Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Anhang B: Einrichten der Testumgebung

Bill Mathers|Zuletzt aktualisiert: 10.03.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Thema werden die Schritte zum Erstellen einer praktischen Übung, um dynamische Zugriffssteuerung zu testen. Die Anleitung dienen nacheinander ausgeführt werden, da viele Komponenten, die abhängig sind.

Erforderliche Komponenten

Hardware- und Softwareanforderungen

Anforderungen für die Einrichtung Testlabor:

  • Unter Windows Server 2008 R2 mit SP1 und Hyper-V-Hostserver

  • Eine Kopie der Windows Server 2012-ISO

  • Eine Kopie der Windows 8-ISO

  • Microsoft Office 2010

  • Ein Server mit Microsoft Exchange Server 2003 oder höher

Sie müssen die folgenden virtuellen Computer zum Testen der dynamische Zugriffssteuerung Szenarien zu erstellen:

  • DC1 (Domänencontroller)

  • DC2 (Domänencontroller)

  • Datei 1 (der Server und Active Directory Rights Management Services-Datei)

  • SRV1 (POP3 und SMTP-Server)

  • CLIENT1 (Clientcomputer mit Microsoft Outlook)

Die Kennwörter für die virtuellen Computer sollte wie folgt lauten:

  • BUILTIN\Administrator: pass@word1

  • Contoso\Administrator: pass@word1

  • Alle anderen Konten: pass@word1

Erstellen Sie den Test Lab virtuelle Computer

Installieren Sie die Hyper-V-Rolle

Sie müssen die Hyper-V-Rolle auf einem Computer unter Windows Server 2008 R2 mit SP1 installieren.

So installieren Sie die Hyper-V-Rolle
  1. Klicken Sie auf starten, und klicken Sie dann auf den Server-Manager.

  2. Klicken Sie im Bereich Rollen Zusammenfassung des Hauptfensters Server-Manager auf Hinzufügen von Rollen.

  3. Auf der Select Server Roles auf Hyper-V.

  4. Auf der Erstellen virtueller Netzwerke Seite, klicken Sie auf eine oder mehrere Netzwerkadapter, wenn Sie ihre Netzwerkverbindung auf virtuellen Computern zur Verfügung stellen möchten.

  5. Auf der Installationsauswahl bestätigen auf installieren.

  6. Der Computer muss neu gestartet werden, um die Installation abzuschließen. Klicken Sie auf schließen beenden Sie den Assistenten, und klicken Sie dann auf Ja, den Computer neu zu starten.

  7. Nachdem Sie den Computer neu, melden Sie sich mit demselben Konto an, das Sie zum Installieren der Rolle. Klicken Sie nach Abschluss der Installation des Konfigurations-Assistenten fortsetzen auf schließen um den Assistenten abgeschlossen haben.

Erstellen Sie ein internes virtuelles Netzwerk

Jetzt erstellen Sie ein internes virtuelles Netzwerk ID_AD_Network aufgerufen.

Erstellen Sie ein virtuelles Netzwerk
  1. Hyper-V-Manager zu öffnen.

  2. Von der Aktionen Menü, klicken Sie auf Virtual Network Manager.

  3. Klicken Sie unter Erstellen virtueller Netzwerk, und wählen Sie die interne.

  4. Klicken Sie auf hinzufügen. Die neuen virtuellen Netzwerk Seite wird angezeigt.

  5. Typ ID_AD_Network als Namen für das neue Netzwerk. Überprüfen Sie die anderen Eigenschaften und ggf. zu ändern.

  6. Klicken Sie auf OK virtuelle Netzwerk erstellen und schließen Sie den virtuellen Netzwerk-Manager, oder klicken Sie auf übernehmen virtuelle Netzwerk erstellen und weiterhin Virtual Network-Manager verwenden.

Erstellen des Domänencontrollers

Erstellen Sie einen virtuellen Computer als Domänencontroller (DC1) verwendet werden. Installieren Sie den virtuellen Computer mit Windows Server 2012 ISO, und nennen Sie sie DC1.

So installieren Sie Active Directory-Domäne Dienste
  1. Schließen Sie den virtuellen Computer, an der ID_AD_Network. Melden Sie sich die DC1 als Administrator mit dem Kennwort pass@word1.

  2. Klicken Sie im Server-Manager auf verwalten, und klicken Sie dann auf Hinzufügen von Rollen und Features.

  3. Auf der vor auf Weiter.

  4. Auf der Installationsmethode auf rollenbasierte oder Featurebasierte Installation, und klicken Sie dann auf Weiter.

  5. Auf der Select Destination Server auf Weiter.

  6. Auf der Select Server Roles auf Active Directory-Domäne Dienste. In der Hinzufügen von Rollen und Features Wizard Dialogfeld, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  7. Auf der Features auswählen auf Weiter.

  8. Auf der Active Directory-Domäne Dienste Seite, überprüfen Sie die Informationen, und klicken Sie dann auf Weiter.

  9. Auf der Installationsauswahl bestätigen auf installieren. Die Feature-Installation-Statusleiste auf der Seite mit den gibt an, dass die Rolle installiert wird.

  10. Auf der Ergebnisse sicher, dass die Installation erfolgreich war, und klicken Sie auf schließen. Im Server-Manager, klicken Sie auf das Symbol mit einem Ausrufezeichen auf der oberen rechten Ecke des Bildschirms neben verwalten. Klicken Sie in der Liste Aufgaben auf den Heraufstufen dieses Servers mit einem Domänencontroller Link.

  11. Auf der Bereitstellungskonfiguration auf Hinzufügen neuer Gesamtstruktur, geben Sie den Namen der Stammdomäne, contoso.com, und klicken Sie dann auf Weiter.

  12. Auf der Domänencontroller-Optionen Seite, wählen Sie die Domänen- und Funktionsebenen als Windows Server 2012, und geben Sie das Kennwort Verzeichnisdienst-Wiederherstellungsmodus pass@word1, und klicken Sie dann auf Weiter.

  13. Auf der DNS-Optionen auf Weiter.

  14. Auf der zusätzliche Optionen auf Weiter.

  15. Auf der Pfade Seite, geben Sie die Speicherorte für die Active Directory-Datenbank, Protokolldateien und SYSVOL-Ordner (oder übernehmen Sie Standardspeicherorte), und klicken Sie dann auf Weiter.

