Wdrażanie centralnych zasad dostępu (demonstracyjne kroki)

W tym scenariuszu dział zabezpieczeń działu finansowego współpracuje z centralnymi zabezpieczeniami informacji w celu określenia potrzeby centralnych zasad dostępu, aby mogły chronić zarchiwizowane informacje finansowe przechowywane na serwerach plików. Zarchiwizowane informacje finansowe z każdego kraju mogą być dostępne tylko do odczytu dla pracowników finansowych z tego samego kraju. Centralna grupa administratorów finansów może uzyskać dostęp do informacji finansowych ze wszystkich krajów.

Wdrażanie centralnych zasad dostępu obejmuje następujące etapy:

Konfigurowanie środowiska testowego

Przed rozpoczęciem należy skonfigurować laboratorium, aby przetestować ten scenariusz. Kroki konfigurowania laboratorium zostały szczegółowo wyjaśnione w Dodatku B: Konfigurowanie środowiska testowego.

Planowanie: Zidentyfikuj potrzebę zasad i konfiguracji wymaganej do wdrożenia

Ta sekcja zawiera serię kroków wysokiego poziomu, które pomagają w fazie planowania wdrożenia.

Implementowanie: konfigurowanie składników i zasad

W tej sekcji przedstawiono przykład, w którym wdrażane są centralne zasady dostępu do dokumentów finansowych.

W poniższej procedurze utworzysz dwa typy oświadczeń: Kraj i Dział.

Aby utworzyć typy oświadczeń

1. Otwórz serwer DC1 w menedżerze Hyper-V i zaloguj się jako contoso\administrator przy użyciu hasła pass@word1.

2. Otwórz Centrum administracyjne usługi Active Directory.

3. Kliknij ikonę Widok drzewa, rozwiń węzeł Dynamiczna kontrola dostępu, a następnie wybierz pozycję Typy oświadczeń.

   Kliknij prawym przyciskiem myszy pozycję Typy oświadczeń, kliknij pozycję Nowy, a następnie kliknij pozycję Typ oświadczenia.

   Tip

   Możesz również otworzyć okno Utwórz typ oświadczenia: z okienka Zadania . W okienku Zadania kliknij pozycję Nowy, a następnie kliknij pozycję Typ oświadczenia.

4. Na liście Atrybut źródłowy przewiń listę atrybutów i kliknij pozycję dział. Powinno to wypełnić pole Nazwa wyświetlanadziałem. Kliknij przycisk OK.

5. W okienku Zadania kliknij pozycję Nowy, a następnie kliknij pozycję Typ oświadczenia.

6. Na liście Atrybut źródłowy przewiń w dół listę atrybutów, a następnie kliknij atrybut c (Country-Name). W polu Nazwa wyświetlana wpisz kraj.

7. W sekcji Sugerowane wartości wybierz sugerowane następujące wartości: a następnie kliknij przycisk Dodaj.

8. W polach Wartość i Nazwa wyświetlana wpisz US, a następnie kliknij przycisk OK.

9. Powtórz powyższy krok. W oknie dialogowym Dodawanie sugerowanej wartości wpisz JP w polach Wartość i Nazwa wyświetlana, a następnie kliknij przycisk OK.

równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

Następnym krokiem jest utworzenie właściwości zasobu. W poniższej procedurze zostanie utworzona właściwość zasobu, która zostanie automatycznie dodana do listy Globalne właściwości zasobów na kontrolerze domeny, dzięki czemu będzie dostępna dla serwera plików.

Aby utworzyć i włączyć wstępnie utworzone właściwości zasobu

1. W lewym okienku Centrum administracyjne usługi Active Directory kliknij pozycję Widok drzewa. Rozwiń Dynamic Access Control, a następnie wybierz właściwości zasobu.

2. Kliknij prawym przyciskiem myszy właściwości zasobu, kliknij przycisk Nowy, a następnie kliknij pozycję Odwołanie właściwości zasobu.

   Tip

   Możesz również wybrać właściwość zasobu w okienku Zadania . Kliknij przycisk Nowy , a następnie kliknij pozycję Odwołanie właściwości zasobu.

3. W obszarze Wybierz typ oświadczenia, aby udostępnić listę wartości sugerowanych kliknij pozycję kraj.

4. W polu Nazwa wyświetlana wpisz kraj, a następnie kliknij przycisk OK.

5. Kliknij dwukrotnie listę Właściwości zasobów , przewiń w dół do właściwości zasobu Dział . Kliknij prawym przyciskiem myszy, a następnie kliknij przycisk Włącz. Spowoduje to włączenie wbudowanej właściwości zasobu Dział .

