Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie opisano kroki tworzenia laboratorium praktycznego w celu przetestowania dynamicznej kontroli dostępu. Instrukcje mają być przestrzegane sekwencyjnie, ponieważ istnieje wiele składników, które mają zależności.
Prerequisites
Wymagania sprzętowe i programowe
Wymagania dotyczące konfigurowania laboratorium testowego:
Serwer hosta z systemem Windows Server 2008 R2 z dodatkiem SP1 i Hyper-V
Kopia iso systemu Windows Server 2012
Kopia iso systemu Windows 8
Microsoft Office 2010
Serwer z programem Microsoft Exchange Server 2003 lub nowszym
Aby przetestować scenariusze dynamicznej kontroli dostępu, należy skompilować następujące maszyny wirtualne:
DC1 (kontroler domeny)
DC2 (kontroler domeny)
FILE1 (serwer plików i usługi Active Directory Rights Management)
SRV1 (serwer POP3 i SMTP)
CLIENT1 (komputer kliencki z programem Microsoft Outlook)
Hasła dla maszyn wirtualnych powinny być następujące:
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
Wszystkie inne konta: pass@word1
Tworzenie maszyn wirtualnych laboratorium testowego
Instalowanie roli Hyper-V
Należy zainstalować rolę Hyper-V na komputerze z systemem Windows Server 2008 R2 z dodatkiem SP1.
Aby zainstalować rolę Hyper-V
Kliknij przycisk Start, a następnie kliknij pozycję Menedżer serwera.
W obszarze Podsumowanie ról okna głównego Menedżera serwera kliknij pozycję Dodaj role.
Na stronie Wybieranie ról serwera kliknij pozycję Hyper-V.
Na stronie Tworzenie sieci wirtualnych kliknij jedną lub więcej kart sieciowych, aby ich połączenie sieciowe było dostępne dla maszyn wirtualnych.
Na stronie Potwierdzanie wyboru instalacji kliknij przycisk Zainstaluj.
Aby ukończyć instalację, należy ponownie uruchomić komputer. Kliknij przycisk Zamknij , aby zakończyć pracę kreatora, a następnie kliknij przycisk Tak , aby ponownie uruchomić komputer.
Po ponownym uruchomieniu komputera zaloguj się przy użyciu tego samego konta, które zostało użyte do zainstalowania roli. Po zakończeniu instalacji Kreatora wznawiania konfiguracji kliknij przycisk Zamknij , aby zakończyć pracę kreatora.
Tworzenie wewnętrznej sieci wirtualnej
Teraz utworzysz wewnętrzną sieć wirtualną o nazwie ID_AD_Network.
Aby utworzyć sieć wirtualną
Otwórz Hyper-V Manager.
W menu Akcje kliknij pozycję Menedżer sieci wirtualnej.
W obszarze Tworzenie sieci wirtualnej wybierz sieć wewnętrzną.
Kliknij przycisk Dodaj. Zostanie wyświetlona strona Nowa sieć wirtualna .
Wpisz ID_AD_Network jako nazwę nowej sieci. Przejrzyj inne właściwości i zmodyfikuj je w razie potrzeby.
Kliknij przycisk OK , aby utworzyć sieć wirtualną i zamknąć Menedżera sieci wirtualnej, lub kliknij przycisk Zastosuj , aby utworzyć sieć wirtualną i kontynuować korzystanie z Menedżera sieci wirtualnej.
Kompilowanie kontrolera domeny
Utwórz maszynę wirtualną, która ma być używana jako kontroler domeny (DC1). Zainstaluj maszynę wirtualną przy użyciu normy ISO systemu Windows Server 2012 i nadaj jej nazwę DC1.
Aby zainstalować usługi Active Directory Domain Services
Połącz maszynę wirtualną z ID_AD_Network. Zaloguj się do kontrolera DC1 jako administrator przy użyciu hasła pass@word1.
W Menedżerze serwera kliknij Zarządzaj, a następnie kliknij Dodaj role i funkcje.
Na stronie Przed rozpoczęciem kliknij przycisk Dalej.
Na stronie Wybierz typ instalacji kliknij pozycję Instalacja oparta na rolach lub oparta na funkcjach, a następnie kliknij przycisk Dalej.
Na stronie Wybieranie serwera docelowego kliknij przycisk Dalej.
Na stronie Wybieranie ról serwera kliknij pozycję Active Directory Domain Services. W oknie dialogowym Kreator dodawania ról i funkcji kliknij Dodaj funkcje, a następnie kliknij Dalej.
Na stronie Wybieranie funkcji kliknij przycisk Dalej.
Na stronie Usługi domenowe Active Directory przejrzyj informacje, a następnie kliknij przycisk Dalej.
Na stronie Potwierdzanie wyboru instalacji kliknij przycisk Zainstaluj. Pasek postępu instalacji funkcji na stronie Wyniki wskazuje, że rola jest instalowana.
Na stronie Wyniki sprawdź, czy instalacja zakończyła się pomyślnie, a następnie kliknij przycisk Zamknij. W Menedżerze serwera kliknij ikonę ostrzeżenia z wykrzyknikiem w prawym górnym rogu ekranu obok pozycji Zarządzaj. Na liście Zadania kliknij link Podwyższ poziom tego serwera do kontrolera domeny .
Na stronie Konfiguracja wdrożenia kliknij pozycję Dodaj nowy las, wpisz nazwę domeny głównej, contoso.com, a następnie kliknij przycisk Dalej.