  16. Auf der Optionen überprüfen Seite, bestätigen Sie Ihre Auswahl, und klicken Sie dann auf Weiter.

  17. Auf der erforderliche Komponenten prüfen Seite, stellen Sie sicher, dass die erforderlichen Komponenten Überprüfung abgeschlossen ist, und klicken Sie dann auf installieren.

  18. Auf der Ergebnisse Seite, stellen Sie sicher, dass der Server erfolgreich als Domänencontroller konfiguriert wurde, und klicken Sie dann auf schließen.

  19. Starten Sie den Server, um die AD DS-Installation abzuschließen. (In der Standardeinstellung erfolgt dies automatisch.)

Erstellen Sie die folgenden Benutzer mithilfe von Active Directory-Verwaltungscenter.

Erstellen von Benutzern und Gruppen auf DC1
  1. Melden Sie sich als Administrator in contoso.com an. Starten Sie Active Directory-Verwaltungscenter.

  2. Erstellen Sie die folgenden Sicherheitsgruppen:

    Name der GruppeE-Mail-Adresse
    FinanceAdminfinanceadmin@contoso.com
    FinanceExceptionfinanceexception@contoso.com
  3. Erstellen Sie die folgende Organisationseinheit (OU):

    OU-NameComputer
    FileServerOUDATEI 1
  4. Erstellen Sie die folgenden Benutzer mit den Attributen angegeben:

    BenutzerBenutzernameE-Mail-AdresseAbteilungGruppeLand/Region
    Myriam DelesalleMDelesalleMDelesalle@contoso.comFinanzenUNS
    Meilen ReidMReidMReid@contoso.comFinanzenFinanceAdminUNS
    Esther ValleEValleEValle@contoso.comVorgängeFinanceExceptionUNS
    Maira WenzelMWenzelMWenzel@contoso.comHRUNS
    Jeff niedrigJLowJLow@contoso.comHRUNS
    RMS-ServerRMSrms@contoso.com

    Weitere Informationen über das Erstellen von Sicherheitsgruppen finden Sie unter erstellen Sie eine neue Gruppe auf der Windows Server-Website.

Erstellen Sie ein Gruppenrichtlinienobjekt
  1. Bewegen Sie den Cursor in der rechten oberen Ecke des Bildschirms, und klicken Sie auf das Symbol "Suchen". Geben Sie im Suchfeld den Text gruppenrichtlinienverwaltung, und klicken Sie auf die Gruppenrichtlinien-Verwaltungskonsole.

  2. Erweitern Sie Gesamtstruktur: contoso.com, und erweitern Sie dann Domänen, navigieren Sie zu contoso.com, erweitern Sie (contoso.com), und wählen Sie dann FileServerOU. Mit der rechten Maustaste ein Gruppenrichtlinienobjekts in dieser Domäne erstellen und verknüpfen Sie es hier

  3. Geben Sie einen beschreibenden Namen für das Gruppenrichtlinienobjekt, z. B. flexibleAccessGPO, und klicken Sie dann auf OK.

So aktivieren Sie die dynamische Zugriffssteuerung für contoso.com
  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf contoso.com, und doppelklicken Sie anschließend auf Domänencontroller.

  2. Mit der rechten Maustaste Standardrichtlinie für Domänencontroller, und wählen Sie bearbeiten.

  3. Doppelklicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Administrative Vorlagen, doppelklicken Sie auf System, und doppelklicken Sie anschließend auf KDC.

  4. Doppelklicken Sie auf KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht, und wählen Sie neben die Option aktiviert. Sie müssen zum Aktivieren dieser Einstellung zentralen Zugriffsrichtlinien verwenden.

  5. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl:

    gpupdate /force  
    

Erstellen Sie den Dateiserver und die AD RMS-Server-(Datei 1)

  1. Erstellen Sie einen virtuellen Computer mit dem Namen Datei 1 aus der Windows Server 2012 ISO.

  2. Schließen Sie den virtuellen Computer, an der ID_AD_Network.

  3. Fügen Sie den virtuellen Computer zur Domäne contoso.com, und melden Sie sich Datei 1 als Contoso\administrator mit dem Kennwort pass@word1.

Installieren Sie die Datei Services-Systemressourcen-Manager

So installieren Sie die Dateidienste-Rolle und der Ressourcen-Manager für Datei
  1. Klicken Sie im Server-Manager auf Hinzufügen von Rollen und Features.

  2. Auf der vor auf Weiter.

  3. Auf der Installationsmethode auf Weiter.

  4. Auf der Select Destination Server auf Weiter.

  5. Auf der Select Server Roles Bereich Datei- und Speicherdienste, aktivieren Sie das Kontrollkästchen neben Datei- und iSCSI-Dienste, erweitern, und wählen Ressourcen-Manager.

    Hinzufügen von Rollen und Features Wizard, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  6. Auf der Features auswählen auf Weiter.

  7. Auf der Installationsauswahl bestätigen auf installieren.

  8. Auf der Installationsfortschritt auf schließen.

Installieren Sie die Microsoft Office-Filter Packs auf dem Dateiserver

Sie sollten auf Windows Server 2012 zum Aktivieren von IFilter für ein breiteres Array von Office-Dateien als standardmäßig bereitgestellt werden die Microsoft Office-Filter Sprachpakete installieren. Windows Server 2012 nicht über alle IFilter für Microsoft Office-Dateien, die standardmäßig installiert, und die Datei Classification Infrastruktur IFilter für die Analyse der Inhalte verwendet.

Zum Herunterladen und Installieren der IFilter, finden Sie unter Microsoft Office 2010-Filter Packs.

Konfigurieren Sie die E-Mail-Benachrichtigungen auf Datei 1

Wenn Sie Kontingente und Datei-Bildschirme erstellen, müssen Sie die Möglichkeit, E-Mail-Benachrichtigungen an Benutzer senden, wenn Kontingent nähert oder wenn sie versucht haben, zum Speichern von Dateien, die blockiert wurden. Wenn Sie routinemäßig bestimmte Administratoren über Kontingent- und Ereignisse informieren möchten, können Sie einen oder mehrere Standardempfänger konfigurieren. Um diese Benachrichtigungen zu senden, müssen Sie den SMTP-Server verwendet werden, für die Weiterleitung von E-Mails angeben.