6. Na liście Właściwości zasobu w okienku nawigacji Centrum administracyjnego usługi Active Directory będą teraz dostępne dwie właściwości zasobu z włączoną obsługą:

   • Country

   • Department

równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

Następnym krokiem jest utworzenie centralnych reguł dostępu, które określają, kto może uzyskiwać dostęp do zasobów. W tym scenariuszu reguły biznesowe są następujące:

• Dokumenty finansowe mogą być odczytywane tylko przez członków działu finansowego.

• Pracownicy działu finansowego mają dostęp tylko do dokumentów znajdujących się w ich własnym kraju.

• Tylko administratorzy finansów mogą mieć dostęp do zapisu.

• Zezwalamy na wyjątek dla członków grupy FinanceException. Ta grupa będzie miała dostęp do odczytu.

• Administrator i właściciel dokumentu nadal będą mieli pełny dostęp.

Aby wyrazić reguły za pomocą konstrukcji systemu Windows Server 2012:

Określanie wartości docelowej: Resource.Department zawiera finanse

Reguły dostępu:

• Zezwalaj na odczyt User.Country=Resource.Country AND User.department = Resource.Department

• Zezwalaj na pełną kontrolę User.MemberOf(FinanceAdmin)

• Zezwalaj na odczyt User.MemberOf(FinanceException)

Aby utworzyć centralną regułę dostępu

1. W lewym okienku Centrum administracyjnego usługi Active Directory kliknij pozycję Widok drzewa, wybierz pozycję Dynamiczna kontrola dostępu, a następnie kliknij pozycję Centralne reguły dostępu.

2. Kliknij prawym przyciskiem myszy pozycję Centralne reguły dostępu, kliknij polecenie Nowy, a następnie kliknij polecenie Centralna reguła dostępu.

3. W polu Nazwa wpisz Reguła dokumentów finansowych.

4. W sekcji Zasoby docelowe kliknij pozycję Edytuj, a następnie w oknie dialogowym Central Access Rule (Reguła dostępu centralnego ) kliknij przycisk Add a condition (Dodaj warunek). Dodaj następujący warunek: [Zasób] [Dział] [Równa się] [Wartość] [Finanse], a następnie kliknij przycisk OK.

5. W sekcji Uprawnienia wybierz pozycję Użyj następujących uprawnień jako bieżących uprawnień, kliknij przycisk Edytuj, a następnie w oknie dialogowym Zaawansowane ustawienia zabezpieczeń dla uprawnień kliknij przycisk Dodaj.

   Note

   Użyj następujących uprawnień jako opcji proponowanych uprawnień , które umożliwiają utworzenie zasad w przemieszczaniu. Aby uzyskać więcej informacji na temat tego, jak to zrobić, zapoznaj się z sekcją Utrzymywanie: zmiana i przygotowanie zasad w tym temacie.

6. W oknie dialogowym Wpis uprawnienia dla uprawnień kliknij pozycję Wybierz podmiot zabezpieczeń, wpisz Uwierzytelnieni użytkownicy, a następnie kliknij przycisk OK.

7. W oknie dialogowym Wpis uprawnień dla uprawnień kliknij pozycję Dodaj warunek, a następnie dodaj następujące warunki: [Użytkownik] [kraj] [Dowolne] [Zasób] [kraj] Kliknij przycisk Dodaj warunek. [I] Kliknij pozycję [Użytkownik] [Dział] [Dowolny] [Zasób] [Dział]. Ustaw pozycję Uprawnienia do odczytu.

8. Kliknij przycisk OK, a następnie kliknij przycisk Dodaj. Kliknij pozycję Wybierz podmiot zabezpieczeń, wpisz FinanceAdmin, a następnie kliknij przycisk OK.

9. Wybierz uprawnienia Modyfikuj, Odczyt i Wykonanie, Odczyt, Zapis, a następnie kliknij przycisk OK.

10. Kliknij przycisk Dodaj, kliknij pozycję Wybierz podmiot zabezpieczeń, wpisz FinanceException, a następnie kliknij przycisk OK. Wybierz uprawnienia do odczytu i odczytu i wykonywania.

