zugriffsrichtlinien.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt158" class="tgtSentence">Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Zentrale Zugriffsrichtlinie.</caps:sentence> <caps:sentence sentenceid="2d5a4eebfaf348c097ce2509288ef568" id="tgt159" class="tgtSentence">Geben Sie unter Zentrale Zugriffsrichtlinie erstellenFinance Policy in das Feld Name ein.</caps:sentence> <caps:sentence sentenceid="2d5a4eebfaf348c097ce2509288ef568" id="tgt160" class="tgtSentence">Klicken Sie in Zentrale Zugriffsregeln des Mitglieds auf Hinzufügen.</caps:sentence> <caps:sentence sentenceid="71bc4cedd7ca11d9058e8a7ff4d8627e" id="tgt161" class="tgtSentence">Doppelklicken Sie auf Finance Documents Rule, um sie zur Liste Folgende zentrale Zugriffsregeln hinzufügen hinzuzufügen, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt162" class="tgtSentence">Klicken Sie auf OK, um den Vorgang abzuschließen.</caps:sentence> <caps:sentence sentenceid="3bd9e186b78ba04e01e6fad18678dba5" id="tgt163" class="tgtSentence"> Sie sollten nun über eine zentrale Zugriffsrichtlinie namens „Finance Policy“ verfügen.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember -Identity "Finance Policy" -Member "Finance Documents Rule" <caps:sentence sentenceid="c61962787b399f69211daa3df5f199f0" id="tgt164" class="tgtSentence">So wenden Sie die zentrale Zugriffsrichtlinie dateiserverübergreifend mithilfe der Gruppenrichtlinie an</caps:sentence> <caps:sentence sentenceid="87c942eae0180b2f79691fe9cf6c988f" id="tgt165" class="tgtSentence">Geben Sie Gruppenrichtlinienverwaltung im Feld Suchen auf dem Startbildschirman.</caps:sentence> <caps:sentence sentenceid="babed973daa4a1a2254a64289bfcf43a" id="tgt166" class="tgtSentence"> Doppelklicken Sie auf Gruppenrichtlinienverwaltung.</caps:sentence> <caps:sentence sentenceid="0e22f9d7dad7228c50b558971276a729" id="tgt167" class="tgtSentence">Wenn die Einstellung Verwaltungstools anzeigen deaktiviert ist, werden der Ordner Verwaltung und sein Inhalt nicht in den Ergebnissen für Einstellungen angezeigt.</caps:sentence> <caps:sentence sentenceid="2270ac3700e3f6a1dea9501e95d45c25" id="tgt168" class="tgtSentence">In Ihrer Produktionsumgebung sollten Sie eine Dateiserver-Organisationseinheit erstellen und dieser Organisationseinheit alle Ihre Dateiserver hinzufügen, auf die Sie diese Richtlinie anwenden möchten.</caps:sentence> <caps:sentence sentenceid="2aced2253b4d9aa7a8e52bc40833bcb1" id="tgt169" class="tgtSentence"> Sie können eine Gruppenrichtlinie erstellen und dieser Richtlinie diese Organisationseinheit hinzufügen.</caps:sentence> <caps:sentence sentenceid="1ba8856b29f62876015e8d8547bafe8b" id="tgt170" class="tgtSentence">In diesem Schritt bearbeiten Sie das im Abschnitt für das Build the domain controller in der Testumgebung erstellte Gruppenrichtlinienobjekt, um die von Ihnen erstellte zentrale Zugriffsrichtlinie einzubeziehen.</caps:sentence> <caps:sentence sentenceid="28b580caf41033804bccea1846192887" id="tgt171" class="tgtSentence"> Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor zur Organisationseinheit in der Domäne (in diesem Beispiel „contoso.com“), und wählen Sie sie aus: Gruppenrichtlinienverwaltung, Gesamtstruktur: contoso.com, Domänen, contoso.com, Contoso, FileServerOU.</caps:sentence> <caps:sentence sentenceid="5fa7333a602467b3b0f5d87bd3dc3e29" id="tgt172" class="tgtSentence">Klicken Sie mit der rechten Maustaste auf FlexibleAccessGPO, und klicken Sie dann auf Bearbeiten.</caps:sentence> <caps:sentence sentenceid="124956918b0ffc129e0c3d33a5e7c655" id="tgt173" class="tgtSentence">Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration, erweitern Sie Richtlinien, erweitern Sie Windows-Einstellungen, und klicken Sie auf Sicherheitseinstellungen.</caps:sentence> <caps:sentence sentenceid="4d4d81ef9eb58ef217b876728021e270" id="tgt174" class="tgtSentence">Erweitern Sie Dateisystem, klicken Sie mit der rechten Maustaste auf Zentrale Zugriffsrichtlinie, und klicken Sie dann auf Zentrale Zugriffsrichtlinien verwalten.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt175" class="tgtSentence">Fügen Sie Finance Policy im Dialogfeld Konfiguration der zentralen Zugriffsrichtlinien hinzu, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="56e84bc07c94965afe1180b25a66ee36" id="tgt176" class="tgtSentence">Führen Sie einen Bildlauf zu Erweiterte Überwachungsrichtlinienkonfiguration durch, und erweitern Sie den Knoten.</caps:sentence> <caps:sentence sentenceid="4d4d81ef9eb58ef217b876728021e270" id="tgt177" class="tgtSentence">Erweitern Sie Überwachungsrichtlinien, und wählen Sie Objektzugriff aus.</caps:sentence> <caps:sentence sentenceid="e2d25515a37cc54a65882bc0556d0458" id="tgt178" class="tgtSentence">Doppelklicken Sie auf Staging zentraler Zugriffsrichtlinien überwachen.</caps:sentence> <caps:sentence sentenceid="57c50733e075651334b168fe6a5d3b26" id="tgt179" class="tgtSentence"> Aktivieren Sie alle drei Kontrollkästchen, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="80759e770d4068552f5f95c1ab8fdaff" id="tgt180" class="tgtSentence"> Dadurch kann das System Überwachungsereignisse empfangen, die mit zentralen Zugriffs-Staging-Richtlinien in Zusammenhang stehen.</caps:sentence> <caps:sentence sentenceid="e2d25515a37cc54a65882bc0556d0458" id="tgt181" class="tgtSentence">Doppelklicken Sie auf Dateisystemeigenschaften überwachen.</caps:sentence> <caps:sentence sentenceid="1cd07386220451803fd5b4515dd6b101" id="tgt182" class="tgtSentence"> Aktivieren Sie alle drei Kontrollkästchen, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="b905fc15ecc54a19b0dfe1997be8b567" id="tgt183" class="tgtSentence">Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.</caps:sentence> <caps:sentence sentenceid="9d2c7edb5547f25537626d9815d01a55" id="tgt184" class="tgtSentence"> Sie haben nun der Gruppenrichtlinie die zentrale Zugriffsrichtlinie hinzugefügt.</caps:sentence> <caps:sentence sentenceid="6402b2b99ce09fd3a267a23936411c72" id="tgt185" class="tgtSentence">Damit die Domänencontroller einer Domäne Ansprüche oder Gerätautorisierungsdaten bereitstellen können, müssen die Domänencontroller so konfiguriert werden, dass sie die dynamische Zugriffssteuerung unterstützen.</caps:sentence> <caps:sentence sentenceid="e3bc9005231ff65996dc9499fd75ae22" id="tgt186" class="tgtSentence">So aktivieren Sie die Unterstützung für Ansprüche und die Verbundauthentifizierung für „contoso.com“</caps:sentence> <caps:sentence sentenceid="5fa8f73f8092b4754f3ef27a44079357" id="tgt187" class="tgtSentence">Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf contoso.com und auf Domänencontroller.</caps:sentence> <caps:sentence sentenceid="5fa7333a602467b3b0f5d87bd3dc3e29" id="tgt188" class="tgtSentence">Klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.</caps:sentence> <caps:sentence sentenceid="a2383ef842ea9d76222165032cbc9237" id="tgt189" class="tgtSentence">Doppelklicken Sie im Fenster „Gruppenrichtlinienverwaltungs-Editor“ auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Administrative Vorlagen, doppelklicken Sie auf System, und doppelklicken Sie dann auf KDC.</caps:sentence> <caps:sentence sentenceid="e2d25515a37cc54a65882bc0556d0458" id="tgt190" class="tgtSentence">Doppelklicken Sie auf KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring.</caps:sentence> <caps:sentence sentenceid="4f4f145aafdf6ea8a38164ebe7706661" id="tgt191" class="tgtSentence"> Klicken Sie im Dialogfeld KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring auf Aktiviert, und wählen Sie Unterstützt aus der Dropdownliste Optionen aus.</caps:sentence> <caps:sentence sentenceid="c18c22e6217520885c30abc9eaacef2b" id="tgt192" class="tgtSentence"> (Sie müssen diese Einstellung aktivieren, um Benutzeransprüche in zentralen Zugriffsrichtlinien verwenden zu können.)</caps:sentence> <caps:sentence sentenceid="3f19a3158cc1d2a2d4fe3c50c405092c" id="tgt193" class="tgtSentence">Schließen Sie Gruppenrichtlinienverwaltung.</caps:sentence> <caps:sentence sentenceid="f1adde3319ade645221c1ca5f866079c" id="tgt194" class="tgtSentence">Öffnen Sie eine Eingabeaufforderung, und geben Sie gpupdate /force ein.</caps:sentence> <caps:sentence sentenceid="e452ab0fe6374576addef0fb7817ae00" id="tgt195" class="tgtSentence">Bereitstellen der zentralen Zugriffsrichtlinie</caps:sentence> <caps:sentence sentenceid="2764ca9d34e90313978d044f27ae433b" id="tgt196" class="tgtSentence">Schritt</caps:sentence> <caps:sentence sentenceid="1a79a4d60de6718e8e5b326e338ae533" id="tgt197" class="tgtSentence">Beispiel</caps:sentence> <caps:sentence sentenceid="5b068a95442c7d5505b4166a77357ea5" id="tgt198" class="tgtSentence">3.1</caps:sentence> <caps:sentence sentenceid="926ee8f45db41c4dc19b5dc981834d17" id="tgt199" class="tgtSentence">Weisen Sie die zentrale Zugriffsrichtlinie zu den entsprechenden freigegebenen Ordnern auf dem Dateiserver zu.</caps:sentence> <caps:sentence sentenceid="9866411ba1f1c7b1ed32e4bf6f69b2d6" id="tgt200" class="tgtSentence">Weisen Sie die zentrale Zugriffsrichtlinie zu dem entsprechenden freigegebenem Ordner auf dem Dateiserver zu.</caps:sentence> <caps:sentence sentenceid="acff46b161a3b7d6ed01ba79a032acc9" id="tgt201" class="tgtSentence">3.2</caps:sentence> <caps:sentence sentenceid="da69e40a72126886c548e430aa307ca7" id="tgt202" class="tgtSentence">Stellen Sie sicher, dass der Zugriff ordnungsgemäß konfiguriert wurde.</caps:sentence> <caps:sentence sentenceid="be33de9c3e1061e5c0bf1f14462f299a" id="tgt203" class="tgtSentence">Überprüfen Sie den Zugriff für Benutzer aus anderen Ländern und Abteilungen.</caps:sentence> <caps:sentence sentenceid="b23d98a0fc4beeca9a3088eed5ab6de1" id="tgt204" class="tgtSentence">In diesem Schritt weisen Sie die zentrale Zugriffsrichtlinie zu einem Dateiserver zu.