So konfigurieren Sie E-Mail-Optionen im Datei Server-Systemressourcen-Manager
  1. Ressourcen-Manager zu öffnen. Um die Ressourcen-Manager zu öffnen, klicken Sie auf starten, Typ Ressourcen-Manager, und klicken Sie dann auf Ressourcen-Manager.

  2. Die Ressourcen-Manager-Schnittstelle, mit der Maustaste Ressourcen-Manager, und klicken Sie dann auf Optionen konfigurieren. Die Ressourcen-Manager-Optionen Dialogfeld wird geöffnet.

  3. Auf der E-Mail-Benachrichtigungen Registerkarte SMTP-Servername oder IP-Adresse, geben Sie den Hostnamen oder die IP-Adresse des SMTP-Servers, der weiterleiten, werden E-Mail-Benachrichtigungen.

  4. Sollten Sie routinemäßig bestimmte Administratoren Kontingent benachrichtigen oder Prüfung Ereignisse unter Datei Standard-Administrator Empfänger, geben Sie jede E-Mail-Adresse, z. B. fileadmin@contoso.com. Verwenden Sie das Format account@Domain, und durch Semikolons trennen Sie mehrere Konten.

Erstellen von Gruppen auf Datei 1

Zum Erstellen von Sicherheitsgruppen auf Datei 1
  1. Melden Sie sich Datei 1 als Contoso\administrator, mit dem Kennwort: pass@word1.

  2. NT AUTHORITY\Authenticated Benutzer hinzufügen der WinRMRemoteWMIUsers__ Gruppe.

Erstellen von Dateien und Ordner auf Datei 1

  1. Erstellen eines neuen NTFS-Volumes auf Datei 1 und erstellen Sie die folgenden Ordner: D:\Finance Documents.

  2. Erstellen Sie die folgenden Dateien mit den Details angegeben:

    • Finanzen Memo.docx: Einige Finanzen umgebenden Text in einem Dokument hinzufügen. Beispielsweise "die Geschäftsregeln darüber, wer Finanzen Dokumente zugreifen können, haben sich geändert. Finanzen Dokumente werden jetzt nur Mitglieder der Gruppe FinanceExpert zugreifen. Keine andere Abteilungen oder Gruppen haben Zugriff. " Sie müssen die Auswirkungen dieser Änderung vor der Implementierung in der Umgebung auswerten. Sicherstellen Sie, dass das Dokument als Fußzeile auf jeder Seite CONTOSO VERTRAULICHE hat.

    • Anforderung zur Genehmigung an Hire.docx: Erstellen eines Formulars in diesem Dokument, das Antragsteller Informationen erfasst. Sie müssen die folgenden Felder im Dokument: Antragsteller Namen, Sozialversicherungsnummer, Position, Gehalt vorgeschlagen, Startdatum, Namen Vorgesetzten, Abteilung. Fügen Sie einen zusätzlichen Abschnitt in das Dokument mit einem Formular zum Unterschrift Vorgesetzter, genehmigt Gehalt Beschaffenheit der bieten, und Status des bieten.
      Stellen Sie das Dokument-Verwaltung von Informationsrechten aktiviert.

    • Word Document1.docx: Einige Testinhalte in diesem Dokument hinzufügen.

    • Word Document2.docx: fügen Inhalt für dieses Dokument zu testen.

    • Workbook1.xlsx

    • Workbook2.xlsx

    • Erstellen Sie einen Ordner auf dem Desktop mit Namen reguläre Ausdrücke. Erstellen Sie ein Textdokument, unter dem Ordner RegEx-SSN. Geben Sie den folgenden Inhalt in der Datei, und klicken Sie dann speichern Sie und schließen Sie die Datei:
      ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012])) ([-]?) (?! 00) \d\d\3 (hintereinander? 0000) \d {4} $

  3. Geben Sie den Ordner D:\Finance Documents as Finance Documents and allow everyone to have Read and Write access to the share.

Hinweis

Zentralen Zugriffsrichtlinien werden nicht standardmäßig auf dem System aktiviert oder Start Volume C:.

Installieren von Active Directory Rights Management Services

Fügen Sie das Active Directory Rights Management Services (AD RMS) und alle benötigten Features über den Server-Manager. Wählen Sie alle Standardeinstellungen.

So installieren Sie Active Directory Rights Management Services
  1. Melden Sie sich der Datei 1 als CONTOSO\Administrator oder als Mitglied der Gruppe "Domänen-Admins".

    Wichtig

    Die AD RMS-Serverrolle das Installationsprogramm für die Installation wird (in diesem Fall CONTOSO\Administrator)-Konto haben, Mitglied sowohl lokale Gruppe "Administratoren" auf dem Server, in denen AD RMS installiert ist, sowie die Mitgliedschaft in der Gruppe "Organisations-Admins" in Active Directory zugewiesen werden sollen.

  2. Klicken Sie im Server-Manager auf Hinzufügen von Rollen und Features. Hinzufügen von Rollen und Features Wizard angezeigt wird.

  3. Auf der Voraussetzung auf Weiter.

  4. Auf der Select Installation Type auf Role-Feature installieren basierend, und klicken Sie dann auf Weiter.

  5. Auf der wählen Server Ziele auf Weiter.

  6. Auf der Select Server Roles Bildschirm, wählen Sie das Kontrollkästchen neben Active Directory Rights Management Services, und klicken Sie dann auf Weiter.

  7. In der Hinzufügen von Features, die für die Active Directory Rights Management Services erforderlich sind? **Dialogfeld, klicken Sie auf **Features hinzufügen.