Na stronie Opcje kontrolera domeny wybierz poziomy funkcjonalności dla domeny i lasu jako Windows Server 2012, ustaw hasło DSRM pass@word1, a następnie kliknij przycisk Dalej.
Na stronie Opcje DNS kliknij przycisk Dalej.
Na stronie Opcje dodatkowe kliknij przycisk Dalej.
Na stronie Ścieżki wpisz lokalizacje bazy danych usługi Active Directory, plików dziennika i folderu SYSVOL (lub zaakceptuj lokalizacje domyślne), a następnie kliknij przycisk Dalej.
Na stronie Przejrzyj opcje potwierdź wybrane opcje, a następnie kliknij przycisk Dalej.
Na stronie Sprawdzanie wymagań wstępnych upewnij się, że weryfikacja wymagań wstępnych została ukończona, a następnie kliknij przycisk Zainstaluj.
Na stronie Wyniki sprawdź, czy serwer został pomyślnie skonfigurowany jako kontroler domeny, a następnie kliknij przycisk Zamknij.
Uruchom ponownie serwer, aby ukończyć instalację usług AD DS. (Domyślnie dzieje się to automatycznie).
Utwórz następujących użytkowników przy użyciu Centrum administracyjnego usługi Active Directory.
Tworzenie użytkowników i grup na dc1
Zaloguj się do contoso.com jako Administrator. Uruchom Centrum administracyjne usługi Active Directory.
Utwórz następujące grupy zabezpieczeń:
Nazwa grupy Adres e-mail FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Utwórz następującą jednostkę organizacyjną (OU):
Nazwa jednostki organizacyjnej Computers FileServerOU FILE1 Utwórz następujących użytkowników ze wskazanymi atrybutami:
User Username Adres e-mail Department Group Country/Region Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com Operations FinanceException US Maira Wenzel MWenzel MWenzel@contoso.com HR US Jeff Low JLow JLow@contoso.com HR US Serwer usługi RMS rms rms@contoso.com Aby uzyskać więcej informacji na temat tworzenia grup zabezpieczeń, zobacz Tworzenie nowej grupy w witrynie sieci Web systemu Windows Server.
Aby utworzyć obiekt zasad grupy
Umieść kursor w prawym górnym rogu ekranu i kliknij ikonę wyszukiwania. W polu Wyszukaj wpisz zarządzanie zasadami grupy, a następnie kliknij pozycję Zarządzanie zasadami grupy.
Rozwiń Las: contoso.com, a następnie rozwiń Domeny, przejdź do contoso.com, rozwiń (contoso.com), a następnie wybierz FileServerOU. Kliknij prawym przyciskiem myszy opcję Utwórz GPO w tej domenie i połącz je tutaj
Wpisz opisową nazwę obiektu zasad grupy, taką jak FlexibleAccessGPO, a następnie kliknij przycisk OK.
Aby włączyć dynamiczną kontrolę dostępu dla contoso.com
Otwórz konsolę zarządzania zasadami grupy, kliknij contoso.com, a następnie kliknij dwukrotnie kontrolery domeny.
Kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj.
W oknie Edytor zarządzania zasadami grupy kliknij dwukrotnie konfiguracja komputera, kliknij dwukrotnie zasady, kliknij dwukrotnie szablony administracyjne, kliknij dwukrotnie system, a następnie kliknij dwukrotnie KDC.
Kliknij dwukrotnie obsługę KDC dla oświadczeń, uwierzytelniania złożonego i zabezpieczenia protokołu Kerberos i wybierz opcję przy Włączone. Należy włączyć to ustawienie, aby używać centralnych zasad dostępu.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
gpupdate /force
Tworzenie serwera plików i serwera usług AD RMS (FILE1)
Skompiluj maszynę wirtualną o nazwie FILE1 z iso systemu Windows Server 2012.
Połącz maszynę wirtualną z ID_AD_Network.
Dołącz maszynę wirtualną do domeny contoso.com, a następnie zaloguj się do pliku FILE1 jako contoso\administrator przy użyciu hasła pass@word1.
Instalowanie Menedżera zasobów usług plików
Aby zainstalować rolę usługi plików i Menedżera zasobów serwera plików
W Menedżerze serwera kliknij pozycję Dodaj role i funkcje.
Na stronie Przed rozpoczęciem kliknij przycisk Dalej.
Na stronie Wybieranie typu instalacji kliknij przycisk Dalej.
Na stronie Wybieranie serwera docelowego kliknij przycisk Dalej.
Na stronie Wybieranie ról serwera rozwiń Usługi plików i magazynowania, zaznacz pole wyboru obok pozycji Usługi plików i iSCSI, rozwiń i wybierz Menedżer zasobów serwera plików.
W Kreatorze dodawania ról i funkcji kliknij przycisk Dodaj funkcje, a następnie kliknij przycisk Dalej.
Na stronie Wybieranie funkcji kliknij przycisk Dalej.
Na stronie Potwierdzanie wyboru instalacji kliknij przycisk Zainstaluj.
Na stronie Postęp instalacji kliknij przycisk Zamknij.
Instalowanie pakietów filtrów pakietu Microsoft Office na serwerze plików
Należy zainstalować pakiety filtrów pakietu Microsoft Office w systemie Windows Server 2012, aby włączyć filtry IFilters dla szerszej gamy plików pakietu Office niż są udostępniane domyślnie. System Windows Server 2012 nie ma żadnych filtrów IFilters dla plików pakietu Microsoft Office zainstalowanych domyślnie, a infrastruktura klasyfikacji plików używa IFilters do przeprowadzania analizy zawartości.