11. Kliknij przycisk OK trzy razy, aby zakończyć i wrócić do Centrum administracyjnego usługi Active Directory.

równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

Teraz powinna istnieć centralna reguła dostępu, która umożliwia użytkownikom dostęp do dokumentów z tego samego kraju i tego samego działu. Reguła zezwala grupie FinanceAdmin na edytowanie dokumentów, a grupie FinanceException na odczytywanie dokumentów. Ta reguła dotyczy tylko dokumentów sklasyfikowanych jako Finanse.

Aby dodać centralną regułę dostępu do centralnej zasady dostępu

1. W lewym okienku Centrum administracyjnego usługi Active Directory kliknij pozycję Dynamiczna kontrola dostępu, a następnie kliknij pozycję Centralne zasady dostępu.

2. W okienku Zadania kliknij pozycję Nowy, a następnie kliknij pozycję Centralne zasady dostępu.

3. W polu Create Central Access Policy (Utwórz centralne zasady dostępu) wpisz Finance Policy (Zasady finansowe ) w polu Name (Nazwa ).

4. W obszarze Reguły dostępu do centrum członkowskiego kliknij przycisk Dodaj.

5. Kliknij dwukrotnie regułę dokumentów finansowych, aby dodać ją do listy Dodaj następujące centralne reguły dostępu , a następnie kliknij przycisk OK.

6. Kliknij przycisk OK , aby zakończyć. Teraz powinna istnieć centralna zasada dostępu o nazwie Zasady finansowe.

równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

Aby zastosować centralne zasady dostępu na serwerach plików przy użyciu zasad grupy

1. Na ekranie startowym w polu Wyszukaj wpisz Zarządzanie zasadami grupy. Kliknij dwukrotnie pozycję Zarządzanie zasadami grupy.

   Tip

   Jeśli ustawienie Pokaż narzędzia administracyjne jest wyłączone, folder Narzędzia administracyjne i jego zawartość nie będą wyświetlane w wynikach ustawień .

   Tip

   W środowisku produkcyjnym należy utworzyć jednostkę organizacyjną serwera plików (OU) i dodać do niej wszystkie serwery plików, do której mają zostać zastosowane te zasady. Następnie możesz utworzyć zasady grupy i dodać tę jednostkę organizacyjną do tych zasad.

2. W tym kroku edytujesz obiekt zasad grupy utworzony w sekcji Tworzenie kontrolera domeny w środowisku testowym, aby uwzględnić utworzone centralne zasady dostępu. W Edytorze zarządzania zasadami grupy przejdź do jednostki organizacyjnej w domenie (contoso.com w tym przykładzie i wybierz ją): Zarządzanie zasadami grupy, Las: contoso.com, Domeny, contoso.com, Contoso, FileServerOU.

3. Kliknij prawym przyciskiem myszy pozycję FlexibleAccessGPO, a następnie kliknij polecenie Edytuj.

4. W oknie Edytor zarządzania zasadami grupy przejdź do pozycji Konfiguracja komputera, rozwiń węzeł Zasady, rozwiń węzeł Ustawienia systemu Windows i kliknij pozycję Ustawienia zabezpieczeń.

5. Rozwiń węzeł System plików, kliknij prawym przyciskiem myszy pozycję Centralne zasady dostępu, a następnie kliknij pozycję Zarządzaj centralnymi zasadami dostępu.

6. W oknie dialogowym Konfiguracja centralnych zasad dostępu dodaj pozycję Zasady finansowe, a następnie kliknij przycisk OK.

7. Przewiń w dół do pozycji Zaawansowana konfiguracja zasad inspekcji i rozwiń ją.

8. Rozwiń węzeł Zasady inspekcji i wybierz pozycję Dostęp do obiektów.

9. Kliknij dwukrotnie pozycję Przeprowadź inspekcję przejściowej zasad dostępu centralnego. Zaznacz wszystkie trzy pola wyboru, a następnie kliknij przycisk OK. Ten krok umożliwia systemowi odbieranie zdarzeń inspekcji związanych z centralnymi zasadami przemieszczania dostępu.

10. Kliknij dwukrotnie pozycję Przeprowadź inspekcję właściwości systemu plików. Zaznacz wszystkie trzy pola wyboru, a następnie kliknij przycisk OK.

11. Zamknij Edytor zarządzania zasadami grupy. Centralna zasada dostępu została dołączona do zasad grupy.

Aby kontrolery domeny domeny mogły udostępniać oświadczenia lub dane autoryzacji urządzenia, kontrolery domeny muszą być skonfigurowane do obsługi dynamicznej kontroli dostępu.