  8. Auf der Select Server Roles auf Weiter.

  9. Auf der Features zur Installation auswählen auf Weiter.

  10. Auf der Active Directory Rights Management Services auf Weiter.

  11. Auf der Rollendienste auf Weiter.

  12. Auf der Webserver Rolle (IIS) auf Weiter.

  13. Auf der Rollendienste auf Weiter.

  14. Auf der Installationsauswahl bestätigen auf installieren.

  15. Nachdem die Installation abgeschlossen ist, auf die Installationsfortschritt auf durchführen zusätzliche Konfiguration. AD RMS-Konfigurations-Assistenten angezeigt wird.

  16. Auf der AD RMS auf Weiter.

  17. Auf der AD RMS-Clusters Option Erstellen eines neuen AD RMS-Stamm-Clusters, und klicken Sie dann auf Weiter.

  18. Auf der Konfigurationsdatenbank auf verwenden interne Windows-Datenbank auf diesem Server, und klicken Sie dann auf Weiter.

    Hinweis

    Für die Verwendung der interne Windows-Datenbank-Test-Umgebungen empfohlen, da es nicht mehr als einen Server in der AD RMS-Cluster unterstützt. Produktion sollten einen separate Datenbank-Server verwendet.

  19. Auf der Dienstkonto Bildschirm in Domänenbenutzerkonto, klicken Sie auf angeben und geben Sie dann den Benutzernamen (Contoso\rms), und das Kennwort (pass@word1), und klicken Sie auf OK, und klicken Sie dann auf Weiter.

  20. Auf der kryptografischen Modus auf kryptografischen Modus 2.

  21. Auf der Schlüssel Clusterspeicher auf Weiter.

  22. Auf der Kennwort Bildschirm, in der Kennwort und Kennwort bestätigen Dialogfelder, Typ pass@word1, und klicken Sie dann auf Weiter.

  23. Auf der Cluster WebSite Bildschirm, stellen Sie sicher, dass Standardwebsite ausgewählt ist, und klicken Sie dann auf Weiter.

  24. Auf der Adresse Bildschirm, wählen Sie die verwenden eine unverschlüsselte Verbindung Option, in der Fully Qualified Domain Name geben FILE1.contoso.com, und klicken Sie dann auf Weiter.

  25. Auf der Lizenzgeber Zertifikatnamen Bildschirm, akzeptieren Sie den Namen (Datei 1) in das Textfeld ein und klicken Sie auf Weiter.

  26. Auf der SCP Registrierung Option jetzt registrieren SCP, und klicken Sie dann auf Weiter.

  27. Auf der Bestätigung auf installieren.

  28. Auf der Ergebnisse auf schließen, und klicken Sie dann auf schließen auf Installationsfortschritt Bildschirm. Nach Abschluss des Vorgangs, melden Sie sich ab und melden Sie sich als Contoso\rms mit dem Kennwort bereitgestellt (pass@word1).

  29. Starten Sie die AD RMS-Konsole, und navigieren Sie zu Rechtevorlagen.

    Um die AD RMS-Konsole im Server-Manager zu öffnen, klicken Sie auf lokalen Server klicken Sie dann in der Konsolenstruktur auf Tools, und klicken Sie dann auf Active Directory Rights Management Services.

  30. Klicken Sie auf die verteilt Benutzerrechterichtlinie erstellen Vorlage, die sich auf den rechten Bereich befindet, klicken Sie auf hinzufügen, und wählen Sie die folgende Informationen:

    • Sprache: USA Englisch

    • Name: Contoso Finance Administrator nur

    • Description: Contoso Finance Administrator nur

    Klicken Sie auf hinzufügen, und klicken Sie dann auf Weiter.

  31. Klicken Sie im Abschnitt für Benutzer und Rechte auf und Rechte der Benutzer, klicken Sie auf hinzufügen, Typ financeadmin@contoso.com, und klicken Sie auf OK.

  32. Wählen Sie Vollzugriff, und lassen Sie gewähren Besitzer (Autor) Vollzugriff permanenten ausgewählten.

  33. Klicken Sie auf die übrigen Registerkarten ohne Änderungen jedoch aus, und klicken Sie dann auf z. Melden Sie sich als CONTOSO\Administrator.

  34. Navigieren Sie zum Ordner, C:\inetpub\wwwroot\_wmcs\certification, wählen Sie die Datei ServerCertification.asmx und authentifizierte Benutzer verfügen über Lese- und Schreibberechtigungen für die Datei hinzugefügt.

  35. Öffnen Sie Windows PowerShell und führen SieGet-FsrmRmsTemplate. Stellen Sie sicher, dass Sie die RMS-Vorlage sehen können, die Sie in den vorherigen Schritten in diesem Verfahren mit diesem Befehl erstellt haben.

Wichtig

Wenn Sie möchten Ihre Dateiserver sofort ändern, damit Sie sie testen können, müssen Sie die folgenden Schritte aus:

  1. Klicken Sie auf dem Dateiserver Datei 1, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle:

    • Gpupdate//force.
    • NLTEST/sc_reset: contoso.com
  2. Replizieren von Active Directory auf dem Domänencontroller (DC1).

    Weitere Informationen zu den Schritten zum Erzwingen der Replikation von Active Directory finden Sie unter Active Directory-Replikation

Optional, anstatt das Hinzufügen von Rollen und Features-Assistenten in Server-Manager, können Sie Windows PowerShell installieren und konfigurieren die AD RMS-Serverrolle wie im folgenden Verfahren anzeigen.

Installieren und konfigurieren einen AD RMS-Cluster in Windows Server 2012 mit Windows PowerShell
  1. Anmeldung Sie sich als CONTOSO\Administrator mit dem Kennwort: pass@word1.

    Wichtig

    Die AD RMS-Serverrolle das Installationsprogramm für die Installation wird (in diesem Fall CONTOSO\Administrator)-Konto haben, Mitglied sowohl lokale Gruppe "Administratoren" auf dem Server, in denen AD RMS installiert ist, sowie die Mitgliedschaft in der Gruppe "Organisations-Admins" in Active Directory zugewiesen werden sollen.

  2. Auf dem Desktop Server mit der Maustaste des Windows PowerShell-Symbol auf der Taskleiste und wählen Sie als Administrator ausführen eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten zu öffnen.