Aby pobrać i zainstalować filtry IFilters, zobacz Pakiety filtrów pakietu Microsoft Office 2010.
Konfigurowanie powiadomień e-mail w pliku FILE1
Podczas tworzenia przydziałów i osłon plików możesz wysyłać powiadomienia e-mail do użytkowników, gdy zbliża się limit przydziału lub po próbie zapisania plików, które zostały zablokowane. Jeśli chcesz regularnie powiadamiać niektórych administratorów o zdarzeniach dotyczących przydziału i filtrowania plików, możesz skonfigurować jednego lub kilku domyślnych odbiorców. Aby wysyłać te powiadomienia, należy określić serwer SMTP, który ma być używany do przekazywania wiadomości e-mail.
Aby skonfigurować opcje poczty e-mail w Menedżerze zasobów serwera plików
Otwórz Menedżera zasobów serwera plików. Aby otworzyć Menedżera zasobów serwera plików, kliknij przycisk Start, wpisz menedżer zasobów serwera plików, a następnie kliknij pozycję Menedżer zasobów serwera plików.
W interfejsie Menedżera zasobów serwera plików kliknij prawym przyciskiem myszy Menedżera zasobów serwera plików, a następnie kliknij polecenie Konfiguruj opcje. Zostanie otwarte okno dialogowe Opcje Menedżera zasobów serwera plików .
Na karcie Powiadomienia e-mail w obszarze Nazwa serwera SMTP lub adres IP wpisz nazwę hosta lub adres IP serwera SMTP, który będzie przekazywać powiadomienia e-mail.
Jeśli chcesz regularnie powiadamiać administratorów o zdarzeniach związanych z limitami lub filtrowaniem plików, w sekcji Domyślni adresaci administratora wpisz każdy adres e-mail, taki jak fileadmin@contoso.com. Użyj formatu account@domain i użyj średników, aby oddzielić wiele kont.
Tworzenie grup w pliku FILE1
Aby utworzyć grupy zabezpieczeń w pliku FILE1
Zaloguj się do pliku FILE1 jako contoso\administrator przy użyciu hasła: pass@word1.
Dodaj NT AUTHORITY\Uwierzytelnieni Użytkownicy do grupy WinRMRemoteWMIUsers__.
Tworzenie plików i folderów w pliku FILE1
Utwórz nowy wolumin NTFS w pliku FILE1, a następnie utwórz następujący folder: D:\Finance Documents.
Utwórz następujące pliki z określonymi szczegółami:
Finance Memo.docx: Dodaj tekst dotyczący finansów w dokumencie. Na przykład "Reguły biznesowe dotyczące tego, kto może uzyskiwać dostęp do dokumentów finansowych, uległy zmianie. Dokumenty finansowe są teraz dostępne tylko przez członków grupy FinanceExpert. Żaden inny dział lub grupy nie mają dostępu". Należy ocenić wpływ tej zmiany przed wdrożeniem jej w środowisku. Upewnij się, że ten dokument ma tekst CONTOSO CONFIDENTIAL jako stopkę na każdej stronie.
Żądanie zatwierdzenia Hire.docx: Utwórz formularz w tym dokumencie, który zbiera informacje wnioskodawcy. Musisz mieć następujące pola w dokumencie: Nazwa wnioskodawcy, Numer ubezpieczenia społecznego, Stanowisko, Proponowane wynagrodzenie, Data rozpoczęcia, Nazwa nadzorcy, Dział. Dodaj dodatkową sekcję w dokumencie zawierającym formularz podpis nadzorcy, zatwierdzoną pensję, zgodność oferty i stan oferty. Włącz zarządzanie prawami do dokumentów.
Word Document1.docx: dodaj do tego dokumentu zawartość testowa.
Word Document2.docx: Dodaj zawartość testowa do tego dokumentu.
Workbook1.xlsx
Workbook2.xlsx
Utwórz folder na pulpicie o nazwie Wyrażenia regularne. Utwórz dokument tekstowy w folderze o nazwie RegEx-SSN. Wpisz następującą zawartość w pliku, a następnie zapisz i zamknij plik: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
Udostępnij folder D:\Finance Documents jako Dokumenty finansowe i zezwól wszystkim na dostęp do odczytu i zapisu w udziale.
Note
Centralne zasady dostępu nie są domyślnie włączone na woluminie systemowym ani rozruchowym C:.
Instalowanie usług Active Directory Rights Management
Dodaj usługi Active Directory Rights Management Services (AD RMS) i wszystkie wymagane funkcje za pośrednictwem Menedżera serwera. Wybierz wszystkie wartości domyślne.
Aby zainstalować usługi Active Directory Rights Management
Zaloguj się do pliku FILE1 jako CONTOSO\Administrator lub jako członek grupy Administratorzy domeny.
Important
Aby zainstalować rolę serwera usług AD RMS, konto instalatora (w tym przypadku CONTOSO\Administrator) będzie musiało mieć członkostwo zarówno w lokalnej grupie Administratorzy na komputerze serwera, na którym mają być zainstalowane usługi AD RMS, a także członkostwo w grupie Administratorzy przedsiębiorstwa w usłudze Active Directory.
W Menedżerze serwera kliknij pozycję Dodaj role i funkcje. Zostanie wyświetlony Kreator dodawania ról i funkcji.
Na ekranie Przed rozpoczęciem kliknij przycisk Dalej.
Na ekranie Wybierz typ instalacji kliknij Instalacja oparta na rolach/funkcjach, a następnie kliknij Dalej.