Aby włączyć obsługę oświadczeń i uwierzytelniania złożonego dla contoso.com

1. Otwórz przystawkę Zarządzanie zasadami grupy, kliknij contoso.com, a następnie kliknij pozycję Kontrolery domeny.

2. Kliknij prawym przyciskiem myszy Domyślne zasady kontrolerów domeny, a następnie kliknij Edytuj.

3. W oknie Edytor zarządzania zasadami grupy kliknij dwukrotnie konfiguracja komputera, kliknij dwukrotnie zasady, kliknij dwukrotnie szablony administracyjne, kliknij dwukrotnie system, a następnie kliknij dwukrotnie KDC.

4. Kliknij dwukrotnie pozycję Obsługa centrum dystrybucji kluczy dla oświadczeń, uwierzytelniania złożonego i ochrony protokołu Kerberos. W oknie dialogowym Obsługa centrum dystrybucji kluczy dla oświadczeń, uwierzytelniania złożonego i ochrony protokołu Kerberos kliknij pozycję Włączone i wybierz pozycję Obsługiwane z listy rozwijanej Opcje . (To ustawienie należy włączyć, aby używać oświadczeń użytkowników w centralnych zasadach dostępu).

5. Zamknij zasady grupy Management.

6. Otwórz wiersz polecenia i wpisz gpupdate /force.

Wdrażanie centralnych zasad dostępu

W tym kroku przypiszesz centralną politykę dostępu do serwera plików. Użytkownik zaloguje się do serwera plików, który odbiera centralną zasadę dostępu utworzoną w poprzednich krokach, i przypisze tę zasadę do folderu udostępnionego.

Aby przypisać centralną zasadę dostępu do serwera plików

1. W Hyper-V Manager połącz się z serwerem FILE1. Zaloguj się na serwerze przy użyciu konta contoso\administrator z hasłem: pass@word1.

2. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz: gpupdate /force. Gwarantuje to, że zmiany zasad grupy zostaną zastosowane na serwerze.

3. Należy również odświeżyć właściwości zasobów globalnych z usługi Active Directory. Otwórz okno Windows PowerShell z podwyższonym poziomem uprawnień i wpisz Update-FSRMClassificationpropertyDefinition. Kliknij ENTER, a następnie zamknij program Windows PowerShell.

   Tip

   Właściwości zasobów globalnych można również odświeżyć, logując się do serwera plików. Aby odświeżyć globalne właściwości zasobów z serwera plików, wykonaj następujące czynności

   1. Zaloguj się do serwera plików FILE1 jako contoso\administrator przy użyciu hasła pass@word1.
   2. Otwórz Menedżera zasobów serwera plików. Aby otworzyć Menedżera zasobów serwera plików, kliknij przycisk Start, wpisz menedżer zasobów serwera plików, a następnie kliknij pozycję Menedżer zasobów serwera plików.
   3. W Menedżerze zasobów serwera plików kliknij pozycję Zarządzanie klasyfikacją plików , kliknij prawym przyciskiem myszy pozycję Właściwości klasyfikacji , a następnie kliknij polecenie Odśwież.

4. Otwórz Eksploratora Windows, a następnie w okienku po lewej stronie kliknij dysk D. Kliknij prawym przyciskiem myszy folder Dokumenty finansowe , a następnie kliknij polecenie Właściwości.

5. Kliknij kartę Klasyfikacja , kliknij pozycję Kraj, a następnie wybierz pozycję Stany Zjednoczone w polu Wartość .

6. Kliknij pozycję Dział, a następnie wybierz pozycję Finanse w polu Wartość , a następnie kliknij przycisk Zastosuj.

   Note

   Należy pamiętać, że centralna polityka dostępu została skonfigurowana tak, aby kierować pliki dla Departamentu Finansów. W poprzednich krokach oznaczono wszystkie dokumenty w folderze atrybutami Kraj i Dział.

7. Kliknij kartę Zabezpieczenia , a następnie kliknij pozycję Zaawansowane. Kliknij kartę Centralne zasady .

8. Kliknij przycisk Zmień, wybierz pozycję Zasady finansowe z menu rozwijanego, a następnie kliknij przycisk Zastosuj. Możesz zobaczyć regułę dokumentów finansowych wymienioną w zasadach. Rozwiń element, aby wyświetlić wszystkie uprawnienia ustawione podczas tworzenia reguły w usłudze Active Directory.