  3. Um den Server-Manager-Cmdlets verwenden, um die AD RMS-Serverrolle installiert, geben Sie Folgendes ein:

    Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools  
    
  4. Erstellen Sie das Windows PowerShell-Laufwerk zum Darstellen von AD RMS-Server, den Sie installieren.

    Z. B. um ein Windows PowerShell-Laufwerk mit dem Namen RC installieren und konfigurieren den ersten Server in einem AD RMS-Stamm-Cluster zu erstellen, geben Sie Folgendes ein:

    Import-Module ADRMS  
    New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster  
    
  5. Legen Sie Eigenschaften für Objekte im Laufwerk-Namespace, die Einstellungen für die erforderliche Konfiguration darstellen.

    Beispielsweise, um das AD RMS-Dienstkonto an der Windows PowerShell-Eingabeaufforderung festzulegen, geben Sie Folgendes ein:

    $svcacct = Get-Credential  
    

    Wenn das Dialogfeld der Windows-Sicherheit angezeigt wird, geben Sie der AD RMS-Dienst Domänenbenutzername CONTOSO\RMS und das Kennwort ein.

    Um die AD RMS-Cluster-Einstellungen die AD RMS-Dienstkonto zuweisen möchten, geben Sie als Nächstes Folgendes ein:

    Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct  
    

    Als Nächstes zum Festlegen der AD RMS-Server mit der interne Windows-Datenbank, an der Windows PowerShell-Eingabeaufforderung, geben Sie Folgendes ein:

    Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true  
    

    Geben Sie als Nächstes um das Kennwort für das Schlüssel in eine Variable, an der Windows PowerShell-Eingabeaufforderung sicher zu speichern:

    $password = Read-Host -AsSecureString -Prompt "Password:"  
    

    Geben Sie das Kennwort für das Schlüssel, und drücken Sie dann die EINGABETASTE.

    Als Nächstes das Kennwort zuweisen möchten, der AD RMS-Installation, an der Windows PowerShell-Eingabeaufforderung, geben Sie Folgendes ein:

    Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password  
    

    Als Nächstes, um die AD RMS-Cluster-Adresse, an der Windows PowerShell-Eingabeaufforderung festzulegen, geben Sie Folgendes ein:

    Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"  
    

    Als Nächstes SLC Namen für die AD RMS-Installation, an der Windows PowerShell-Eingabeaufforderung zuweisen möchten, geben Sie Folgendes ein:

    Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"  
    

    Als Nächstes, um den Dienst Verbindungspunkt (SCP) für den AD RMS-Cluster, an der Windows PowerShell-Eingabeaufforderung festzulegen, geben Sie Folgendes ein:

    Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true  
    
  6. Führen Sie die Install-ADRMS Cmdlet. Zusätzlich zu AD RMS-Serverrolle installieren und Konfigurieren des Servers, wird dieses Cmdlet auch andere Features, die erforderlichen AD RMS bei Bedarf installiert.

    Beispielsweise, um auf das Windows PowerShell-Laufwerk mit dem Namen RC ändern und installieren und Konfigurieren von AD RMS, geben Sie Folgendes ein:

    Set-Location RC:\  
    Install-ADRMS -Path.  
    

    Typ "Y" Wenn Sie das Cmdlet zur Bestätigung aufgefordert werden möchten, um die Installation zu starten.

  7. Melden Sie sich als CONTOSO\Administrator ein, und melden Sie sich als CONTOSO\RMS mit dem angegebenen Kennwort ("pass@word1").

    Wichtig

    Um die AD RMS-Server verwalten muss, das Konto, dass Sie angemeldeten und zur Verwaltung des Servers (in diesem Fall CONTOSO\RMS) mit sind Mitgliedschaft in beiden lokalen Gruppe "Administratoren" auf die AD RMS-Server-Computer sowie die Mitgliedschaft in der Gruppe "Organisations-Admins" in Active Directory angegeben werden.

  8. Auf dem Desktop Server mit der Maustaste des Windows PowerShell-Symbol auf der Taskleiste und wählen Sie als Administrator ausführen eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten zu öffnen.

  9. Erstellen Sie das Windows PowerShell-Laufwerk zum Darstellen von AD RMS-Server, den Sie konfigurieren.

    Z. B. um ein Windows PowerShell-Laufwerk mit dem Namen RC so konfigurieren Sie die AD RMS-Stamm-Cluster zu erstellen, geben Sie Folgendes ein:

     Import-Module ADRMSAdmin `  
     New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope Global  
    
  10. Erstellen Sie neue Rechtevorlage für die Contoso Finance-Administrator, und weisen Sie es Benutzerrechte mit Vollzugriff in Ihrer AD RMS-Installation an der Windows PowerShell-Eingabeaufforderung, geben Sie Folgendes ein:

    New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com  -Right ('FullControl')  
    
  11. So überprüfen, dass Sie die neue Rechtevorlage für den Contoso Finance-Administrator, der Windows PowerShell-Eingabeaufforderung sehen können:

    Get-FsrmRmsTemplate  
    

    Überprüfen Sie die Ausgabe dieses Cmdlets, die RMS-Vorlage zu bestätigen, die Sie im vorherigen Schritt erstellt wird.

Erstellen Sie die E-Mail-Server (SRV1)

SRV1 ist der SMTP/POP3-Mail-Server. Sie müssen es so einrichten, dass Sie als Teil des Szenarios Zugriff verweigert Remoteunterstützung E-Mail-Benachrichtigungen senden können.

Konfigurieren Sie Microsoft Exchange Server, auf dem Computer. Weitere Informationen finden Sie unter zum Installieren von Exchange Server.

Erstellen der Client virtuellen Computer (CLIENT1)

Der Client virtuelle Computer erstellen
  1. Schließen Sie die CLIENT1 an die ID_AD_Network.

  2. Installieren Sie Microsoft Office 2010.

  3. Melden Sie sich als Contoso\Administrator ein, und verwenden Sie die folgende Informationen zum Konfigurieren von Microsoft Outlook.

    • Ihr Name: Datei Administrator

    • E-Mail-Adresse: fileadmin@contoso.com

    • Vom Typ: POP3

    • Posteingangsserver: statische IP-Adresse des SRV1

    • Postausgangsserver: statische IP-Adresse des SRV1

    • Benutzername: fileadmin@contoso.com

    • Kennwort: Wählen Sie

  4. Erstellen Sie eine Verknüpfung mit Outlook auf dem Desktop Contoso\administrator.

  5. Öffnen Sie Outlook, und beheben Sie alle Nachrichten aus "zum ersten Mal gestartet".

