TechNet
Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Para visualizar o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto Em inglês em uma janela pop-up, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Implantar declarações entre florestas (passo a passo)

 

Aplica-se a: Windows Server 2012

Neste tópico, abordaremos um cenário básico que explica como configurar a transformação de declarações entre florestas confiáveis e confiantes. Você aprenderá como objetos de diretiva de transformação de declarações podem ser criados e vinculados a relação de confiança da floresta confiante e a floresta confiável. Em seguida, você validará o cenário.

Adatum Corporation fornece serviços financeiros para a Contoso, Ltd. Cada trimestre, Adatum contadores copiar suas planilhas de conta para uma pasta em um servidor de arquivos localizado na Contoso, Ltd. Há uma relação de confiança bidirecional configurar da Contoso adatum. A Contoso, Ltd. deseja proteger o compartilhamento para que apenas Adatum funcionários possam acessar o compartilhamento remoto.

Neste cenário:

  1. Configurar os pré-requisitos e o ambiente de teste

  2. Configurar a transformação de declarações na floresta confiável (Adatum)

  3. Configurar a transformação de declarações na floresta confiante (Contoso)

  4. Validar o cenário

A configuração de teste envolve configurar duas florestas: Adatum Corporation e a Contoso, Ltd e ter uma relação de confiança bidirecional entre a Contoso e Adatum. "adatum.com" é a floresta confiável e "contoso.com" é a floresta confiante.

O cenário de transformação de declarações demonstra a transformação de uma declaração na floresta confiável para uma declaração na floresta confiante. Para fazer isso, você precisa configurar uma nova floresta chamada adatum.com e preencher a floresta com um usuário de teste com o valor da empresa "Adatum". Em seguida, você precisa configurar uma relação de confiança bidirecional entre contoso.com e adatum.com.

System_CAPS_importantImportante

Ao configurar as florestas Contoso e Adatum, certifique-se de que ambos os os domínios raiz estão no Windows Server 2012 nível funcional do domínio para a transformação de declarações para trabalhar.

Você precisa configurar o seguinte para o laboratório. Esses procedimentos são explicados em detalhes em Apêndice B: configuração do ambiente de teste

Você precisa implementar os procedimentos a seguir para configurar o laboratório para este cenário:

  1. Definir Adatum como floresta confiável para a Contoso

  2. Crie o tipo de declaração Empresa no contoso.com

  3. Habilitar a propriedade de recurso Empresa no contoso.com

  4. Criar a regra de acesso central

  5. Criar a política de acesso central

  6. Publicar a nova política por meio da Política de Grupo

  7. Crie a pasta Ganhos no servidor de arquivos

  8. Definir a classificação e aplicar a política de acesso central à pasta Ganhos

Use as informações a seguir para concluir este cenário:

Objetos

Detalhes

Usuários

Jeff Low, Contoso

Declarações de usuário em Adatum e Contoso

ID: ad: / / ext/ContosoAdatum: empresa,

Atributo de origem: empresa

Valores sugeridos: Contoso, Adatum

System_CAPS_importantImportante

Você deve definir a ID de "Empresa" tipo de declaração no Contoso e Adatum para ser o mesmo para a transformação de declarações para trabalhar.

Regra de acesso central na Contoso

AdatumEmployeeAccessRule

Política de acesso central na Contoso

Política de acesso somente adatum

Políticas de transformação de declarações em Adatum e Contoso

Empresa DenyAllExcept

Pasta de arquivos na Contoso

D:\EARNINGS

Nesta etapa, você criar uma política de transformação Adatum negar todas as declarações, exceto "Empresa" para passar para a Contoso.

O módulo do Active Directory para o Windows PowerShell fornece o DenyAllExcept argumento, que descarta tudo, exceto as declarações especificadas na diretiva de transformação.

Para configurar uma transformação de declarações, você precisa criar uma política de transformação de declarações e vinculá-lo entre as florestas confiáveis e não confiáveis.

Para criar uma política de transformação Adatum negar todas as declarações exceto "Empresa"

  1. Entrar para o controlador de domínio adatum.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando elevado no Windows PowerShell e digite o seguinte:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except Company"`
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"adatum.com" `
    
    

Nesta etapa, você aplicar a política de transformação de declarações recém-criado no objeto de domínio de confiança da Adatum da Contoso.

Para aplicar a diretiva de transformação de declarações

  1. Entrar para o controlador de domínio adatum.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando elevado no Windows PowerShell e digite o seguinte:

    
                        Set-ADClaimTransformLink `
    -Identity:"contoso.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    –TrustRole:Trusted `
    
    

Nesta etapa, você cria uma política de transformação de declarações na Contoso (a floresta confiante) para negar todas as declarações exceto "Empresa". Você precisa criar uma política de transformação de declarações e vinculá-lo para a relação de confiança de floresta.

Para criar uma política de transformação Adatum negar tudo, exceto "Empresa"

  1. Entrar para o controlador de domínio contoso.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando elevado no Windows PowerShell e digite o seguinte:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except company" `
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"contoso.com" `
    
    
    

Nesta etapa, você aplica o recém-criado política de transformação de declarações no objeto de domínio de confiança de contoso.com para Adatum permitir "Empresa" ser passado para contoso.com. O objeto de confiança de domínio é denominado adatum.com.

Para definir as declarações de política de transformação

  1. Entrar para o controlador de domínio contoso.com como administrador com a senha pass@word1.

  2. Abra um prompt de comando elevado no Windows PowerShell e digite o seguinte:

    
                        Set-ADClaimTransformLink 
    -Identity:"adatum.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    –TrustRole:Trusting `
    
    
    

Nesta etapa, você tentar acessar a pasta D:\EARNINGS que foi configurada no servidor de arquivos FILE1 para validar que o usuário tem acesso à pasta compartilhada.

Para garantir que o usuário Adatum pode acessar a pasta compartilhada

  1. Máquina de entrada para o cliente, CLIENT1 como Jeff Low com a senha pass@word1.

  2. Navegue até a pasta \\FILE1.contoso.com\Earnings.

  3. Jeff Low deve ser capaz de acessar a pasta.

A seguir está uma lista de casos comuns adicionais na transformação de declarações.

Cenário

Política

Permitir que todas as declarações que vêm de Adatum passar pela Contoso adatum

New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to allow all claims" `
-Name:"AllowAllClaimsPolicy" `
-AllowAll `
-Server:"contoso.com" `

Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `

Negar todas as declarações que vêm de Adatum passar pela Contoso adatum

New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims" `
-Name:"DenyAllClaimsPolicy" `
-DenyAll `
-Server:"contoso.com" `

Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`

Permitir que todas as declarações que vêm de Adatum exceto "Empresa" e "Departamento" passar pela Contoso adatum

New-ADClaimTransformationPolicy `
-Description:"Claims transformation policy to allow all claims except company and department" `
-Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-AllowAllExcept:company,department `
-Server:"contoso.com" `

Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `


Mostrar:
© 2016 Microsoft