</caps:sentence> <caps:sentence sentenceid="a0fef3f5e97951dc3bf8a0abcba05ab9" id="tgt205" class="tgtSentence"> Sie melden sich auf einem Dateiserver an, der die von Ihnen in den vorherigen Schritten erstellte zentrale Zugriffsrichtlinie empfängt, und Sie weisen einem freigegebenen Ordner die Richtlinie zu.</caps:sentence> <caps:sentence sentenceid="93ecba6abcc30af879b5ebe625c08494" id="tgt206" class="tgtSentence">So weisen Sie einem Dateiserver eine zentrale Zugriffsrichtlinie zu</caps:sentence> <caps:sentence sentenceid="7b7a068115baf87fd302504d75ed327c" id="tgt207" class="tgtSentence">Stellen Sie im Hyper-V-Manager eine Verbindung mit dem Server „FILE1“ her.</caps:sentence> <caps:sentence sentenceid="ea86fd0e832e4fd44f76e3259210ae44" id="tgt208" class="tgtSentence"> Melden Sie sich mit "contoso\administrator" am Server an, und zwar mit dem Kennwort: pass@word1.</caps:sentence> <caps:sentence sentenceid="29f838d17c366031aee34251e8d1cf9e" id="tgt209" class="tgtSentence">Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie Folgendes ein: gpupdate /force.</caps:sentence> <caps:sentence sentenceid="a492c8f3bca5a9cb01f03d204e5c4b71" id="tgt210" class="tgtSentence"> Dadurch wird sichergestellt, dass Ihre Gruppenrichtlinienänderungen auf Ihrem Server wirksam werden.</caps:sentence> <caps:sentence sentenceid="2dfcb274adb81e939796953041c140a8" id="tgt211" class="tgtSentence">Sie müssen auch die globalen Ressourceneigenschaften in Active Directory aktualisieren.</caps:sentence> <caps:sentence sentenceid="12151c09413e181f21d80ea6983363ba" id="tgt212" class="tgtSentence"> Öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten, und geben Sie Update-FSRMClassificationpropertyDefinition ein.</caps:sentence> <caps:sentence sentenceid="d39295feb0d7c31eef613b6120d02015" id="tgt213" class="tgtSentence"> Drücken Sie die EINGABETASTE, und schließend Sie anschließend die Windows PowerShell.</caps:sentence> <caps:sentence sentenceid="4b962e1b83c9ac0348fd5ffbce4dfcb9" id="tgt214" class="tgtSentence">Sie können die globalen Ressourceneigenschaften auch aktualisieren, indem Sie sich am Dateiserver anmelden.</caps:sentence> <caps:sentence sentenceid="d2e71c80f323a8d41faeb8035708d946" id="tgt215" class="tgtSentence"> So aktualisieren Sie die globalen Ressourceneigenschaften vom Dateiserver</caps:sentence> <caps:sentence sentenceid="1860ac55f925325cb6c5de9915c42257" id="tgt216" class="tgtSentence">Melden Sie sich am Dateiserver „FILE1“ als „contoso\administrator“ mit dem Kennwort pass@word1 an.</caps:sentence> <caps:sentence sentenceid="3b33560100828ead375f2e33ee15d482" id="tgt217" class="tgtSentence">Öffnen Sie den Ressourcen-Manager für Dateiserver.</caps:sentence> <caps:sentence sentenceid="f21f8587203582e93f0fea7567119b3b" id="tgt218" class="tgtSentence"> Klicken Sie zum Öffnen des Ressourcen-Managers für Dateiserver auf Start, geben Sie Ressourcen-Manager für Dateiserver ein, und klicken Sie dann auf Ressourcen-Manager für Dateiserver.</caps:sentence> <caps:sentence sentenceid="14a58304e7995a9ba05dc94ee8edb850" id="tgt219" class="tgtSentence">Klicken Sie im Ressourcen-Manager für Dateiserver auf Dateiklassifizierungsverwaltung, klicken Sie mit der rechten Maustaste auf Klassifizierungseigenschaften, und klicken Sie dann auf Aktualisieren.</caps:sentence> <caps:sentence sentenceid="299fd4b9fa0accdb5b950a617a039e30" id="tgt220" class="tgtSentence">Öffnen Sie den Windows-Explorer, und klicken Sie im linken Bereich auf das Laufwerk „D“. Klicken Sie mit der rechten Maustaste auf den Ordner Finance Documents, und klicken Sie auf Eigenschaften.</caps:sentence> <caps:sentence sentenceid="41ad10da17628099ea69f30e0bc238ba" id="tgt221" class="tgtSentence">Klicken Sie auf die Registerkarte Klassifizierung, klicken Sie auf Country, und wählen Sie dann US im Feld Wert aus.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt222" class="tgtSentence">Klicken Sie auf Department, wählen Sie dann Finance im Feld Wert aus, und klicken Sie auf Übernehmen.</caps:sentence> <caps:sentence sentenceid="126c0542a3b7f98e75cb7fe783f42a49" id="tgt223" class="tgtSentence">Beachten Sie, dass die zentrale Zugriffsrichtlinie konfiguriert wurde, um auf Dateien für die Finanzabteilung abzuzielen.</caps:sentence> <caps:sentence sentenceid="073767bed79b91143100b5cb32a39c44" id="tgt224" class="tgtSentence"> In den vorherigen Schritten wurden alle Dokumente im Ordner mit den Attributen „Country“ und „Department“ markiert.</caps:sentence> <caps:sentence sentenceid="41ad10da17628099ea69f30e0bc238ba" id="tgt225" class="tgtSentence">Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.</caps:sentence> <caps:sentence sentenceid="a07f213827196968e84f7a208e04bd2e" id="tgt226" class="tgtSentence"> Klicken Sie auf die Registerkarte Zentrale Richtlinie.</caps:sentence> <caps:sentence sentenceid="7215ee9c7d9dc229d2921a40e899ec5f" id="tgt227" class="tgtSentence"> </caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt228" class="tgtSentence">Klicken Sie auf Ändern, wählen Sie Finance Policy aus dem Dropdownmenü aus, und klicken Sie dann auf Übernehmen.</caps:sentence> <caps:sentence sentenceid="0c50722a24fbbeaf58d8c9d8e2f5b07a" id="tgt229" class="tgtSentence"> Finance Documents Rule wird in der Richtlinie aufgelistet angezeigt.</caps:sentence> <caps:sentence sentenceid="0ab2715ee1d531deed5b72197d7a3bd3" id="tgt230" class="tgtSentence"> Erweitern Sie das Element, um alle von Ihnen beim Erstellen der Regel in Active Directory festgelegten Berechtigungen anzuzeigen.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt231" class="tgtSentence">Klicken Sie auf OK, um zum Windows-Explorer zurückzukehren.</caps:sentence> <caps:sentence sentenceid="19558ac3bbcd114494cbf0a410263811" id="tgt232" class="tgtSentence">Im nächsten Schritt stellen Sie sicher, dass der Zugriff richtig konfiguriert wurde.</caps:sentence> <caps:sentence sentenceid="5b29c953dcdc6e4063b0f2af7017cae1" id="tgt233" class="tgtSentence"> Für Benutzerkonten muss das richtige „Department“-Attribut festgelegt sein (legen Sie dieses mithilfe des Active Directory-Verwaltungscenters fest).</caps:sentence> <caps:sentence sentenceid="7999893e9b0b22454b48eb0852c09858" id="tgt234" class="tgtSentence"> Die einfachste Möglichkeit, die effektiven Ergebnisse der neuen Richtlinie anzuzeigen, besteht darin, die Registerkarte Effektiver Zugriff im Windows-Explorer zu verwenden.</caps:sentence> <caps:sentence sentenceid="90adbbe7112a5ab0269194573e650cc6" id="tgt235" class="tgtSentence"> Auf der Registerkarte Effektiver Zugriff werden die Zugriffsrechte für ein angegebenes Benutzerkonto angezeigt.</caps:sentence> <caps:sentence sentenceid="e7b0be1adf317d0d968313ee50aa2943" id="tgt236" class="tgtSentence">So überprüfen Sie den Zugriff für verschiedene Benutzer</caps:sentence> <caps:sentence sentenceid="7b7a068115baf87fd302504d75ed327c" id="tgt237" class="tgtSentence">Stellen Sie im Hyper-V-Manager eine Verbindung mit dem Server „FILE1“ her.</caps:sentence> <caps:sentence sentenceid="642fb44885c4acbee2236adec04910a3" id="tgt238" class="tgtSentence"> Melden Sie sich am Server unter Verwendung von „contoso\administrator“ an.</caps:sentence> <caps:sentence sentenceid="407f081ff39a4de237cfe0fd973e6853" id="tgt239" class="tgtSentence"> Navigieren Sie im Windows-Explorer zu Laufwerk „D:\“.</caps:sentence> <caps:sentence sentenceid="17af9a8aeef61a6cf5f83c5622c25b4b" id="tgt240" class="tgtSentence"> Klicken Sie mit der rechten Maustaste auf den Ordner Finance Documents, und klicken Sie dann auf Eigenschaften.</caps:sentence> <caps:sentence sentenceid="41ad10da17628099ea69f30e0bc238ba" id="tgt241" class="tgtSentence">Klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und klicken Sie dann auf die Registerkarte Effektiver Zugriff.</caps:sentence> <caps:sentence sentenceid="568e92b00d0c4c5c29b9147aba861971" id="tgt242" class="tgtSentence">Klicken Sie zum Überprüfen der Berechtigungen für einen Benutzer auf Einen Benutzer auswählen, geben Sie den Namen des Benutzers ein, und klicken Sie dann auf Effektiven Zugriff anzeigen, um die effektiven Zugriffsrechte anzuzeigen.</caps:sentence> <caps:sentence sentenceid="4be0bb25039056347740ae85bcda324d" id="tgt243" class="tgtSentence"> Zum Beispiel:</caps:sentence> <caps:sentence sentenceid="009d576d9b01729d704c93bf6b58562c" id="tgt244" class="tgtSentence">Myriam Delesalle (MDelesalle) ist Mitglied der Finanzabteilung und sollte die Zugriffsberechtigung „Lesen“ für den Ordner haben.</caps:sentence> <caps:sentence sentenceid="43cc90a754613d6eee6611b61b198121" id="tgt245" class="tgtSentence">Miles Reid (MReid) ist ein Mitglied der Gruppe „FinanceAdmin“ und sollte die Zugriffsberechtigung „Ändern“ für den Ordner haben.</caps:sentence> <caps:sentence sentenceid="602430665a11443f4a20f8fd79216833" id="tgt246" class="tgtSentence">Esther Valle (EValle) ist kein Mitglied in der Finanzabteilung, sie ist jedoch ein Mitglied der Gruppe „FinanceException“ und sollte die Zugriffsberechtigung „Lesen“ haben.</caps:sentence> <caps:sentence sentenceid="26ade61b2bcda03c67314708d8176683" id="tgt247" class="tgtSentence">Maira Wenzel (MWenzel) ist kein Mitglied der Finanzabteilung und weder ein Mitglied der Gruppe „FinanceAdmin“ noch der Gruppe „FinanceException“.</caps:sentence> <caps:sentence sentenceid="d8465a8160f94cb6a44b1f594e2cead8" id="tgt248" class="tgtSentence"> Sie sollte keinerlei Zugriffsrechte für den Ordner haben.</caps:sentence> <caps:sentence sentenceid="c9104fcc585f0e75d48dde55cda46f5d" id="tgt249" class="tgtSentence">Beachten Sie die letzte Spalte namens Zugriff eingeschränkt durch im Fenster für den effektiven Zugriff.</caps:sentence> <caps:sentence sentenceid="291a5718548fc97ae9ce456fb080289e" id="tgt250" class="tgtSentence"> Diese Spalte verrät Ihnen, welche Gates sich auf die Berechtigungen der Person auswirken.</caps:sentence> <caps:sentence sentenceid="63ab3ea788bd17ed421676e34a87178d" id="tgt251" class="tgtSentence"> In diesem Fall ermöglichen die Berechtigungen „Share“ und „NTFS“ allen Benutzern den vollständigen Zugriff.