Na ekranie Select Server Targets (Wybieranie obiektów docelowych serwera ) kliknij przycisk Next (Dalej).
Na ekranie Wybierz role serwera, zaznacz pole obok usług Active Directory Rights Management Services, a następnie kliknij Dalej.
W oknie dialogowym Dodawanie funkcji wymaganych dla usług Active Directory Rights Management? kliknij przycisk Dodaj funkcje.
Na ekranie Wybierz role serwera kliknij Dalej.
Na ekranie Wybieranie funkcji do zainstalowania kliknij przycisk Dalej.
Na ekranie Usługi zarządzania prawami dostępu w usłudze Active Directory kliknij przycisk Dalej.
Na ekranie Wybieranie usług ról kliknij przycisk Dalej.
Na ekranie Rola serwera sieci Web (IIS) kliknij przycisk Dalej.
Na ekranie Wybieranie usług ról kliknij przycisk Dalej.
Na potwierdź wybór instalacji ekranu, kliknij przycisk Zainstaluj.
Po zakończeniu instalacji na ekranie Postęp instalacji kliknij pozycję Wykonaj dodatkową konfigurację. Zostanie wyświetlony Kreator konfiguracji AD RMS.
Na ekranie AD RMS kliknij Dalej.
Na ekranie Klaster usług AD RMS wybierz pozycję Utwórz nowy klaster główny usług AD RMS , a następnie kliknij przycisk Dalej.
Na ekranie Baza danych konfiguracji kliknij pozycję Użyj wewnętrznej bazy danych systemu Windows na tym serwerze, a następnie kliknij przycisk Dalej.
Note
Używanie wewnętrznej bazy danych systemu Windows jest zalecane tylko w środowiskach testowych, ponieważ nie obsługuje więcej niż jednego serwera w klastrze usług AD RMS. Wdrożenia produkcyjne powinny używać oddzielnego serwera bazy danych.
Na ekranie Konto usługi w polu Konto użytkownika domeny kliknij pozycję Określ , a następnie określ nazwę użytkownika (contoso\rms) i hasło (pass@word1), a następnie kliknij przycisk OK, a następnie kliknij przycisk Dalej.
Na ekranie Tryb kryptograficzny kliknij pozycję Tryb kryptograficzny 2.
Na ekranie Przechowywanie kluczy klastra kliknij 'Dalej'.
Na ekranie Hasło klucza klastra w polach Hasło i Potwierdź hasło wpisz pass@word1, a następnie kliknij przycisk Dalej.
Na ekranie Witryna sieci Web klastra upewnij się, że wybrano opcję Domyślna witryna sieci Web , a następnie kliknij przycisk Dalej.
Na ekranie Adres klastra wybierz opcję Użyj nieszyfrowanego połączenia w polu W pełni kwalifikowana nazwa domeny wpisz FILE1.contoso.com, a następnie kliknij przycisk Dalej.
Na ekranie Nazwa certyfikatu licencjodawcy zaakceptuj nazwę domyślną (FILE1) w polu tekstowym i kliknij przycisk Dalej.
Na ekranie Rejestracja SCP wybierz pozycję Zarejestruj SCP teraz, a następnie kliknij Dalej.
Na ekranie Potwierdzenie kliknij przycisk Zainstaluj.
Na ekranie Wyniki kliknij przycisk Zamknij, a następnie kliknij przycisk Zamknij na ekranie Postęp instalacji . Po zakończeniu wyloguj się i zaloguj się ponownie jako użytkownik contoso\rms przy użyciu podanego hasła (pass@word1).
Uruchom konsolę usług AD RMS i przejdź do Szablony zasad praw dostępu.
Aby otworzyć konsolę usług AD RMS, w Menedżerze serwera kliknij pozycję Serwer lokalny w drzewie konsoli, a następnie kliknij pozycję Narzędzia, a następnie kliknij usługi Active Directory Rights Management.
Kliknij szablon Utwórz zasady praw rozproszonych znajdujący się na prawym panelu, kliknij przycisk Dodaj i wybierz następujące informacje:
Język: angielski (US)
Nazwa: Tylko administrator finansowy firmy Contoso
Opis: Tylko administrator finansowy firmy Contoso
Kliknij przycisk Dodaj, a następnie kliknij przycisk Dalej.
W sekcji Użytkownicy i prawa kliknij pozycję Użytkownicy i prawa, kliknij przycisk Dodaj, wpisz financeadmin@contoso.com, a następnie kliknij przycisk OK.
Wybierz Pełna kontrola i pozostaw Udziel właścicielowi (autorowi) pełnej kontroli bez daty wygaśnięcia wybrane.
Kliknij przez pozostałe karty bez wprowadzania zmian, a następnie kliknij Zakończ. Zaloguj się jako CONTOSO\Administrator.
Przejdź do folderu C:\inetpub\wwwroot\_wmcs\certification, wybierz plik ServerCertification.asmx i dodaj uwierzytelnionych użytkowników, aby mieć uprawnienia do odczytu i zapisu do pliku.
Otwórz program Windows PowerShell i uruchom polecenie
Get-FsrmRmsTemplate. Sprawdź, czy możesz zobaczyć szablon usługi RMS utworzony w poprzednich krokach tej procedury za pomocą tego polecenia.
Important
Jeśli chcesz, aby serwery plików natychmiast się zmieniły, aby można je było przetestować, należy wykonać następujące czynności:
Na serwerze plików FILE1 otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenia:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
Na kontrolerze domeny (DC1) zreplikuj usługę Active Directory.