9. Kliknij przycisk OK , aby powrócić do Eksploratora Windows.

W następnym kroku upewnisz się, że dostęp jest odpowiednio skonfigurowany. Konta użytkowników muszą mieć ustawiony odpowiedni atrybut Dział (należy go ustawić za pomocą Centrum administracyjnego usługi Active Directory). Najprostszym sposobem wyświetlenia skutecznych wyników nowych zasad jest użycie karty Skuteczne dostęp w Eksploratorze Windows. Karta Obowiązujący dostęp zawiera prawa dostępu dla danego konta użytkownika.

Aby sprawdzić dostęp dla różnych użytkowników

1. W Hyper-V Manager połącz się z serwerem FILE1. Zaloguj się do serwera przy użyciu polecenia contoso\administrator. Przejdź do D:\ w Eksploratorze Windows. Kliknij prawym przyciskiem myszy folder Dokumenty finansowe , a następnie kliknij polecenie Właściwości.

2. Kliknij kartę Zabezpieczenia , kliknij pozycję Zaawansowane, a następnie kliknij kartę Skuteczny dostęp .

3. Aby sprawdzić uprawnienia użytkownika, kliknij przycisk Wybierz użytkownika, wpisz nazwę użytkownika, a następnie kliknij przycisk Wyświetl obowiązujący dostęp, aby wyświetlić obowiązujące prawa dostępu. Przykład:

   • Myriam Delesalle (MDelesalle) pracuje w dziale finansowym i powinna mieć dostęp do odczytu folderu.

   • Miles Reid (MReid) jest członkiem grupy FinanceAdmin i powinien mieć dostęp do folderu Modyfikuj.

   • Esther Valle (EValle) nie pracuje w dziale finansowym; jednak jest członkiem grupy FinanceException i powinna mieć dostęp do odczytu.

   • Maira Wenzel (MWenzel) nie pracuje w dziale finansowym i nie jest członkiem grupy FinanceAdmin ani FinanceException. Nie powinna mieć żadnego dostępu do folderu.

   Zwróć uwagę, że ostatnia kolumna o nazwie Dostęp ograniczony przez w oknie obowiązywania dostępu. Ta kolumna informuje, które bramy mają wpływ na uprawnienia danej osoby. W takim przypadku uprawnienia Udostępnij i NTFS zapewniają wszystkim użytkownikom pełną kontrolę. Jednak centralne zasady dostępu ograniczają dostęp na podstawie skonfigurowanych wcześniej reguł.

Konserwacja: Zmienianie i etapowanie zasad

Aby skonfigurować ustawienie zasad grupy w celu włączenia oświadczeń dla urządzeń

1. Zaloguj się do dc1, otwórz zarządzanie zasadami grupy, kliknij contoso.com, kliknij pozycję Domyślne zasady domeny, kliknij prawym przyciskiem myszy i wybierz polecenie Edytuj.

2. W oknie Edytor zarządzania zasadami grupy przejdź do pozycji Konfiguracja komputera, Zasady, Szablony administracyjne, System, Kerberos.

3. Wybierz opcję Obsługa klienta Kerberos dla oświadczeń, uwierzytelniania złożonego i ochrony protokołu Kerberos, a następnie kliknij przycisk Włącz.

Aby włączyć zgłaszanie roszczeń dotyczących urządzeń

1. Otwórz serwer DC1 w Menedżerze Hyper-V i zaloguj się jako contoso\Administrator przy użyciu hasła pass@word1.

2. W menu Narzędzia otwórz Centrum administracyjne usługi Active Directory.

3. Kliknij pozycję Widok drzewa, rozwiń węzeł Dynamiczna kontrola dostępu, kliknij dwukrotnie pozycję Typy oświadczeń, a następnie kliknij dwukrotnie oświadczenie kraju .

4. W polu Roszczenia tego typu mogą być wystawiane dla następujących klas zaznacz pole wyboru Komputer . Kliknij przycisk OK. Pola wyboru Użytkownik i Komputer powinny być teraz zaznaczone. Oświadczenie dotyczące kraju może być teraz używane nie tylko z urządzeniami.

Następnym krokiem jest utworzenie reguły zasady przemieszczania. Zasady przejściowe mogą służyć do monitorowania skutków nowego wpisu zasad przed jego włączeniem. W następnym kroku utworzysz wpis zasad przemieszczania i będziesz monitorować jego wpływ na folder współdzielony.