  6. Löschen Sie keine Testnachrichten, die generiert wurden.

  7. Erstellen Sie eine neue Tastenkombination auf Desktop für alle Benutzer auf dem Client virtuellen Computer, auf die verweist \\FILE1\Finance Dokumente.

  8. Starten Sie bei Bedarf neu.

Aktivieren Sie Zugriff verweigert Unterstützung auf dem Client virtuellen Computer
  1. Registrierungs-Editor zu öffnen, und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.

    • Legen Sie EnableShellExecuteFileStreamCheck, 1.

    • Wert: DWORD-WERT

Übung Setup zum Bereitstellen von Ansprüchen über Gesamtstrukturen Szenario

Erstellen Sie einen virtuellen Computer für DC2

  • Erstellen Sie einen virtuellen Computer aus der Windows Server 2012 ISO.

  • Erstellen Sie Name des virtuellen Computers als DC2.

  • Schließen Sie den virtuellen Computer, an der ID_AD_Network.

Wichtig

Virtuelle Computer einer Domäne beitreten und Bereitstellen von Anspruchstypen Gesamtstrukturen ist erforderlich, die virtuellen Computer der FQDN der entsprechenden Domänen zu beheben. Sie müssen möglicherweise die DNS-Einstellungen auf den virtuellen Computern zu diesem Zweck manuell konfigurieren. Weitere Informationen finden Sie unter Konfigurieren eines virtuellen Netzwerks.

Alle virtuellen Computer-Bilder (Servern und Clients) müssen neu konfiguriert werden, um die Verwendung einer statischen IP-Version 4 (IPv4)-Adresse und Clienteinstellungen Domain Name System (DNS). Weitere Informationen finden Sie unter konfigurieren Sie einen DNS-Client für statische IP-Adresse.

Richten Sie eine neue Gesamtstruktur aufgerufen adatum.com

So installieren Sie Active Directory-Domäne Dienste
  1. Schließen Sie den virtuellen Computer, an der ID_AD_Network. Melden Sie sich die DC2 als Administrator mit dem Kennwort Pass@word1.

  2. Klicken Sie im Server-Manager auf verwalten, und klicken Sie dann auf Hinzufügen von Rollen und Features.

  3. Auf der vor auf Weiter.

  4. Auf der Select Installation Type auf rollenbasierte oder Featurebasierte Installation, und klicken Sie dann auf Weiter.

  5. Auf der Select Destination Server auf wählen Sie einen Server aus dem Serverpool, klicken Sie auf den Namen des Servers Speicherort für Active Directory-Domäne Services (AD DS) installieren, und klicken Sie dann auf Weiter.

  6. Auf der Select Server Roles auf Active Directory-Domäne Dienste. In der Hinzufügen von Rollen und Features Wizard Dialogfeld, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  7. Auf der Features auswählen auf Weiter.

  8. Auf der AD DS Seite, überprüfen Sie die Informationen, und klicken Sie dann auf Weiter.

  9. Auf der Bestätigung auf installieren. Die Feature-Installation-Statusleiste auf der Seite mit den gibt an, dass die Rolle installiert wird.

  10. Auf der Ergebnisse sicher, dass die Installation erfolgreich war, und klicken Sie dann neben auf das Symbol mit einem Ausrufezeichen auf der oberen rechten Ecke des Bildschirms verwalten. Klicken Sie in der Liste Aufgaben auf den Heraufstufen dieses Servers mit einem Domänencontroller Link.

    Wichtig

    Wenn Sie an dieser Stelle die Installations-Assistenten zu schließen, sondern klicken Sie auf Heraufstufen dieses Servers mit einem Domänencontroller, können Sie durch Klicken auf die AD DS-Installation weiterhin Aufgaben im Server-Manager.

  11. Auf der Bereitstellungskonfiguration auf Hinzufügen neuer Gesamtstruktur, geben Sie den Namen der Stammdomäne, adatum.com, und klicken Sie dann auf Weiter.

  12. Auf der Domänencontroller-Optionen Seite, wählen Sie die Domänen- und Funktionsebenen als Windows Server 2012, und geben Sie das Kennwort Verzeichnisdienst-Wiederherstellungsmodus pass@word1, und klicken Sie dann auf Weiter.

  13. Auf der DNS-Optionen auf Weiter.

  14. Auf der zusätzliche Optionen auf Weiter.

  15. Auf der Pfade Seite, geben Sie die Speicherorte für die Active Directory-Datenbank, Protokolldateien und SYSVOL-Ordner (oder übernehmen Sie Standardspeicherorte), und klicken Sie dann auf Weiter.

  16. Auf der Optionen überprüfen Seite, bestätigen Sie Ihre Auswahl, und klicken Sie dann auf Weiter.

  17. Auf der erforderliche Komponenten prüfen Seite, stellen Sie sicher, dass die erforderlichen Komponenten Überprüfung abgeschlossen ist, und klicken Sie dann auf installieren.

  18. Auf der Ergebnisse Seite, stellen Sie sicher, dass der Server erfolgreich als Domänencontroller konfiguriert wurde, und klicken Sie dann auf schließen.

  19. Starten Sie den Server, um die AD DS-Installation abzuschließen. (In der Standardeinstellung erfolgt dies automatisch.)

Wichtig

Um sicherzustellen, dass das Netzwerk ordnungsgemäß konfiguriert ist, nachdem Sie die beiden Gesamtstrukturen eingerichtet haben, müssen Sie Folgendes tun:

  • Melden Sie sich adatum.com als Adatum\administrator. Öffnen Sie ein Eingabeaufforderungsfenster, geben Nslookup contoso.com, und drücken Sie dann die EINGABETASTE.
  • Melden Sie sich als Contoso\administrator bei contoso.com an. Öffnen Sie ein Eingabeaufforderungsfenster, geben Nslookup adatum.com, und drücken Sie dann die EINGABETASTE.