Aby uzyskać więcej informacji na temat kroków wymuszania replikacji usługi Active Directory, zobacz Replikacja usługi Active Directory
Opcjonalnie, zamiast użyć Kreatora dodawania ról i funkcji w Menedżerze serwera, można użyć programu Windows PowerShell do zainstalowania i skonfigurowania roli serwera usług AD RMS, jak pokazano w poniższej procedurze.
Aby zainstalować i skonfigurować klaster usług AD RMS w systemie Windows Server 2012 przy użyciu programu Windows PowerShell
Zaloguj się jako CONTOSO\Administrator przy użyciu hasła: pass@word1.
Important
Aby zainstalować rolę serwera usług AD RMS, konto instalatora (w tym przypadku CONTOSO\Administrator) będzie musiało mieć członkostwo zarówno w lokalnej grupie Administratorzy na komputerze serwera, na którym mają być zainstalowane usługi AD RMS, a także członkostwo w grupie Administratorzy przedsiębiorstwa w usłudze Active Directory.
Na pulpicie serwera kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań i wybierz polecenie Uruchom jako administrator , aby otworzyć monit programu Windows PowerShell z uprawnieniami administracyjnymi.
Aby użyć cmdletów Menedżera serwera do zainstalowania roli serwera AD RMS, wpisz:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementToolsUtwórz jednostkę dyskową programu Windows PowerShell, aby reprezentować instalowany serwer AD RMS.
Aby na przykład utworzyć dysk programu Windows PowerShell o nazwie RC w celu zainstalowania i skonfigurowania pierwszego serwera w klastrze głównym usług AD RMS, wpisz:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootClusterUstaw właściwości obiektów w przestrzeni nazw dysków, które reprezentują wymagane ustawienia konfiguracji.
Aby na przykład ustawić konto usługi AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
$svcacct = Get-CredentialPo wyświetleniu okna dialogowego Zabezpieczenia systemu Windows wpisz nazwę użytkownika domeny konta usługi AD RMS CONTOSO\RMS i przypisane hasło.
Następnie, aby przypisać konto usługi AD RMS do ustawień klastra usług AD RMS, wpisz następujące polecenie:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacctNastępnie, aby ustawić serwer usług AD RMS do używania wewnętrznej bazy danych systemu Windows w wierszu polecenia programu Windows PowerShell, wpisz:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $trueNastępnie, aby bezpiecznie przechowywać hasło klucza klastra w zmiennej, w wierszu polecenia programu Windows PowerShell wpisz:
$password = Read-Host -AsSecureString -Prompt "Password:"Wpisz hasło klucza klastra, a następnie naciśnij ENTER.
Następnie, aby przypisać hasło do instalacji usług AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $passwordNastępnie, aby ustawić adres klastra usług AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"Następnie, aby przypisać nazwę SLC dla instalacji usług AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"Następnie, aby ustawić punkt połączenia usługi (SCP) dla klastra usług AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $trueUruchom cmdlet Install-ADRMS. Oprócz instalowania roli serwera usług AD RMS i konfigurowania serwera to polecenie cmdlet instaluje również inne funkcje wymagane przez usługę AD RMS w razie potrzeby.
Aby na przykład przełączyć się na dysk programu Windows PowerShell o nazwie RC i zainstalować oraz skonfigurować AD RMS, wpisz:
Set-Location RC:\ Install-ADRMS -Path.Wpisz "Y", gdy polecenie cmdlet wyświetli monit o potwierdzenie, że chcesz rozpocząć instalację.
Wyloguj się jako CONTOSO\Administrator i zaloguj się jako CONTOSO\RMS przy użyciu podanego hasła ("pass@word1").
Important
Aby zarządzać serwerem usług AD RMS, konto, do którego się logujesz i którego używasz do zarządzania serwerem (w tym przypadku CONTOSO\RMS), musi mieć członkostwo w lokalnej grupie Administratorzy na komputerze serwera usług AD RMS oraz w grupie Enterprise Admins w usłudze Active Directory.
Na pulpicie serwera kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań i wybierz polecenie Uruchom jako administrator , aby otworzyć monit programu Windows PowerShell z uprawnieniami administracyjnymi.
Utwórz napęd programu Windows PowerShell do reprezentowania konfigurowanego serwera AD RMS.
Aby na przykład utworzyć dysk programu Windows PowerShell o nazwie RC w celu skonfigurowania klastra głównego usług AD RMS, wpisz:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope GlobalAby utworzyć nowy szablon praw dla administratora finansów firmy Contoso i przypisać mu prawa użytkownika z pełną kontrolą w instalacji usług AD RMS, w wierszu polecenia programu Windows PowerShell wpisz:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')Aby sprawdzić, czy nowy szablon praw dla administratora finansów firmy Contoso jest widoczny w wierszu polecenia programu Windows PowerShell:
Get-FsrmRmsTemplatePrzejrzyj dane wyjściowe tego cmdlet, aby potwierdzić, że szablon RMS utworzony w poprzednim kroku jest obecny.
Kompilowanie serwera poczty (SRV1)
SRV1 jest serwerem poczty SMTP/POP3. Należy go skonfigurować, aby można było wysyłać powiadomienia e-mail w ramach scenariusza pomocy Access-Denied.
Skonfiguruj program Microsoft Exchange Server na tym komputerze. Aby uzyskać więcej informacji, zobacz How to Install Exchange Server (Jak zainstalować program Exchange Server).