</caps:sentence> <caps:sentence sentenceid="935e05c40351ba87a27fd548040527b5" id="tgt252" class="tgtSentence"> Die zentrale Zugriffsrichtlinie schränkt jedoch den Zugriff anhand der von Ihnen zuvor konfigurierten Regeln ein.</caps:sentence> <caps:sentence sentenceid="3359eaf3a02633404e8e9a003ab20468" id="tgt253" class="tgtSentence">Warten: Ändern und Staging der Richtlinie</caps:sentence> <caps:sentence sentenceid="b1bc248a7ff2b2e95569f56de68615df" id="tgt254" class="tgtSentence">Nr.</caps:sentence> <caps:sentence sentenceid="2764ca9d34e90313978d044f27ae433b" id="tgt255" class="tgtSentence">Schritt</caps:sentence> <caps:sentence sentenceid="1a79a4d60de6718e8e5b326e338ae533" id="tgt256" class="tgtSentence">Beispiel</caps:sentence> <caps:sentence sentenceid="895a074a5b216322121b5f76bc831927" id="tgt257" class="tgtSentence">4.1</caps:sentence> <caps:sentence sentenceid="539e9a1da94e64f6eca3e859ee652190" id="tgt258" class="tgtSentence">Konfigurieren von Geräteansprüchen für Clients</caps:sentence> <caps:sentence sentenceid="69f5a5be8d92a541ba57aeb2ab2fa959" id="tgt259" class="tgtSentence">Festlegen der Gruppenrichtlinieneinstellung zum Aktivieren von Geräteansprüchen</caps:sentence> <caps:sentence sentenceid="8653d5c7898950016e5d019df6815626" id="tgt260" class="tgtSentence">4.2</caps:sentence> <caps:sentence sentenceid="c9a67ccda517e44b12cf941182c762ac" id="tgt261" class="tgtSentence">Aktivieren Sie einen Anspruch für Geräte.</caps:sentence> <caps:sentence sentenceid="2f3d04ac5b419876e5a2d069f3048d93" id="tgt262" class="tgtSentence">Aktivieren Sie den Landanspruchstyp für Geräte.</caps:sentence> <caps:sentence sentenceid="a16b0b39889181577ded41b49cd80b1b" id="tgt263" class="tgtSentence">4.3</caps:sentence> <caps:sentence sentenceid="28a996de743d237496acc22ae0eafe85" id="tgt264" class="tgtSentence">Fügen Sie der vorhandenen zentralen Zugriffsrichtlinie eine Staging-Richtlinie hinzu, die Sie ändern möchten.</caps:sentence> <caps:sentence sentenceid="94b364c9437eb84985a5e0cff33643d8" id="tgt265" class="tgtSentence">Ändern Sie die „Finance Documents Rule“ zum Hinzufügen einer Staging-Richtlinie.</caps:sentence> <caps:sentence sentenceid="f9a97ed4e88eeab44f2693afa0eb2089" id="tgt266" class="tgtSentence">4.4</caps:sentence> <caps:sentence sentenceid="05db9fced3a4efa02c939e8d3c993682" id="tgt267" class="tgtSentence">Zeigen Sie die Ergebnisse der Staging-Richtlinie an.</caps:sentence> <caps:sentence sentenceid="94be800fe6554153e6be3acbea42bfe5" id="tgt268" class="tgtSentence">Prüfen Sie Ester Velles Berechtigungen.</caps:sentence> <caps:sentence sentenceid="df1b6cd489ea004e355bf42c04c6c824" id="tgt269" class="tgtSentence">So richten Sie die Gruppenrichtlinieneinstellung zum Aktivieren von Ansprüchen für Geräte ein</caps:sentence> <caps:sentence sentenceid="2161ae78f727f4f49b9d4edcbd0b491d" id="tgt270" class="tgtSentence">Melden Sie sich bei „DC1“ an, öffnen Sie die Gruppenrichtlinienverwaltung, klicken Sie auf contoso.com, klicken Sie auf Standarddomänenrichtlinie, klicken Sie mit der rechten Maustaste auf Bearbeiten, und wählen Sie die Option aus.</caps:sentence> <caps:sentence sentenceid="124956918b0ffc129e0c3d33a5e7c655" id="tgt271" class="tgtSentence">Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor-Fenster zu Computerkonfiguration, Richtlinien, Administrative Vorlagen, System, Kerberos.</caps:sentence> <caps:sentence sentenceid="3d28822ef6b543a688f36f914f7304b4" id="tgt272" class="tgtSentence">Wählen Sie die Option für die Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring, und klicken Sie auf Aktivieren.</caps:sentence> <caps:sentence sentenceid="85826e4bae2b9419a4b1f551f18133bc" id="tgt273" class="tgtSentence">So aktivieren Sie einen Anspruch für Geräte</caps:sentence> <caps:sentence sentenceid="309dd0a180c868290fa09d834d11a278" id="tgt274" class="tgtSentence">Öffnen Sie den Server "DC1" im Hyper-V-Manager, und melden Sie sich als "contoso\Administrator" mit dem Kennwort pass@word1 an.</caps:sentence> <caps:sentence sentenceid="1d78457e80b3c77f152c8c399312bb34" id="tgt275" class="tgtSentence">Öffnen Sie im Menü Extras das Active Directory-Verwaltungscenter.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt276" class="tgtSentence">Klicken Sie auf Strukturansicht, erweitern Sie Dynamische Zugriffssteuerung, doppelklicken Sie auf Anspruchstypen, und doppelklicken Sie auf den Anspruch country.</caps:sentence> <caps:sentence sentenceid="2d5a4eebfaf348c097ce2509288ef568" id="tgt277" class="tgtSentence">Aktivieren Sie das Kontrollkästchen Computer unter Ansprüche von diesem Typ können für die folgenden Klassen ausgegeben werden.</caps:sentence> <caps:sentence sentenceid="9c246454e1fc1fdab04143e527678570" id="tgt278" class="tgtSentence"> Klicken Sie auf OK.</caps:sentence> <caps:sentence sentenceid="7215ee9c7d9dc229d2921a40e899ec5f" id="tgt279" class="tgtSentence"> Die Kontrollkästchen Benutzer und Computer sollten nun aktiviert sein.</caps:sentence> <caps:sentence sentenceid="b99aafd448e8c51fca8ee549e6fceafc" id="tgt280" class="tgtSentence"> Der Anspruch „country“ kann nun mit Geräten zusätzlich zu Benutzern verwendet werden.</caps:sentence> <caps:sentence sentenceid="5119dd1e61430d0e5ad90077d3609934" id="tgt281" class="tgtSentence">Im nächsten Schritt wird eine Staging-Richtlinienregel erstellt.</caps:sentence> <caps:sentence sentenceid="08b1f47dba4a76fbcd4799e79ce8486d" id="tgt282" class="tgtSentence"> Staging-Richtlinien können zum Überwachen von Auswirkungen eines neuen Richtlinieneintrags verwendet werden, bevor Sie ihn aktivieren.</caps:sentence> <caps:sentence sentenceid="ea72423af86cc5fff3c037b2562c16f0" id="tgt283" class="tgtSentence"> Im folgenden Schritt erstellen Sie einen Staging-Richtlinieneintrag und überwachen die Auswirkung auf Ihren freigegebenen Ordner.</caps:sentence> <caps:sentence sentenceid="59152a9faadb95089109d0551b29898f" id="tgt284" class="tgtSentence">So erstellen Sie eine Staging-Richtlinienregel und fügen sie zur zentralen Zugriffsrichtlinie hinzu</caps:sentence> <caps:sentence sentenceid="309dd0a180c868290fa09d834d11a278" id="tgt285" class="tgtSentence">Öffnen Sie den Server "DC1" im Hyper-V-Manager, und melden Sie sich als "contoso\Administrator" mit dem Kennwort pass@word1 an.</caps:sentence> <caps:sentence sentenceid="11d509db51b62b66ee8ae8b93c008b36" id="tgt286" class="tgtSentence">Öffnen Sie das Active Directory-Verwaltungscenter.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt287" class="tgtSentence">Klicken Sie auf Strukturansicht, erweitern Sie Dynamische Zugriffssteuerung, und wählen Sie Zentrale Zugriffsregeln aus.</caps:sentence> <caps:sentence sentenceid="5fa7333a602467b3b0f5d87bd3dc3e29" id="tgt288" class="tgtSentence">Klicken Sie mit der rechten Maustaste auf Finance Documents Rule, und klicken Sie dann auf Eigenschaften.</caps:sentence> <caps:sentence sentenceid="004dc0ceb5e9b2247446dc0a40f7a169" id="tgt289" class="tgtSentence">Aktivieren Sie das Kontrollkästchen Konfiguration des Berechtigungsstaging aktivieren im Abschnitt Vorgesehene Berechtigungen, klicken Sie auf Bearbeiten und dann auf Hinzufügen.</caps:sentence> <caps:sentence sentenceid="4f4f145aafdf6ea8a38164ebe7706661" id="tgt290" class="tgtSentence"> Klicken Sie im Fenster Berechtigungseintrag für vorgesehene Berechtigungen auf die Verknüpfung Prinzipal auswählen, geben Sie Authentifizierte Benutzer ein, und klicken Sie dann auf OK.</caps:sentence> <caps:sentence sentenceid="41ad10da17628099ea69f30e0bc238ba" id="tgt291" class="tgtSentence">Klicken Sie auf die Verknüpfung Bedingung hinzufügen, und fügen Sie die folgende Bedingung hinzu: [User] [country] [Any of] [Resource] [Country].</caps:sentence> <caps:sentence sentenceid="7215ee9c7d9dc229d2921a40e899ec5f" id="tgt292" class="tgtSentence"> </caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt293" class="tgtSentence">Klicken Sie erneut auf Bedingung hinzufügen, und fügen Sie die folgende Bedingung hinzu: [And] [Device] [country] [Any of] [Resource] [Country]</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt294" class="tgtSentence">Klicken Sie erneut auf Bedingung hinzufügen, und fügen Sie die folgende Bedingung hinzu.</caps:sentence> <caps:sentence sentenceid="80e80d21f8ad91bd64a6945f55bd717c" id="tgt295" class="tgtSentence"> [And] [User] [Group] [Member of any] [Value](FinanceException)</caps:sentence> <caps:sentence sentenceid="2823f5ffc46f628ac940698efb36ad29" id="tgt296" class="tgtSentence">Klicken Sie zum Festlegen der Gruppe „FinanceException“ auf Add items, und geben Sie FinanceException in das Fenster Benutzer, Computer, Dienstkonto oder Gruppe auswählen ein.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt297" class="tgtSentence">Klicken Sie auf Berechtigungen, wählen Sie Vollzugriff aus, und klicken Sie auf OK.</caps:sentence> <caps:sentence sentenceid="7b88baf32451fcf3fa903314cb2d4d87" id="tgt298" class="tgtSentence">Wählen Sie FinanceException im Fenster für die erweiterten Sicherheitseinstellungen für vorgesehene Berechtigungen aus, und klicken Sie auf Entfernen.</caps:sentence> <caps:sentence sentenceid="ccbe2a6c96a5df5e1966988e40064061" id="tgt299" class="tgtSentence">Klicken Sie zweimal auf OK, um den Vorgang abzuschließen.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Set-ADCentralAccessRule -Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com" -ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)" -Server: "WIN-2R92NN8VKFP.Contoso.com" <caps:sentence sentenceid="0863740c06281d3791c214f433f6c73e" id="tgt300" class="tgtSentence">Im obigen Cmdlet-Beispiel spiegelt der Wert „Server“ den Server in der Testlaborumgebung wider.</caps:sentence> <caps:sentence sentenceid="c8c669daba1cd533628927d922537336" id="tgt301" class="tgtSentence"> Sie können die Windows PowerShell-Verlaufsanzeige verwenden, um Windows PowerShell-Cmdlets nach jeder Prozedur zu durchsuchen, die Sie im Active Directory-Verwaltungscenter ausführen.