Wenn diese Befehle ohne Fehler ausgeführt werden, können die Gesamtstrukturen miteinander kommunizieren. Weitere Informationen zu Fehlern Nslookup finden Sie im Abschnitt zur Problembehandlung im Thema NSlookup.exe verwenden

Legen Sie als eine vertrauenswürdige Gesamtstruktur adatum.com contoso.com

In diesem Schritt erstellen Sie eine Vertrauensstellung zwischen dem Adatum Corporation und die Contoso, Ltd. -Website.

Contoso als eine vertrauenswürdige Gesamtstruktur Adatum festlegen
  1. Melden Sie sich DC2 als Administrator. Auf der Start geben Domain.msc.

  2. In der Konsolenstruktur mit der rechten Maustaste adatum.com, und klicken Sie dann auf Eigenschaften.

  3. Auf der vertraut auf neue Vertrauensstellung, und klicken Sie dann auf Weiter.

  4. Auf der vertrauen Namen geben contoso.com, in Domain Name System (DNS) Feld, und klicken Sie auf Weiter.

  5. Auf der Vertrauenstyp auf Gesamtstruktur-Vertrauensstellung, und klicken Sie dann auf Weiter.

  6. Auf der Richtung der Vertrauensstellung auf bidirektionale.

  7. Auf der Seiten der Vertrauensstellung auf für diese Domäne und die angegebene Domäne, und klicken Sie dann auf Weiter.

  8. Fahren Sie mit der Anweisungen im Assistenten.

Erstellen Sie zusätzliche Benutzer in der Adatum-Gesamtstruktur

Erstellen Sie mit dem Kennwort des Benutzers Jeff Low pass@word1, und weisen Sie dem Unternehmen-Attribut mit dem Wert Adatum.

Zum Erstellen eines Benutzers mit dem Unternehmen-Attribut
  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und fügen Sie folgenden Code:

    New-ADUser `  
    -SamAccountName jlow `  
    -Name "Jeff Low" `  
    -UserPrincipalName jlow@adatum.com `  
    -AccountPassword (ConvertTo-SecureString `  
    -AsPlainText "pass@word1" -Force) `  
    -Enabled $true `  
    -PasswordNeverExpires $true `  
    -Path 'CN=Users,DC=adatum,DC=com' `  
    -Company Adatum`  
    

Erstellen Sie das Unternehmen Anspruchstyp auf adataum.com

Erstellen Sie einen Anspruchstyp mithilfe von Windows PowerShell
  1. Melden Sie sich als Administrator in adatum.com an.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben Sie den folgenden Code:

    New-ADClaimType `  
    -AppliesToClasses:@('user') `  
    -Description:"Company" `  
    -DisplayName:"Company" `  
    -ID:"ad://ext/Company:ContosoAdatum" `  
    -IsSingleValued:$true `  
    -Server:"adatum.com" `  
    -SourceAttribute:Company `  
    -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `  
    

Aktivieren Sie die Unternehmens-Resource-Eigenschaft auf contoso.com

So aktivieren Sie die Unternehmens-Resource-Eigenschaft auf contoso.com
  1. Melden Sie sich als Administrator in contoso.com an.

  2. Klicken Sie im Server-Manager auf Tools, und klicken Sie dann auf Active Directory-Verwaltungscenter.

  3. Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht. Klicken Sie im linken Bereich auf dynamische Zugriffssteuerung, und doppelklicken Sie anschließend auf Ressourceneigenschaften.

  4. Wählen Sie Unternehmen aus der Ressourceneigenschaften auflisten, mit der rechten Maustaste, und wählen Sie Eigenschaften. In der vorgeschlagene Werte auf hinzufügen der vorgeschlagenen Werte hinzu: Contoso und Adatum, und klicken Sie dann auf OK zweimal.

  5. Wählen Sie Unternehmen aus der Ressourceneigenschaften auflisten, mit der rechten Maustaste, und wählen Sie aktivieren.

Aktivieren Sie die dynamische Zugriffssteuerung auf adatum.com

So aktivieren Sie die dynamische Zugriffssteuerung für adatum.com
  1. Melden Sie sich als Administrator in adatum.com an.

  2. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie auf adatum.com, und doppelklicken Sie anschließend auf Domänencontroller.

  3. Mit der rechten Maustaste Standardrichtlinie für Domänencontroller, und wählen Sie bearbeiten.

  4. Doppelklicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Administrative Vorlagen, doppelklicken Sie auf System, und doppelklicken Sie anschließend auf KDC.

  5. Doppelklicken Sie auf KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht, und wählen Sie neben die Option aktiviert. Sie müssen zum Aktivieren dieser Einstellung zentralen Zugriffsrichtlinien verwenden.

  6. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl:

    gpupdate /force  
    

Erstellen Sie das Unternehmen Anspruchstyp auf contoso.com

Erstellen Sie einen Anspruchstyp mithilfe von Windows PowerShell
  1. Melden Sie sich als Administrator in contoso.com an.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und geben den folgenden Code:

    New-ADClaimType '"SourceTransformPolicy `  
    '"DisplayName 'Company' `  
    '"ID 'ad://ext/Company:ContosoAdatum' `  
    '"IsSingleValued $true `  
    '"ValueType 'string' `  
    

Erstellen der zentralen Zugriffsregel

Zum Erstellen einer zentralen Zugriffsregel
  1. Klicken Sie im linken Bereich des Active Directory-Verwaltungscenters auf Strukturansicht. Klicken Sie im linken Bereich auf dynamische Zugriffssteuerung, und klicken Sie dann auf zentralen Zugriffsregeln.

  2. Mit der rechten Maustaste zentralen Zugriffsregeln, klicken Sie auf neu, und klicken Sie dann zentralen Zugriffsregel.

  3. In den Namen geben AdatumEmployeeAccessRule.

  4. In der Berechtigungen Bereich der verwenden Sie die folgenden Berechtigungen als aktueller Berechtigungen Option, klicken Sie auf bearbeiten, und klicken Sie dann auf hinzufügen. Klicken Sie auf die Prinzipal verknüpfen, geben Sie authentifizierte Benutzer, und klicken Sie dann auf OK.