Tworzenie maszyny wirtualnej klienta (CLIENT1)
Aby zbudować maszynę wirtualną klienta
Połącz CLIENT1 z ID_AD_Network.
Zainstaluj pakiet Microsoft Office 2010.
Zaloguj się jako Contoso\Administrator i skorzystaj z poniższych informacji, aby skonfigurować program Microsoft Outlook.
Twoje imię i nazwisko: Administrator plików
Adres e-mail: fileadmin@contoso.com
Typ konta: POP3
Serwer poczty przychodzącej: statyczny adres IP serwera SRV1
Wychodzący serwer poczty: statyczny adres IP serwera SRV1
Nazwa użytkownika: fileadmin@contoso.com
Zapamiętaj hasło: Wybierz
Utwórz skrót do programu Outlook na pulpicie contoso\administrator.
Otwórz program Outlook i zajmij się wszystkimi komunikatami 'podczas pierwszego uruchomienia'.
Usuń wszystkie wygenerowane komunikaty testowe.
Utwórz nowy skrót na pulpicie dla wszystkich użytkowników na maszynie wirtualnej klienta, który prowadzi do \\FILE1\Finance Documents.
Uruchom ponownie zgodnie z potrzebami.
Włącz wsparcie Access-Denied na maszynie wirtualnej klienta
Otwórz Edytor rejestru i przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Ustaw EnableShellExecuteFileStreamCheck na 1.
Wartość: DWORD
Konfiguracja laboratorium na potrzeby wdrażania oświadczeń w scenariuszu lasów
Tworzenie maszyny wirtualnej dla kontrolera DC2
Utwórz maszynę wirtualną z obrazu ISO systemu Windows Server 2012.
Utwórz nazwę maszyny wirtualnej jako DC2.
Połącz maszynę wirtualną z ID_AD_Network.
Important
Dołączanie maszyn wirtualnych do domeny oraz wdrażanie typów roszczeń w lasach wymaga, aby maszyny wirtualne mogły rozpoznawać pełne nazwy domen (FQDN) odpowiednich domen. W tym celu może być konieczne ręczne skonfigurowanie ustawień DNS na maszynach wirtualnych. Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci wirtualnej.
Wszystkie obrazy maszyn wirtualnych (serwery i klienci) muszą zostać ponownie skonfigurowane, aby używać statycznego adresu IP w wersji 4 (IPv4) i ustawień klienta systemu nazw domen (DNS). Aby uzyskać więcej informacji, zobacz Konfigurowanie klienta DNS dla statycznego adresu IP.
Skonfiguruj nowy las o nazwie adatum.com
Aby zainstalować usługi Active Directory Domain Services
Połącz maszynę wirtualną z ID_AD_Network. Zaloguj się do kontrolera DC2 jako administrator przy użyciu hasła Pass@word1.
W Menedżerze serwera kliknij Zarządzaj, a następnie kliknij Dodaj role i funkcje.
Na stronie Przed rozpoczęciem kliknij przycisk Dalej.
Na stronie Wybieranie typu instalacji kliknij pozycję Instalacja oparta na rolach lub oparta na funkcjach, a następnie kliknij przycisk Dalej.
Na stronie Wybierz serwer docelowy kliknij pozycję Wybierz serwer z puli serwerów, kliknij nazwy serwera, na którym chcesz zainstalować usługi Active Directory Domain Services (AD DS), a następnie kliknij przycisk Dalej.
Na stronie Wybieranie ról serwera kliknij pozycję Usługi domenowe Active Directory. W oknie dialogowym Kreator dodawania ról i funkcji kliknij Dodaj funkcje, a następnie kliknij Dalej.
Na stronie Wybieranie funkcji kliknij przycisk Dalej.
Na stronie usług AD DS przejrzyj informacje, a następnie kliknij przycisk Dalej.
Na stronie Potwierdzenie kliknij Zainstaluj. Pasek postępu instalacji funkcji na stronie Wyniki wskazuje, że rola jest instalowana.
Na stronie Wyniki sprawdź, czy instalacja zakończyła się pomyślnie, a następnie kliknij ikonę ostrzeżenia z wykrzyknikiem w prawym górnym rogu ekranu obok pozycji Zarządzaj. Na liście Zadania kliknij link Podwyższ poziom tego serwera do kontrolera domeny .
Important
Jeśli w tym momencie zamkniesz kreatora instalacji zamiast klikać Podwyższ poziom tego serwera do kontrolera domeny, możesz kontynuować instalację usług AD DS, klikając pozycję Zadania w Menedżerze serwera.
Na stronie Konfiguracja wdrożenia kliknij pozycję Dodaj nowy las, wpisz nazwę domeny głównej, adatum.com, a następnie kliknij przycisk Dalej.
Na stronie Opcje kontrolera domeny wybierz poziomy funkcjonalności dla domeny i lasu jako Windows Server 2012, ustaw hasło DSRM pass@word1, a następnie kliknij przycisk Dalej.
Na stronie Opcje DNS kliknij przycisk Dalej.
Na stronie Opcje dodatkowe kliknij przycisk Dalej.
Na stronie Ścieżki wpisz lokalizacje bazy danych usługi Active Directory, plików dziennika i folderu SYSVOL (lub zaakceptuj lokalizacje domyślne), a następnie kliknij przycisk Dalej.
Na stronie Przejrzyj opcje potwierdź wybrane opcje, a następnie kliknij przycisk Dalej.