</caps:sentence> <caps:sentence sentenceid="1070f425823a6e05a98eb2d747f0c53d" id="tgt302" class="tgtSentence"> Weitere Informationen finden Sie im Thema zum Windows PowerShell History Viewerhttp://technet.microsoft.com/library/hh831702.</caps:sentence> <caps:sentence sentenceid="c69306990c99068bfcc094709013e5fc" id="tgt303" class="tgtSentence">In diesem Satz vorgesehener Berechtigungen verfügen Mitglieder der Gruppe „FinanceException“ über den vollständigen Zugriff auf Dateien ihres eigenen Lands, wenn sie über ein Gerät aus demselben Land wie das Dokument auf die Dateien zugreifen.</caps:sentence> <caps:sentence sentenceid="6c650da7713f266c129ca2ea3b9b79ef" id="tgt304" class="tgtSentence"> Überwachungseinträge stehen im Dateiserver-Sicherheitsprotokoll zur Verfügung, wenn jemand aus der Finanzabteilung versucht, auf die Dateien zuzugreifen.</caps:sentence> <caps:sentence sentenceid="c78db842622a1393495e0757739c048d" id="tgt305" class="tgtSentence"> Die Sicherheitseinstellungen werden jedoch nicht erzwungen, bis die Richtlinie vom Staging höher gestuft wird.</caps:sentence> <caps:sentence sentenceid="133bb1448271cc8163cc7bb6a14f3834" id="tgt306" class="tgtSentence">Im nächsten Verfahren stellen Sie die Ergebnisse der Staging-Richtlinie sicher.</caps:sentence> <caps:sentence sentenceid="1a91a77ad954e4727866bb2ff7fdaee4" id="tgt307" class="tgtSentence"> Sie greifen mit einem Benutzernamen, der über Berechtigungen auf Grundlage der aktuellen Regel verfügt, auf den freigegebenen Ordner zu.</caps:sentence> <caps:sentence sentenceid="64eb80d16c71075400dbdc7a00fe0b52" id="tgt308" class="tgtSentence"> Esther Valle (EValle) ist ein Mitglied von „FinanceException“, und zurzeit verfügt sie über Lesezugriff.</caps:sentence> <caps:sentence sentenceid="e8eeb9dff3a90b97b81ff353a4b142e2" id="tgt309" class="tgtSentence"> Gemäß unserer Staging-Richtlinie sollte EValle keinerlei Rechte besitzen.</caps:sentence> <caps:sentence sentenceid="99757247b9cabf61bf04bea974636f08" id="tgt310" class="tgtSentence">So überprüfen Sie die Ergebnisse der Staging-Richtlinie</caps:sentence> <caps:sentence sentenceid="599b8f9848cfbb3dd1956989aef877f4" id="tgt311" class="tgtSentence">Stellen Sie eine Verbindung mit dem Dateiserver FILE1 im Hyper-V-Manager her, und melden Sie sich als "contoso\administrator" mit dem Kennwort pass@word1 an.</caps:sentence> <caps:sentence sentenceid="bd396b54431b5b428e207c4103459c69" id="tgt312" class="tgtSentence">Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie gpupdate /force ein.</caps:sentence> <caps:sentence sentenceid="9844ae2572da15b5ee3d87844fd81665" id="tgt313" class="tgtSentence"> Dadurch wird sichergestellt, dass Ihre Gruppenrichtlinienänderungen auf Ihrem Server wirksam werden.</caps:sentence> <caps:sentence sentenceid="bb912a0abd5d7fb8ecffa11cc46cb04c" id="tgt314" class="tgtSentence">Stellen Sie im Hyper-V-Manager eine Verbindung mit dem Server „CLIENT1“ her.</caps:sentence> <caps:sentence sentenceid="7fa52d9f3113929a76cb947a15dae158" id="tgt315" class="tgtSentence"> Melden Sie den derzeit angemeldeten Benutzer ab.</caps:sentence> <caps:sentence sentenceid="fa399b999ac8ac082ab85832d261ebdc" id="tgt316" class="tgtSentence"> Starten Sie den virtuellen Computer „CLIENT1“ neu.</caps:sentence> <caps:sentence sentenceid="3e9049375973126c8f6a3f8b136441e1" id="tgt317" class="tgtSentence"> Melden Sie sich anschließend am Computer mit „contoso\EValle“ und dem Kennwort „pass@word1“ an.</caps:sentence> <caps:sentence sentenceid="34f9dc269d15ba48f5f99f8e0e015f9e" id="tgt318" class="tgtSentence">Doppelklicken Sie auf die Desktopverknüpfung zu „\FILE1\Finance Documents“.</caps:sentence> <caps:sentence sentenceid="3d05f11860c96dd6828edd807043433e" id="tgt319" class="tgtSentence"> EValle sollte weiterhin auf die Dateien zugreifen können.</caps:sentence> <caps:sentence sentenceid="7f8e240f5360889b0092e18d011bd8b1" id="tgt320" class="tgtSentence"> Wechseln Sie zurück zu „FILE1“.</caps:sentence> <caps:sentence sentenceid="008ffbf3521115514e18b2a62951487c" id="tgt321" class="tgtSentence">Öffnen Sie die Ereignisanzeige über die Verknüpfung auf dem Desktop.</caps:sentence> <caps:sentence sentenceid="b15cec80bc4ebbc5694fb65e534b1f92" id="tgt322" class="tgtSentence"> Erweitern Sie Windows-Protokolle, und wählen Sie dann Sicherheit aus.</caps:sentence> <caps:sentence sentenceid="3c7674260868e57990718b7365db56c0" id="tgt323" class="tgtSentence"> Öffnen Sie die Einträge mit Event ID 4818 unter der Aufgabenkategorie Staging zentraler Zugriffsrichtlinien.</caps:sentence> <caps:sentence sentenceid="fa30375bc98188ef0019580e82bd5f6a" id="tgt324" class="tgtSentence"> Sie werden sehen, dass EValle der Zugriff gewährt wurde. Entsprechend der Staging-Richtlinie würde dem Benutzer jedoch der Zugriff verweigert werden.</caps:sentence> <caps:sentence sentenceid="3f0c14942d2667adf55f052744b54411" id="tgt325" class="tgtSentence">Wenn Sie über ein zentrales Serververwaltungssystem wie System Center Operations Manager verfügen, können Sie auch die Ereignisüberwachung konfigurieren.</caps:sentence> <caps:sentence sentenceid="e855269290cca9750a9c1b5cda68a128" id="tgt326" class="tgtSentence"> Dadurch können Administratoren die Auswirkungen der zentralen Zugriffsrichtlinien überwachen, bevor sie sie erzwingen.</caps:sentence> </caps:SxSTarget> <caps:SxSSource locale="en-US"> <caps:sentence id="src1" class="srcSentence">In this scenario, the finance department security operations is working with central information security to specify the need for a central access policy so that they can protect archived finance information stored on file servers.</caps:sentence> <caps:sentence id="src2" class="srcSentence"> The archived finance information from each country can be accessed as read-only by finance employees from the same country.</caps:sentence> <caps:sentence id="src3" class="srcSentence"> A central finance admin group can access the finance information from all countries.</caps:sentence> <caps:sentence id="src4" class="srcSentence">Deploying a central access policy includes the following phases: </caps:sentence> <caps:sentence id="src5" class="srcSentence">Phase</caps:sentence> <caps:sentence id="src6" class="srcSentence">Description</caps:sentence> Plan <caps:sentence id="src7" class="srcSentence"> HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Plan:_Identify_the" Identify the need for a policy and the configuration required for deployment.</caps:sentence> Implement <caps:sentence id="src8" class="srcSentence">Configure the components and policy.</caps:sentence> Deploy <caps:sentence id="src9" class="srcSentence">Deploy the policy.</caps:sentence> Maintain <caps:sentence id="src10" class="srcSentence">Policy changes and staging</caps:sentence> <caps:sentence id="src11" class="srcSentence">Set up a test environment</caps:sentence> <caps:sentence id="src12" class="srcSentence">Before you begin, you need to set up lab to test this scenario.</caps:sentence> <caps:sentence id="src13" class="srcSentence"> The steps for setting up the lab are explained in detail in Appendix B: Setting Up the Test Environment.</caps:sentence> <caps:sentence id="src14" class="srcSentence">Plan: Identify the need for policy and the configuration required for deployment</caps:sentence> <caps:sentence id="src15" class="srcSentence">This section provides the high-level series of steps that aid in the planning phase of your deployment.</caps:sentence> <caps:sentence id="src16" class="srcSentence">Step</caps:sentence> <caps:sentence id="src17" class="srcSentence">Example</caps:sentence> <caps:sentence id="src18" class="srcSentence">1.1</caps:sentence> <caps:sentence id="src19" class="srcSentence">Business determines that a central access policy is needed</caps:sentence> <caps:sentence id="src20" class="srcSentence">To protect finance information that is stored on file servers, the finance department security operations is working with central information security to specify the need for a central access policy.</caps:sentence> <caps:sentence id="src21" class="srcSentence">1.2</caps:sentence> <caps:sentence id="src22" class="srcSentence">Express the access policy </caps:sentence> <caps:sentence id="src23" class="srcSentence">Finance documents should only be read by members of the Finance department.</caps:sentence> <caps:sentence id="src24" class="srcSentence"> Members of the Finance department should only access documents in their own country.</caps:sentence> <caps:sentence id="src25" class="srcSentence"> Only Finance Administrators should have write-access.</caps:sentence> <caps:sentence id="src26" class="srcSentence"> An exception will be allowed for members of the FinanceException group.</caps:sentence> <caps:sentence id="src27" class="srcSentence"> This group will have Read access.