Aby utworzyć regułę zasady przemieszczania i dodać ją do centralnej zasady dostępu

1. Otwórz serwer DC1 w Menedżerze Hyper-V i zaloguj się jako contoso\Administrator przy użyciu hasła pass@word1.

2. Otwórz Centrum administracyjne usługi Active Directory.

3. Kliknij pozycję Widok drzewa, rozwiń węzeł Dynamiczna kontrola dostępu i wybierz pozycję Centralne reguły dostępu.

4. Kliknij prawym przyciskiem myszy pozycję Reguła dokumentów finansowych, a następnie kliknij polecenie Właściwości.

5. W sekcji Proponowane uprawnienia zaznacz pole wyboru Włącz konfigurację przemieszczania uprawnień , kliknij przycisk Edytuj, a następnie kliknij przycisk Dodaj. W oknie Wpis uprawnienia dla proponowanych uprawnień kliknij łącze Wybierz podmiot zabezpieczeń, wpisz Uwierzytelnieni użytkownicy, a następnie kliknij przycisk OK.

6. Kliknij link Dodaj warunek i dodaj następujący warunek: [Użytkownik] [kraj] [Dowolny z] [Zasób] [Kraj].

7. Kliknij ponownie przycisk Dodaj warunek, a następnie dodaj następujący warunek: [I] [Urządzenie] [Kraj] [Dowolne] [Zasób] [Kraj]

8. Kliknij ponownie przycisk Dodaj warunek i dodaj następujący warunek. [I] [Użytkownik] [Grupa] [Członek dowolnego] [Wartość](FinanceException)

9. Aby ustawić wyjątek FinanceException, kliknij pozycję Dodaj elementy , a następnie w oknie Wybieranie użytkownika, komputera, konta usługi lub grupy wpisz FinanceException.

10. Kliknij pozycję Uprawnienia, wybierz pozycję Pełna kontrola, a następnie kliknij przycisk OK.

11. W oknie Zaawansowane ustawienia zabezpieczeń dla proponowanych uprawnień wybierz pozycję FinanceException i kliknij przycisk Usuń.

12. Kliknij przycisk OK dwa razy, aby zakończyć.

równoważnych poleceniach programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

W tym proponowanym zestawie uprawnień członkowie grupy FinanceException będą mieli pełny dostęp do plików ze swojego kraju, jeśli uzyskają do nich dostęp za pośrednictwem urządzenia z tego samego kraju, w którym znajduje się dokument. Wpisy inspekcji są dostępne w dzienniku zabezpieczeń serwerów plików, gdy ktoś z działu finansowego próbuje uzyskać dostęp do plików. Jednak ustawienia zabezpieczeń nie są wymuszane, dopóki zasady nie zostaną podwyższene z przejściowego.

W następnej procedurze należy zweryfikować wyniki zasady przemieszczania. Dostęp do folderu udostępnionego można uzyskać za pomocą nazwy użytkownika, która ma uprawnienia oparte na bieżącej regule. Esther Valle (EValle) jest członkiem FinanceException i obecnie ma prawa do odczytu. Zgodnie z naszą polityką inscenizacji, EValle nie powinno mieć żadnych praw.

Aby zweryfikować wyniki zasady przemieszczania

1. Połącz się z plikiem FILE1 serwera plików w menedżerze Hyper-V i zaloguj się jako contoso\administrator przy użyciu hasła pass@word1.

2. Otwórz okno wiersza polecenia i wpisz gpupdate /force. Gwarantuje to, że zmiany zasad grupy zostaną zastosowane na serwerze.

3. W programie Hyper-V Manager połącz się z serwerem CLIENT1. Wyloguj użytkownika, który jest aktualnie zalogowany. Uruchom ponownie maszynę wirtualną, CLIENT1. Następnie zaloguj się do komputera przy użyciu polecenia contoso\EValle pass@word1.

4. Kliknij dwukrotnie na pulpicie skrót do \\FILE1\Finance Documents. EValle powinien nadal mieć dostęp do plików. Przełącz się z powrotem na PLIK1.

5. Otwórz Podgląd zdarzeń ze skrótu na pulpicie. Rozwiń węzeł Dzienniki systemu Windows, a następnie wybierz pozycję Zabezpieczenia. Otwórz wpisy o identyfikatorze zdarzenia 4818w kategorii zadania Przejściowa centralna zasada dostępu . Zobaczysz, że EValle miał pozwolenie na dostęp; Jednak zgodnie z zasadami przemieszczania użytkownikowi odmówiono by dostępu.

Dalsze kroki

Jeśli masz centralny system zarządzania serwerem, taki jak System Center Operations Manager, możesz również skonfigurować monitorowanie zdarzeń. Dzięki temu administratorzy mogą monitorować efekty centralnych zasad dostępu przed ich egzekwowaniem.