Na stronie Sprawdzanie wymagań wstępnych upewnij się, że weryfikacja wymagań wstępnych została ukończona, a następnie kliknij przycisk Zainstaluj.
Na stronie Wyniki sprawdź, czy serwer został pomyślnie skonfigurowany jako kontroler domeny, a następnie kliknij przycisk Zamknij.
Uruchom ponownie serwer, aby ukończyć instalację usług AD DS. (Domyślnie dzieje się to automatycznie).
Important
Aby upewnić się, że sieć jest prawidłowo skonfigurowana, po skonfigurowaniu obu lasów należy wykonać następujące czynności:
- Zaloguj się do adatum.com jako adatum\administrator. Otwórz okno wiersza polecenia, wpisz nslookup contoso.com, a następnie naciśnij ENTER.
- Zaloguj się do contoso.com jako contoso\administrator. Otwórz okno wiersza polecenia, wpisz nslookup adatum.com, a następnie naciśnij ENTER.
Jeśli te polecenia są wykonywane bez błędów, lasy mogą komunikować się ze sobą. Aby uzyskać więcej informacji na temat błędów nslookup, zobacz sekcję rozwiązywania problemów w temacie Using NSlookup.exe
Ustaw contoso.com jako las oparty na zaufaniu dla adatum.com
W tym kroku utworzysz relację zaufania między witryną firmy Adatum Corporation a witryną Contoso, Ltd.
Aby ustawić firmę Contoso jako zaufany las dla Adatum
Zaloguj się do DC2 jako administrator. Na ekranie startowym wpisz domain.msc.
W drzewie konsoli kliknij prawym przyciskiem myszy adatum.com, a następnie kliknij polecenie Właściwości.
Na karcie Zaufania kliknij pozycję Nowe zaufanie, a następnie kliknij przycisk Dalej.
Na stronie Nazwa zaufania wpisz contoso.com w polu Nazwa domeny (DNS), a następnie kliknij przycisk Dalej.
Na stronie Typ zaufania kliknij Forest Trust, a następnie kliknij Dalej.
Na stronie Kierunek zaufania kliknij pozycję Dwukierunkowe.
Na stronie Strony zaufania kliknij pozycję Zarówno ta domena, jak i określona domena, a następnie kliknij przycisk Dalej.
Postępuj zgodnie z instrukcjami w kreatorze.
Tworzenie dodatkowych użytkowników w lesie Adatum
Utwórz użytkownika Jeff Low z hasłem pass@word1 i przypisz atrybut firmy z wartością Adatum.
Aby utworzyć użytkownika za pomocą atrybutu Company
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień w programie Windows PowerShell i wklej następujący kod:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Utwórz typ oświadczenia firmy na stronie adataum.com
Aby utworzyć typ roszczenia za pomocą Windows PowerShell
Zaloguj się do adatum.com jako administrator.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień w programie Windows PowerShell i wpisz następujący kod:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Włączanie właściwości zasobu firmy na contoso.com
Aby włączyć właściwość zasobów firmy na contoso.com
Zaloguj się do contoso.com jako administrator.
W Menedżerze serwera kliknij pozycję Narzędzia, a następnie kliknij pozycję Centrum administracyjne usługi Active Directory.
W lewym okienku Centrum administracyjne usługi Active Directory kliknij pozycję Widok drzewa. W okienku po lewej stronie kliknij pozycję Dynamiczna kontrola dostępu, a następnie kliknij dwukrotnie pozycję Właściwości zasobu.
Wybierz pozycję Firma z listy Właściwości zasobów , kliknij prawym przyciskiem myszy i wybierz pozycję Właściwości. W sekcji Sugerowane wartości kliknij przycisk Dodaj , aby dodać sugerowane wartości: Contoso i Adatum, a następnie kliknij dwukrotnie przycisk OK .
Wybierz pozycję Firma z listy Właściwości zasobów , kliknij prawym przyciskiem myszy i wybierz pozycję Włącz.
Włączanie dynamicznej kontroli dostępu w adatum.com
Aby włączyć dynamiczną kontrolę dostępu dla adatum.com
Zaloguj się do adatum.com jako administrator.
Otwórz konsolę zarządzania zasadami grupy, kliknij adatum.com, a następnie kliknij dwukrotnie kontrolery domeny.
Kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj.
W oknie Edytor zarządzania zasadami grupy kliknij dwukrotnie konfiguracja komputera, kliknij dwukrotnie zasady, kliknij dwukrotnie szablony administracyjne, kliknij dwukrotnie system, a następnie kliknij dwukrotnie KDC.
Kliknij dwukrotnie obsługę KDC dla oświadczeń, uwierzytelniania złożonego i zabezpieczenia protokołu Kerberos i wybierz opcję przy Włączone. Należy włączyć to ustawienie, aby używać centralnych zasad dostępu.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
gpupdate /force
Utwórz typ oświadczenia Firmy na contoso.com
Aby utworzyć typ roszczenia za pomocą Windows PowerShell
Zaloguj się do contoso.com jako administrator.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień w programie Windows PowerShell, a następnie wpisz następujący kod:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Tworzenie centralnej reguły dostępu
Aby utworzyć centralną regułę dostępu
W lewym okienku Centrum administracyjne usługi Active Directory kliknij pozycję Widok drzewa. W okienku po lewej stronie kliknij pozycję Dynamiczna kontrola dostępu, a następnie kliknij pozycję Centralne reguły dostępu.
Kliknij prawym przyciskiem myszy reguły dostępu centralnego, kliknij Nowy, a następnie reguła dostępu centralnego.