</caps:sentence> <caps:sentence id="src28" class="srcSentence">1.3</caps:sentence> <caps:sentence id="src29" class="srcSentence">Express the access policy in Windows Server 2012 constructs</caps:sentence> <caps:sentence id="src30" class="srcSentence">Targeting:</caps:sentence> <caps:sentence id="src31" class="srcSentence">Resource.Department Contains Finance</caps:sentence> <caps:sentence id="src32" class="srcSentence">Access rules:</caps:sentence> <caps:sentence id="src33" class="srcSentence">Allow read User.Country=Resource.Country AND User.department = Resource.Department</caps:sentence> <caps:sentence id="src34" class="srcSentence">Allow Full control User.MemberOf(FinanceAdmin)</caps:sentence> <caps:sentence id="src35" class="srcSentence">Exception:</caps:sentence> <caps:sentence id="src36" class="srcSentence">Allow read memberOf(FinanceException)</caps:sentence> <caps:sentence id="src37" class="srcSentence">1.4</caps:sentence> <caps:sentence id="src38" class="srcSentence">Determine the file properties required for the policy</caps:sentence> <caps:sentence id="src39" class="srcSentence">Tag files with:</caps:sentence> <caps:sentence id="src40" class="srcSentence">Department</caps:sentence> <caps:sentence id="src41" class="srcSentence">Country</caps:sentence> <caps:sentence id="src42" class="srcSentence">1.5</caps:sentence> <caps:sentence id="src43" class="srcSentence">Determine the claim types and groups required for the policy</caps:sentence> <caps:sentence id="src44" class="srcSentence">Claim types:</caps:sentence> <caps:sentence id="src45" class="srcSentence">Country </caps:sentence> <caps:sentence id="src46" class="srcSentence">Department</caps:sentence> <caps:sentence id="src47" class="srcSentence">User groups:</caps:sentence> <caps:sentence id="src48" class="srcSentence">FinanceAdmin</caps:sentence> <caps:sentence id="src49" class="srcSentence">FinanceException</caps:sentence> <caps:sentence id="src50" class="srcSentence">1.6</caps:sentence> <caps:sentence id="src51" class="srcSentence">Determine the servers on which to apply this policy</caps:sentence> <caps:sentence id="src52" class="srcSentence">Apply the policy on all finance file servers.</caps:sentence> <caps:sentence id="src53" class="srcSentence">Implement: Configure the components and policy</caps:sentence> <caps:sentence id="src54" class="srcSentence">This section presents an example that deploys a central access policy for finance documents.</caps:sentence> <caps:sentence id="src55" class="srcSentence">No</caps:sentence> <caps:sentence id="src56" class="srcSentence">Step</caps:sentence> <caps:sentence id="src57" class="srcSentence">Example </caps:sentence> <caps:sentence id="src58" class="srcSentence">2.1</caps:sentence> <caps:sentence id="src59" class="srcSentence">Create claim types</caps:sentence> <caps:sentence id="src60" class="srcSentence">Create the following claim types:</caps:sentence> <caps:sentence id="src61" class="srcSentence">Department</caps:sentence> <caps:sentence id="src62" class="srcSentence">Country</caps:sentence> <caps:sentence id="src63" class="srcSentence">2.2</caps:sentence> <caps:sentence id="src64" class="srcSentence">Create resource properties</caps:sentence> <caps:sentence id="src65" class="srcSentence">Create and enable the following resource properties:</caps:sentence> <caps:sentence id="src66" class="srcSentence">Department</caps:sentence> <caps:sentence id="src67" class="srcSentence">Country</caps:sentence> <caps:sentence id="src68" class="srcSentence">2.3</caps:sentence> <caps:sentence id="src69" class="srcSentence"> HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Step_2.3:_Create_1" Configure a central access rule </caps:sentence> <caps:sentence id="src70" class="srcSentence">Create a Finance Documents rule that includes the policy determined in the previous section.</caps:sentence> <caps:sentence id="src71" class="srcSentence">2.4</caps:sentence> <caps:sentence id="src72" class="srcSentence"> HYPERLINK "http://sharepoint/sites/flexibleaccess/Shared%20Documents/IX-UA%20Documentation/DynamicAccessControlDeploymentGuide.docx" \l "_Step_2.4:_Add" Configure a central access policy (CAP) </caps:sentence> <caps:sentence id="src73" class="srcSentence">Create a CAP called Finance Policy and add the Finance Documents rule to that CAP.</caps:sentence> <caps:sentence id="src74" class="srcSentence">2.5</caps:sentence> <caps:sentence id="src75" class="srcSentence">Target central access policy to the file servers</caps:sentence> <caps:sentence id="src76" class="srcSentence">Publish the Finance Policy CAP to the file servers.</caps:sentence> <caps:sentence id="src77" class="srcSentence">2.6</caps:sentence> <caps:sentence id="src78" class="srcSentence">Enable KDC Support for claims, compound authentication and Kerberos armoring.</caps:sentence> <caps:sentence id="src79" class="srcSentence">Enable KDC Support for claims, compound authentication and Kerberos armoring for contoso.com.</caps:sentence> <caps:sentence id="src80" class="srcSentence">In the following procedure, you create two claim types: Country and Department.</caps:sentence> <caps:sentence id="src81" class="srcSentence">To create claim types</caps:sentence> <caps:sentence id="src82" class="srcSentence">Open Server DC1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.</caps:sentence> <caps:sentence id="src83" class="srcSentence">Open Active Directory Administrative Center.</caps:sentence> <caps:sentence id="src84" class="srcSentence">Click the Tree View icon, expand Dynamic Access Control, and then select Claim Types.</caps:sentence> <caps:sentence id="src85" class="srcSentence">Right-click Claim Types, click New, and then click Claim Type.</caps:sentence> <caps:sentence id="src86" class="srcSentence">You can also open a Create Claim Type: window from the Tasks pane.</caps:sentence> <caps:sentence id="src87" class="srcSentence"> On the Tasks pane, click New, and then click Claim Type.</caps:sentence> <caps:sentence id="src88" class="srcSentence">In the Source Attribute list, scroll down the list of attributes, and click department.</caps:sentence> <caps:sentence id="src89" class="srcSentence"> This should populate the Display name field with department.</caps:sentence> <caps:sentence id="src90" class="srcSentence"> Click OK.</caps:sentence> <caps:sentence id="src91" class="srcSentence">In Tasks pane, click New, and then click Claim Type.</caps:sentence> <caps:sentence id="src92" class="srcSentence">In the Source Attribute list, scroll down the list of attributes, and then click the c attribute (Country-Name).</caps:sentence> <caps:sentence id="src93" class="srcSentence"> In the Display name field, type country.</caps:sentence> <caps:sentence id="src94" class="srcSentence">In the Suggested Values section, select The following values are suggested:, and then click Add.</caps:sentence> <caps:sentence id="src95" class="srcSentence">In the Value and Display name fields, type US, and then click OK.</caps:sentence> <caps:sentence id="src96" class="srcSentence">Repeat the above step.</caps:sentence> <caps:sentence id="src97" class="srcSentence"> In the Add a suggest value dialog box, type JP in the Value and Display name fields, and then click OK.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP",""))) New-ADClaimType department -SourceAttribute department <caps:sentence id="src98" class="srcSentence">You can use the Windows PowerShell History Viewer in Active Directory Administrative Center to look up the Windows PowerShell cmdlets for each procedure you perform in Active Directory Administrative Center.</caps:sentence> <caps:sentence id="src99" class="srcSentence"> For more information, see Windows PowerShell History Viewerhttp://technet.microsoft.com/library/hh831702</caps:sentence> <caps:sentence id="src100" class="srcSentence">The next step is to create resource properties.</caps:sentence> <caps:sentence id="src101" class="srcSentence"> In the following procedure you create a resource property that is automatically added to the Global Resource Properties list on the domain controller, so that it is available to the file server.</caps:sentence> <caps:sentence id="src102" class="srcSentence">To create and enable pre-created resource properties</caps:sentence> <caps:sentence id="src103" class="srcSentence">In the left pane of Active Directory Administrative Center, click Tree View.</caps:sentence> <caps:sentence id="src104" class="srcSentence"> Expand Dynamic Access Control, and then select Resource Properties.</caps:sentence> <caps:sentence id="src105" class="srcSentence">Right-click Resource Properties, click New, and then click Reference Resource Property.</caps:sentence> <caps:sentence id="src106" class="srcSentence">You can also choose a resource property from the Tasks pane.</caps:sentence> <caps:sentence id="src107" class="srcSentence"> Click New and then click Reference Resource Property.</caps:sentence> <caps:sentence id="src108" class="srcSentence">In Select a claim type to share its suggested values list, click country.</caps:sentence> <caps:sentence id="src109" class="srcSentence">In the Display name field, type country, and then click OK.</caps:sentence> <caps:sentence id="src110" class="srcSentence">Double-click the Resource Properties list, scroll down to the Department resource property.</caps:sentence> <caps:sentence id="src111" class="srcSentence"> Right-click, and then click Enable.</caps:sentence> <caps:sentence id="src112" class="srcSentence"> This will enable the built-in Department resource property.</caps:sentence> <caps:sentence id="src113" class="srcSentence">In the Resource Properties list on the navigation pane of the Active Directory Administrative Center, you will now have two enabled resource properties:</caps:sentence> <caps:sentence id="src114" class="srcSentence">Country </caps:sentence> <caps:sentence id="src115" class="srcSentence">Department</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country Set-ADResourceProperty Department_MS -Enabled $true Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS <caps:sentence id="src116" class="srcSentence">The next step is to create central access rules that define who can access resources.</caps:sentence> <caps:sentence id="src117" class="srcSentence"> In this scenario the business rules are:</caps:sentence> <caps:sentence id="src118" class="srcSentence">Finance documents can be read only by members of the Finance department.</caps:sentence> <caps:sentence id="src119" class="srcSentence">Members of the Finance department can access only documents in their own country.</caps:sentence> <caps:sentence id="src120" class="srcSentence">Only Finance Administrators can have Write access.</caps:sentence> <caps:sentence id="src121" class="srcSentence">We will allow an exception for members of the FinanceException group.