  5. In der Berechtigungseintrag für Berechtigungen Dialogfeld klicken Sie auf eine Bedingung hinzufügen,, und geben Sie Folgendes ein: [Benutzer] [Unternehmen] [entspricht] [Wert] [Adatum]. Berechtigungen werden sollten ändern, lesen und ausführen, lesen, schreiben.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf OK dreimal zu beenden und zurückkehren zur Active Directory-Verwaltungscenter.

    Handbücher für die LösungWindows PowerShell entspricht Befehle ***

    Die folgenden Windows PowerShell-Cmdlet oder -Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie jedes Cmdlet in einer einzelnen Zeile, auch wenn sie über mehrere Zeilen umgebrochen angezeigt werden möglicherweise aufgrund von formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

    New-ADCentralAccessRule `  
    -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" `  
    -Name:"AdatumEmployeeAccessRule" `  
    -ProposedAcl:$null `  
    -ProtectedFromAccidentalDeletion:$true `  
    -Server:"contoso.com" `  
    

Erstellen Sie die zentrale Zugriffsrichtlinie

Erstellen Sie eine zentrale Zugriffsrichtlinie
  1. Melden Sie sich als Administrator in contoso.com an.

  2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten in Windows PowerShell, und fügen Sie den folgenden Code:

    New-ADCentralAccessPolicy "Adatum Only Access Policy"   
    Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" `  
    -Member "AdatumEmployeeAccessRule" `  
    

Veröffentlichen Sie die neue Richtlinie mithilfe von Gruppenrichtlinien

Die zentrale Zugriffsrichtlinie auf Dateiservern über eine Gruppenrichtlinie angewendet
  1. Auf der Start geben Verwaltung, und in der Suche, klicken Sie auf Einstellungen. In der Einstellungen Ergebnisse zu erzielen, klicken Sie auf Verwaltung. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole aus der Verwaltung Ordner.

    Tipp

    Wenn die anzeigen Verwaltung Einstellung deaktiviert ist, Ordner und sein Inhalt werden nicht angezeigt, der Einstellungen Ergebnisse.

  2. Mit der rechten Maustaste in der Domäne contoso.com, klicken Sie auf ein Gruppenrichtlinienobjekts in dieser Domäne erstellen und verknüpfen Sie es hier

  3. Geben Sie einen beschreibenden Namen für das Gruppenrichtlinienobjekt, z. B. AdatumAccessGPO, und klicken Sie dann auf OK.

Die zentrale Zugriffsrichtlinie auf den Dateiserver über eine Gruppenrichtlinie angewendet
  1. Auf der starten geben die Gruppenrichtlinien-Verwaltungskonsolein der Suche ein. Öffnen die Gruppenrichtlinien-Verwaltungskonsole aus dem Ordner "Verwaltung".

    Tipp

    Wenn die anzeigen Verwaltung Einstellung deaktiviert ist, Ordner und sein Inhalt werden nicht in den Ergebnissen der Einstellungen angezeigt.

  2. Navigieren Sie zu, und wählen Sie die Contoso wie folgt: Group Policy Management\Forest: contoso.com\Domains\ contoso.com.

  3. Mit der rechten Maustaste die AdatumAccessGPO Richtlinie, und wählen Sie bearbeiten.

  4. Im Gruppenrichtlinienverwaltungs-Editor, klicken Sie auf Computerkonfiguration, erweitern Sie Richtlinien, erweitern Sie Windows-Einstellungen, und klicken Sie dann auf Sicherheitseinstellungen.

  5. Erweitern Sie Dateisystem, mit der rechten Maustaste zentralen Zugriffsrichtlinie, und klicken Sie dann auf Verwalten von zentralen Zugriffsrichtlinien.

  6. In der zentralen Richtlinienkonfiguration Dialogfeld, klicken Sie auf hinzufügen, und wählen Sie Adatum nur für den, und klicken Sie dann auf OK.

  7. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor. Sie haben jetzt die zentrale Zugriffsrichtlinie für Gruppenrichtlinien hinzugefügt.

Erstellen Sie die Einnahmen-Ordner auf dem Dateiserver

Erstellen eines neuen NTFS-Volumes auf Datei 1, und erstellen Sie die folgenden Ordner: D:\Earnings.

Hinweis

Zentralen Zugriffsrichtlinien werden nicht standardmäßig auf dem System aktiviert oder Start Volume C:.

Klassifizierung festgelegt, und wenden Sie die zentrale Zugriffsrichtlinie auf den Ordner "Einnahmen"

Die zentrale Zugriffsrichtlinie auf dem Dateiserver zuweisen
  1. Schließen Sie in Hyper-V-Manager an Server Datei 1. Melden Sie sich an den Server mithilfe von Contoso\Administrator, mit dem Kennwort pass@word1.

  2. Öffnen einer Eingabeaufforderung mit erhöhten Rechten, und geben: Gpupdate/force. Dadurch wird sichergestellt, dass die Gruppenrichtlinie Änderungen auf dem Server wirksam werden.

  3. Sie müssen auch die globalen Eigenschaften von Active Directory aktualisieren. Öffnen von Windows PowerShell, Typ Update-FSRMClassificationpropertyDefinition, und drücken Sie dann die EINGABETASTE. Schließen Sie Windows PowerShell.

  4. Öffnen Sie Windows Explorer, und navigieren Sie zu D:\EARNINGS. Mit der rechten Maustaste die Einnahmen Ordner, und klicken Sie auf Eigenschaften.

  5. Klicken Sie auf die Klassifizierung Registerkarte. Wählen Sie Unternehmen, und wählen Sie dann Adatum in die Wert Feld.

  6. Klicken Sie auf ändern, und wählen Sie Adatum nur für den aus dem Dropdownmenü und klicken Sie dann auf übernehmen.

  7. Klicken Sie auf die Sicherheit auf erweitert, und klicken Sie dann auf die zentralen Registerkarte. Sollte die AdatumEmployeeAccessRule aufgeführt. Sie können das Element, um alle Berechtigungen anzuzeigen, die Sie festlegen, wenn Sie die Regel in Active Directory erstellt erweitern.

  8. Klicken Sie auf OK zurückkehren zu Windows-Explorer.

© 2017 Microsoft