W polu Nazwa wpisz AdatumEmployeeAccessRule.
W sekcji Uprawnienia wybierz opcję Użyj następujących uprawnień jako bieżące uprawnienia , kliknij pozycję Edytuj, a następnie kliknij przycisk Dodaj. Kliknij Wybierz jednostkę, wpisz Uwierzytelnieni użytkownicy, a następnie kliknij OK.
W oknie dialogowym Wpis Uprawnień dla Uprawnień kliknij Dodaj warunek i wprowadź następujące warunki: [Użytkownik] [Firma] [Równe] [Wartość] [Adatum]. Uprawnienia powinny obejmować: Modyfikowanie, Odczytywanie i Wykonywanie, Odczytywanie, Zapisywanie.
Kliknij przycisk OK.
Kliknij przycisk OK trzy razy, aby zakończyć i wrócić do Centrum administracyjnego usługi Active Directory.
Przewodniki rozwiązań
polecenia równoważne programu Windows PowerShellNastępujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Tworzenie centralnych zasad dostępu
Aby utworzyć centralne zasady dostępu
Zaloguj się do contoso.com jako administrator.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień w programie Windows PowerShell, a następnie wklej następujący kod:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Publikowanie nowych zasad za pomocą zasad grupy
Aby zastosować centralną politykę dostępu na serwerach plików za pomocą zasad grupy
Na start ekranu, wpisz Narzędzia administracyjne, a na pasku wyszukiwania kliknij pozycję Ustawienia. W wynikach Ustawienia kliknij pozycję Narzędzia administracyjne. Otwórz konsolę zarządzania zasadami grupy z folderu Narzędzia administracyjne .
Tip
Jeśli ustawienie Pokaż narzędzia administracyjne jest wyłączone, folder Narzędzia administracyjne i jego zawartość nie będą wyświetlane w wynikach Ustawienia .
Kliknij prawym przyciskiem myszy domenę contoso.com, kliknij pozycję Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj
Wpisz opisową nazwę obiektu zasad grupy, taką jak AdatumAccessGPO, a następnie kliknij przycisk OK.
Aby zastosować centralną politykę dostępu do serwera plików za pomocą zasad Grupowych.
Na ekranie Start, wpisz Zarządzanie zasadami grupy w polu Wyszukiwanie. Otwórz przystawkę Zarządzanie zasadami grupy z folderu Narzędzia administracyjne.
Tip
Jeśli ustawienie Pokaż narzędzia administracyjne jest wyłączone, folder Narzędzia administracyjne i jego zawartość nie będą wyświetlane w wynikach Ustawienia.
Aby przejść do i wybrać pozycję Contoso, wykonaj następujące kroki: Zarządzanie zasadami grupy\Las: contoso.com\Domeny\contoso.com.
Kliknij prawym przyciskiem myszy politykę AdatumAccessGPO, a następnie wybierz Edytuj.
W Edytorze zarządzania zasadami grupy kliknij pozycję Konfiguracja komputera, rozwiń węzeł Zasady, rozwiń węzeł Ustawienia systemu Windows, a następnie kliknij pozycję Ustawienia zabezpieczeń.
Rozwiń węzeł System plików, kliknij prawym przyciskiem myszy pozycję Centralne zasady dostępu, a następnie kliknij pozycję Zarządzaj centralnymi zasadami dostępu.
W oknie dialogowym Centralnej Konfiguracji Zasad Dostępu, kliknij Dodaj, wybierz Zasady Dostępu Tylko Adatum, a następnie kliknij OK.
Zamknij Edytor zarządzania zasadami grupy. Teraz dodano centralną politykę dostępu do zasad grupy.
Utwórz folder Zarobki na serwerze plików
Utwórz nowy wolumin NTFS w pliku FILE1 i utwórz następujący folder: D:\Zarobki.
Note
Centralne zasady dostępu nie są domyślnie włączone na woluminie systemowym ani rozruchowym C:.
Ustawianie klasyfikacji i stosowanie centralnych zasad dostępu w folderze Zarobki
Aby przypisać centralną politykę dostępu do serwera plików
W Hyper-V Manager połącz się z serwerem FILE1. Zaloguj się do serwera przy użyciu konta Contoso\Administrator z hasłem pass@word1.
Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz: gpupdate /force. Zapewni to, że zmiany zasad grupy zostaną wprowadzone na serwerze.
Należy również odświeżyć właściwości zasobów globalnych z usługi Active Directory. Otwórz program Windows PowerShell, wpisz
Update-FSRMClassificationpropertyDefinition, a następnie naciśnij ENTER. Zamknij program Windows PowerShell.Otwórz Eksploratora Windows i przejdź do folderu D:\EARNINGS. Kliknij prawym przyciskiem myszy folder Zarobki , a następnie kliknij polecenie Właściwości.
Kliknij kartę Klasyfikacja . Wybierz pozycję Firma, a następnie wybierz pozycję Adatum w polu Wartość .
Kliknij przycisk Zmień, wybierz pozycję Zasady dostępu tylko Adatum z menu rozwijanego, a następnie kliknij przycisk Zastosuj.
Kliknij kartę Zabezpieczenia , kliknij pozycję Zaawansowane, a następnie kliknij kartę Centralne zasady . Powinien zostać wyświetlony element AdatumEmployeeAccessRule . Możesz rozwinąć element, aby wyświetlić wszystkie uprawnienia ustawione podczas tworzenia reguły w usłudze Active Directory.
Kliknij przycisk OK , aby powrócić do Eksploratora Windows.