</caps:sentence> <caps:sentence id="src122" class="srcSentence"> This group will have Read access.</caps:sentence> <caps:sentence id="src123" class="srcSentence">The administrator and document owner will still have full access.</caps:sentence> <caps:sentence id="src124" class="srcSentence">Or to express the rules with Windows Server 2012 constructs:</caps:sentence> <caps:sentence id="src125" class="srcSentence">Targeting: Resource.Department Contains Finance</caps:sentence> <caps:sentence id="src126" class="srcSentence">Access Rules:</caps:sentence> <caps:sentence id="src127" class="srcSentence">Allow Read User.Country=Resource.Country AND User.department = Resource.Department</caps:sentence> <caps:sentence id="src128" class="srcSentence">Allow Full control User.MemberOf(FinanceAdmin)</caps:sentence> <caps:sentence id="src129" class="srcSentence">Allow Read User.MemberOf(FinanceException)</caps:sentence> <caps:sentence id="src130" class="srcSentence">To create a central access rule</caps:sentence> <caps:sentence id="src131" class="srcSentence">In the left pane of the Active Directory Administrative Center, click Tree View, select Dynamic Access Control, and then click Central Access Rules.</caps:sentence> <caps:sentence id="src132" class="srcSentence">Right-click Central Access Rules, click New, and then click Central Access Rule.</caps:sentence> <caps:sentence id="src133" class="srcSentence">In the Name field, type Finance Documents Rule.</caps:sentence> <caps:sentence id="src134" class="srcSentence">In the Target Resources section, click Edit, and in the Central Access Rule dialog box, click Add a condition.</caps:sentence> <caps:sentence id="src135" class="srcSentence"> Add the following condition: [Resource] [Department] [Equals] [Value] [Finance], and then click OK.</caps:sentence> <caps:sentence id="src136" class="srcSentence">In the Permissions section, select Use following permissions as current permissions, click Edit, and in the Advanced Security Settings for Permissions dialog box click Add.</caps:sentence> <caps:sentence id="src137" class="srcSentence"> Use the following permissions as proposed permissions option lets you create the policy in staging.</caps:sentence> <caps:sentence id="src138" class="srcSentence"> For more information on how to do this refer to the Maintain: Change and stage the policy section in this topic.</caps:sentence> <caps:sentence id="src139" class="srcSentence">In the Permission entry for Permissions dialog box, click Select a principal, type Authenticated Users, and then click OK.</caps:sentence> <caps:sentence id="src140" class="srcSentence">In the Permission Entry for Permissions dialog box, click Add a condition, and add the following conditions: [User] [country] [Any of] [Resource] [country] Click Add a condition.</caps:sentence> <caps:sentence id="src141" class="srcSentence"> [And] Click [User] [Department] [Any of] [Resource] [Department].</caps:sentence> <caps:sentence id="src142" class="srcSentence"> Set the Permissions to Read.</caps:sentence> <caps:sentence id="src143" class="srcSentence">Click OK, and then click Add.</caps:sentence> <caps:sentence id="src144" class="srcSentence"> Click Select a principal, type FinanceAdmin, and then click OK.</caps:sentence> <caps:sentence id="src145" class="srcSentence">Select the Modify, Read and Execute, Read, Write permissions, and then click OK.</caps:sentence> <caps:sentence id="src146" class="srcSentence">Click Add, click Select a principal, type FinanceException, and then click OK.</caps:sentence> <caps:sentence id="src147" class="srcSentence"> Select the permissions to be Read and Read and Execute.</caps:sentence> <caps:sentence id="src148" class="srcSentence">Click OK three times to finish and return to Active Directory Administrative Center.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.$countryClaimType = Get-ADClaimType country $departmentClaimType = Get-ADClaimType department $countryResourceProperty = Get-ADResourceProperty Country $departmentResourceProperty = Get-ADResourceProperty Department $currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))" $resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {"Finance"})" New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition <caps:sentence id="src149" class="srcSentence">In the above cmdlet example, the security identifiers (SIDs) for the group FinanceAdmin and users is determined at creation time and will be different in your example.</caps:sentence> <caps:sentence id="src150" class="srcSentence"> For example, the provided SID value (S-1-5-21-1787166779-1215870801-2157059049-1113) for the FinanceAdmins needs to be replaced with the actual SID for the FinanceAdmin group that you would need to create in your deployment.</caps:sentence> <caps:sentence id="src151" class="srcSentence"> You can use Windows PowerShell to look up the SID value of this group, assign that value to a variable, and then use the variable here.</caps:sentence> <caps:sentence id="src152" class="srcSentence"> For more information, see Windows PowerShell Tip: Working with SIDshttp://go.microsoft.com/fwlink/?LinkId=253545.</caps:sentence> <caps:sentence id="src153" class="srcSentence">You should now have a central access rule that allows people to access documents from the same country and the same department.</caps:sentence> <caps:sentence id="src154" class="srcSentence"> The rule allows the FinanceAdmin group to edit the documents, and it allows the FinanceException group to read the documents.</caps:sentence> <caps:sentence id="src155" class="srcSentence"> This rule targets only documents classified as Finance.</caps:sentence> <caps:sentence id="src156" class="srcSentence">To add a central access rule to a central access policy</caps:sentence> <caps:sentence id="src157" class="srcSentence">In the left pane of the Active Directory Administrative Center, click Dynamic Access Control, and then click Central Access Policies.</caps:sentence> <caps:sentence id="src158" class="srcSentence">In the Tasks pane, click New, and then click Central Access Policy.</caps:sentence> <caps:sentence id="src159" class="srcSentence">In Create Central Access Policy:, type Finance Policy in the Name box.</caps:sentence> <caps:sentence id="src160" class="srcSentence">In Member central access rules, click Add.</caps:sentence> <caps:sentence id="src161" class="srcSentence">Double-click the Finance Documents Rule to the add it to the Add the following central access rules list , and then click OK.</caps:sentence> <caps:sentence id="src162" class="srcSentence">Click OK to finish.</caps:sentence> <caps:sentence id="src163" class="srcSentence"> You should now have a central access policy named Finance Policy.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember -Identity "Finance Policy" -Member "Finance Documents Rule" <caps:sentence id="src164" class="srcSentence">To apply the central access policy across file servers by using Group Policy</caps:sentence> <caps:sentence id="src165" class="srcSentence">On the Start screen, in the Search box, type Group Policy Management.</caps:sentence> <caps:sentence id="src166" class="srcSentence"> Double-click Group Policy Management.</caps:sentence> <caps:sentence id="src167" class="srcSentence">If the Show Administrative tools setting is disabled, the Administrative Tools folder and its contents will not appear in the Settings results.</caps:sentence> <caps:sentence id="src168" class="srcSentence">In your production environment, you should create a File Server Organization Unit (OU) and add all your file servers to this OU, to which you want to apply this policy.</caps:sentence> <caps:sentence id="src169" class="srcSentence"> You can then create a group policy and add this OU to that policy..</caps:sentence> <caps:sentence id="src170" class="srcSentence">In this step, you edit the group policy object you created in Build the domain controller section in the Test Environment to include the central access policy that you created.</caps:sentence> <caps:sentence id="src171" class="srcSentence"> In the Group Policy Management Editor, navigate to and select the organizational unit in the domain (contoso.com in this example): Group Policy Management, Forest: contoso.com, Domains, contoso.com, Contoso, FileServerOU.</caps:sentence> <caps:sentence id="src172" class="srcSentence">Right-click FlexibleAccessGPO, and then click Edit.</caps:sentence> <caps:sentence id="src173" class="srcSentence">In the Group Policy Management Editor window, navigate to Computer Configuration, expand Policies, expand Windows Settings, and click Security Settings.</caps:sentence> <caps:sentence id="src174" class="srcSentence">Expand File System, right-click Central Access Policy, and then click Manage Central access policies.</caps:sentence> <caps:sentence id="src175" class="srcSentence">In the Central Access Policies Configuration dialog box, add Finance Policy, and then click OK.</caps:sentence> <caps:sentence id="src176" class="srcSentence">Scroll down to Advanced Audit Policy Configuration, and expand it.</caps:sentence> <caps:sentence id="src177" class="srcSentence">Expand Audit Policies, and select Object Access.</caps:sentence> <caps:sentence id="src178" class="srcSentence">Double-click Audit Central Access Policy Staging.</caps:sentence> <caps:sentence id="src179" class="srcSentence"> Select all three check boxes and then click OK.</caps:sentence> <caps:sentence id="src180" class="srcSentence"> This step allows the system to receive audit events related to Central Access Staging Policies.</caps:sentence> <caps:sentence id="src181" class="srcSentence">Double-click Audit File System Properties.</caps:sentence> <caps:sentence id="src182" class="srcSentence"> Select all three check boxes then click OK.</caps:sentence> <caps:sentence id="src183" class="srcSentence">Close the Group Policy Management Editor.</caps:sentence> <caps:sentence id="src184" class="srcSentence"> You have now included the central access policy to the Group Policy.</caps:sentence> <caps:sentence id="src185" class="srcSentence">For a domain’s domain controllers to provide claims or device authorization data, the domain controllers need to be configured to support dynamic access control.</caps:sentence> <caps:sentence id="src186" class="srcSentence">To enable support for claims and compound authentication for contoso.com</caps:sentence> <caps:sentence id="src187" class="srcSentence">Open Group Policy Management, click contoso.com, and then click Domain Controllers.</caps:sentence> <caps:sentence id="src188" class="srcSentence">Right-click Default Domain Controllers Policy, and then click Edit.</caps:sentence> <caps:sentence id="src189" class="srcSentence">In the Group Policy Management Editor window, double-click Computer Configuration, double-click Policies, double-click Administrative Templates, double-click System, and then double-click KDC.</caps:sentence> <caps:sentence id="src190" class="srcSentence">Double-click KDC Support for claims, compound authentication and Kerberos armoring.</caps:sentence> <caps:sentence id="src191" class="srcSentence"> In the KDC Support for claims, compound authentication and Kerberos armoring dialog box, click Enabled and select Supported from the Options drop-down list.</caps:sentence> <caps:sentence id="src192" class="srcSentence"> (You need to enable this setting to use user claims in central access policies.)</caps:sentence> <caps:sentence id="src193" class="srcSentence">Close Group Policy Management.</caps:sentence> <caps:sentence id="src194" class="srcSentence">Open a command prompt and type gpupdate /force.</caps:sentence> <caps:sentence id="src195" class="srcSentence">Deploy the central access policy</caps:sentence> <caps:sentence id="src196" class="srcSentence">Step</caps:sentence> <caps:sentence id="src197" class="srcSentence">Example</caps:sentence> <caps:sentence id="src198" class="srcSentence">3.1</caps:sentence> <caps:sentence id="src199" class="srcSentence">Assign the CAP to the appropriate shared folders on the file server.</caps:sentence> <caps:sentence id="src200" class="srcSentence">Assign the central access policy to the appropriate shared folder on the file server.</caps:sentence> <caps:sentence id="src201" class="srcSentence">3.2</caps:sentence> <caps:sentence id="src202" class="srcSentence">Verify that access is appropriately configured.</caps:sentence> <caps:sentence id="src203" class="srcSentence">Check the access for users from different countries and departments.</caps:sentence> <caps:sentence id="src204" class="srcSentence">In this step you will assign the central access policy to a file server.</caps:sentence> <caps:sentence id="src205" class="srcSentence"> You will log onto a file server that is receiving the central access policy that you created the previous steps and assign the policy to a shared folder.</caps:sentence> <caps:sentence id="src206" class="srcSentence">To assign a central access policy to a file server</caps:sentence> <caps:sentence id="src207" class="srcSentence">In Hyper-V Manager, connect to server FILE1.</caps:sentence> <caps:sentence id="src208" class="srcSentence"> Log on to the server by using contoso\administrator with the password: pass@word1.</caps:sentence> <caps:sentence id="src209" class="srcSentence">Open an elevated command prompt and type: gpupdate /force.</caps:sentence> <caps:sentence id="src210" class="srcSentence"> This ensures that your Group Policy changes take effect on your server.</caps:sentence> <caps:sentence id="src211" class="srcSentence">You also need to refresh the Global Resource Properties from Active Directory.</caps:sentence> <caps:sentence id="src212" class="srcSentence"> Open an elevated Windows PowerShell window and type Update-FSRMClassificationpropertyDefinition.</caps:sentence> <caps:sentence id="src213" class="srcSentence"> Click ENTER, and then close Windows PowerShell.</caps:sentence> <caps:sentence id="src214" class="srcSentence">You can also refresh the Global Resource Properties by logging on to the file server.</caps:sentence> <caps:sentence id="src215" class="srcSentence"> To refresh the Global Resource Properties from the file server, do the following</caps:sentence> <caps:sentence id="src216" class="srcSentence">Logon to File Server FILE1 as contoso\administrator, using the password pass@word1.</caps:sentence> <caps:sentence id="src217" class="srcSentence">Open File Server Resource Manager.</caps:sentence> <caps:sentence id="src218" class="srcSentence"> To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.</caps:sentence> <caps:sentence id="src219" class="srcSentence">In the File Server Resource Manager, click File Classification Management , right-click Classification Properties and then click Refresh.</caps:sentence> <caps:sentence id="src220" class="srcSentence">Open Windows Explorer, and in the left pane, click drive D. Right-click the Finance Documents folder, and click Properties.</caps:sentence> <caps:sentence id="src221" class="srcSentence">Click the Classification tab, click Country, and then select US in the Value field.</caps:sentence> <caps:sentence id="src222" class="srcSentence">Click Department, then select Finance in the Value field and then click Apply.</caps:sentence> <caps:sentence id="src223" class="srcSentence">Remember that the central access policy was configured to target files for the Department of Finance.</caps:sentence> <caps:sentence id="src224" class="srcSentence"> The previous steps mark all documents in the folder with the Country and Department attributes.</caps:sentence> <caps:sentence id="src225" class="srcSentence">Click the Security tab, and then click Advanced.</caps:sentence> <caps:sentence id="src226" class="srcSentence"> Click the Central Policy tab.</caps:sentence> <caps:sentence id="src227" class="srcSentence"> </caps:sentence> <caps:sentence id="src228" class="srcSentence">Click Change, select Finance Policy from the drop-down menu, and then click Apply.</caps:sentence> <caps:sentence id="src229" class="srcSentence"> You can see the Finance Documents Rule listed in the policy.</caps:sentence> <caps:sentence id="src230" class="srcSentence"> Expand the item to view all of the permissions that you set when you created the rule in Active Directory.</caps:sentence> <caps:sentence id="src231" class="srcSentence">Click OK to return to Windows Explorer.</caps:sentence> <caps:sentence id="src232" class="srcSentence">In the next step, you ensure that access is appropriately configured.</caps:sentence> <caps:sentence id="src233" class="srcSentence"> User accounts need to have the appropriate Department attribute set (set this using Active Directory Administrative Center).</caps:sentence> <caps:sentence id="src234" class="srcSentence"> The simplest way to view the effective results of the new policy is to use the Effective Access tab in Windows Explorer.</caps:sentence> <caps:sentence id="src235" class="srcSentence"> The Effective Access tab shows the access rights for a given user account.</caps:sentence> <caps:sentence id="src236" class="srcSentence">To examine the access for various users</caps:sentence> <caps:sentence id="src237" class="srcSentence">In Hyper-V Manager, connect to server FILE1.</caps:sentence> <caps:sentence id="src238" class="srcSentence"> Log on to the server by using contoso\administrator.</caps:sentence> <caps:sentence id="src239" class="srcSentence"> Navigate to D:\ in Windows Explorer.</caps:sentence> <caps:sentence id="src240" class="srcSentence"> Right-click the Finance Documents folder, and then click Properties.</caps:sentence> <caps:sentence id="src241" class="srcSentence">Click the Security tab, click Advanced, and then click the Effective Access tab.</caps:sentence> <caps:sentence id="src242" class="srcSentence">To examine the permissions for a user, click Select a user, type the user’s name, and then click View effective access to see the effective access rights.</caps:sentence> <caps:sentence id="src243" class="srcSentence"> For example:</caps:sentence> <caps:sentence id="src244" class="srcSentence">Myriam Delesalle (MDelesalle) is in the Finance department and should have Read access to the folder.</caps:sentence> <caps:sentence id="src245" class="srcSentence">Miles Reid (MReid) is a member of the FinanceAdmin group and should have Modify access to the folder.</caps:sentence> <caps:sentence id="src246" class="srcSentence">Esther Valle (EValle) is not in the Finance department; however, she is a member of the FinanceException group and should have Read access.</caps:sentence> <caps:sentence id="src247" class="srcSentence">Maira Wenzel (MWenzel) is not in the Finance department and is not a member of either the FinanceAdmin or FinanceException group.</caps:sentence> <caps:sentence id="src248" class="srcSentence"> She should not have any access to the folder.</caps:sentence> <caps:sentence id="src249" class="srcSentence">Notice that the last column named Access limited by in the effective access window.</caps:sentence> <caps:sentence id="src250" class="srcSentence"> This column tells you which gates are effecting the person’s permissions.</caps:sentence> <caps:sentence id="src251" class="srcSentence"> In this case, the Share and NTFS permissions allow all users full control.</caps:sentence> <caps:sentence id="src252" class="srcSentence"> However, the central access policy restricts access based on the rules you configured earlier.</caps:sentence> <caps:sentence id="src253" class="srcSentence">Maintain: Change and stage the policy</caps:sentence> <caps:sentence id="src254" class="srcSentence">Number</caps:sentence> <caps:sentence id="src255" class="srcSentence">Step</caps:sentence> <caps:sentence id="src256" class="srcSentence">Example</caps:sentence> <caps:sentence id="src257" class="srcSentence">4.1</caps:sentence> <caps:sentence id="src258" class="srcSentence">Configure Device Claims for Clients</caps:sentence> <caps:sentence id="src259" class="srcSentence">Set the group policy setting to enable device claims</caps:sentence> <caps:sentence id="src260" class="srcSentence">4.2</caps:sentence> <caps:sentence id="src261" class="srcSentence">Enable a claim for devices.</caps:sentence> <caps:sentence id="src262" class="srcSentence">Enable the country claim type for devices.</caps:sentence> <caps:sentence id="src263" class="srcSentence">4.3</caps:sentence> <caps:sentence id="src264" class="srcSentence">Add a staging policy to the existing central access rule that you would like to modify.</caps:sentence> <caps:sentence id="src265" class="srcSentence">Modify the Finance Documents Rule to add a staging policy.</caps:sentence> <caps:sentence id="src266" class="srcSentence">4.4</caps:sentence> <caps:sentence id="src267" class="srcSentence">View the results of the staging policy.</caps:sentence> <caps:sentence id="src268" class="srcSentence">Check for Ester Velle’s permissions.</caps:sentence> <caps:sentence id="src269" class="srcSentence">To set up group policy setting to enable claims for devices</caps:sentence> <caps:sentence id="src270" class="srcSentence">Log on to DC1, open Group Policy Management, click contoso.com, click Default Domain Policy, right-click and select Edit.</caps:sentence> <caps:sentence id="src271" class="srcSentence">In the Group Policy Management Editor window, navigate to Computer Configuration, Policies, Administrative Templates, System, Kerberos.</caps:sentence> <caps:sentence id="src272" class="srcSentence">Select Kerberos client support for claims, compound authentication and Kerberos armoring and click Enable.</caps:sentence> <caps:sentence id="src273" class="srcSentence">To enable a claim for devices</caps:sentence> <caps:sentence id="src274" class="srcSentence">Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.</caps:sentence> <caps:sentence id="src275" class="srcSentence">From the Tools menu, open Active Directory Administrative Center.</caps:sentence> <caps:sentence id="src276" class="srcSentence">Click Tree View, expand Dynamic Access Control, double-click Claim Types, and double-click the country claim.</caps:sentence> <caps:sentence id="src277" class="srcSentence">In Claims of this type can be issued for the following classes, select the Computer check box.</caps:sentence> <caps:sentence id="src278" class="srcSentence"> Click OK.</caps:sentence> <caps:sentence id="src279" class="srcSentence"> Both the User and Computer check boxes should now be selected.</caps:sentence> <caps:sentence id="src280" class="srcSentence"> The country claim can now be used with devices in addition to users.</caps:sentence> <caps:sentence id="src281" class="srcSentence">The next step is to create a staging policy rule.</caps:sentence> <caps:sentence id="src282" class="srcSentence"> Staging policies can be used to monitor the effects of a new policy entry before you enable it.</caps:sentence> <caps:sentence id="src283" class="srcSentence"> In the following step, you will create a staging policy entry and monitor the effect on your shared folder.</caps:sentence> <caps:sentence id="src284" class="srcSentence">To create a staging policy rule and add it to the central access policy</caps:sentence> <caps:sentence id="src285" class="srcSentence">Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.</caps:sentence> <caps:sentence id="src286" class="srcSentence">Open Active Directory Administrative Center.</caps:sentence> <caps:sentence id="src287" class="srcSentence">Click Tree View, expand Dynamic Access Control, and select Central Access Rules.</caps:sentence> <caps:sentence id="src288" class="srcSentence">Right-click Finance Documents Rule, and then click Properties.</caps:sentence> <caps:sentence id="src289" class="srcSentence">In the Proposed Permissions section, select the Enable permission staging configuration check box, click Edit, and then click Add.</caps:sentence> <caps:sentence id="src290" class="srcSentence"> In the Permission Entry for Proposed Permissions window, click the Select a Principal link, type Authenticated Users, and then click OK.</caps:sentence> <caps:sentence id="src291" class="srcSentence">Click the Add a condition link and add the following condition: [User] [country] [Any of] [Resource] [Country].</caps:sentence> <caps:sentence id="src292" class="srcSentence"> </caps:sentence> <caps:sentence id="src293" class="srcSentence">Click Add a condition again, and add the following condition: [And] [Device] [country] [Any of] [Resource] [Country]</caps:sentence> <caps:sentence id="src294" class="srcSentence">Click Add a condition again, and add the following condition.</caps:sentence> <caps:sentence id="src295" class="srcSentence"> [And] [User] [Group] [Member of any] [Value](FinanceException)</caps:sentence> <caps:sentence id="src296" class="srcSentence">To set the FinanceException, group, click Add items and in the Select User, Computer, Service Account, or Group window, type FinanceException.</caps:sentence> <caps:sentence id="src297" class="srcSentence">Click Permissions, select Full Control, and click OK.</caps:sentence> <caps:sentence id="src298" class="srcSentence">In the Advance Security Settings for Proposed Permissions window, select FinanceException and click Remove.</caps:sentence> <caps:sentence id="src299" class="srcSentence">Click OK two times to finish.</caps:sentence> Gleichwertige Windows PowerShell-Befehle Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.Set-ADCentralAccessRule -Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com" -ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)" -Server: "WIN-2R92NN8VKFP.Contoso.com" <caps:sentence id="src300" class="srcSentence">In the above cmdlet example, the Server value reflects the Server in the test lab environment.</caps:sentence> <caps:sentence id="src301" class="srcSentence"> You can use the Windows PowerShell History Viewer to look up the Windows PowerShell cmdlets for each procedure you perform in Active Directory Administrative Center.</caps:sentence> <caps:sentence id="src302" class="srcSentence"> For more information, see Windows PowerShell History Viewerhttp://technet.microsoft.com/library/hh831702</caps:sentence> <caps:sentence id="src303" class="srcSentence">In this proposed permissions set, members of the FinanceException group will have Full Access to files from their own country when they access them through a device from the same country as the document.</caps:sentence> <caps:sentence id="src304" class="srcSentence"> Audit entries are available in the File Servers security log when someone from the Finance department attempts to access files.</caps:sentence> <caps:sentence id="src305" class="srcSentence"> However, security settings are not enforced until the policy is promoted from staging.</caps:sentence> <caps:sentence id="src306" class="srcSentence">In the next procedure, you verify the results of the staging policy.</caps:sentence> <caps:sentence id="src307" class="srcSentence"> You access the shared folder with a user name that has permissions based on the current rule.</caps:sentence> <caps:sentence id="src308" class="srcSentence"> Esther Valle (EValle) is a member of FinanceException, and she currently has Read rights.</caps:sentence> <caps:sentence id="src309" class="srcSentence"> According to our staging policy, EValle should not have any rights.</caps:sentence> <caps:sentence id="src310" class="srcSentence">To verify the results of the staging policy</caps:sentence> <caps:sentence id="src311" class="srcSentence">Connect to the File Server FILE1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.</caps:sentence> <caps:sentence id="src312" class="srcSentence">Open a Command Prompt window and type gpupdate /force.</caps:sentence> <caps:sentence id="src313" class="srcSentence"> This ensures that your Group Policy changes will take effect on your server.</caps:sentence> <caps:sentence id="src314" class="srcSentence">In Hyper-V Manager, connect to server CLIENT1.</caps:sentence> <caps:sentence id="src315" class="srcSentence"> Log off the user who is currently logged on.</caps:sentence> <caps:sentence id="src316" class="srcSentence"> Restart the virtual machine, CLIENT1.</caps:sentence> <caps:sentence id="src317" class="srcSentence"> Then log on to the computer by using contoso\EValle pass@word1.</caps:sentence> <caps:sentence id="src318" class="srcSentence">Double-click the desktop shortcut to \FILE1\Finance Documents.</caps:sentence> <caps:sentence id="src319" class="srcSentence"> EValle should still have access to the files.</caps:sentence> <caps:sentence id="src320" class="srcSentence"> Switch back to FILE1.</caps:sentence> <caps:sentence id="src321" class="srcSentence">Open Event Viewer from the shortcut on the desktop.</caps:sentence> <caps:sentence id="src322" class="srcSentence"> Expand Windows Logs, and then select Security.</caps:sentence> <caps:sentence id="src323" class="srcSentence"> Open the entries with Event ID 4818 under the Central Access Policy Staging task category.</caps:sentence> <caps:sentence id="src324" class="srcSentence"> You will see that EValle was allowed access; however, according to the staging policy, the user would have been denied access.</caps:sentence> <caps:sentence id="src325" class="srcSentence">If you have a central server management system such as System Center Operations Manager, you can also configuring monitoring for events.</caps:sentence> <caps:sentence id="src326" class="srcSentence"> This allows Administrators to monitor the effects of central access policies before enforcing them.</caps:sentence> </caps:SxSSource> </caps:SxS>

Anzeigen: