Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W systemie Windows Server 2012 typ oświadczenia jest potwierdzeniem obiektu, z którym jest skojarzony. Typy oświadczeń są definiowane dla lasu w usłudze Active Directory. Istnieje wiele scenariuszy, w których podmiot zabezpieczeń może wymagać przejścia granicy zaufania w celu uzyskania dostępu do zasobów w zaufanym lesie. Przekształcanie twierdzeń między lasami w systemie Windows Server 2012 umożliwia transformację twierdzeń ruchu wychodzącego i przychodzącego, które przechodzą przez lasy, tak aby były rozpoznane i zaakceptowane w wiarygodnych oraz zaufanych lasach. Niektóre z rzeczywistych scenariuszy przekształcania roszczeń to:
Zaufane lasy mogą używać przekształcania twierdzeń jako ochrony przed podnoszeniem uprawnień, filtrując przychodzące twierdzenia za pomocą określonych wartości.
Zaufane lasy mogą również wystawiać oświadczenia dla podmiotów przekraczających granicę zaufania, jeśli zaufany las nie obsługuje ani nie wystawia żadnych oświadczeń.
Zaufane lasy mogą używać przekształcania twierdzeń, aby zapobiec wysyłaniu niektórych typów twierdzeń oraz twierdzeń z określonymi wartościami do lasów zaufania.
Można również użyć transformacji roszczeń, aby mapować różne typy roszczeń między lasami ufającymi i zaufanymi lasami. Może to służyć do uogólninia typu oświadczenia, wartości oświadczenia lub obu tych typów. Bez tego, należy standaryzować dane między lasami przed użyciem roszczeń. Uogólnianie roszczeń między lasami ufającymi i zaufanymi zmniejsza koszty IT.
Reguły przekształcania oświadczeń
Składnia języka reguł przekształcania dzieli pojedynczą regułę na dwie główne części: serię warunków i instrukcję rozwiązania. Każda instrukcja warunku ma dwa podskładniki: identyfikator twierdzenia i warunek. Instrukcja problemu zawiera słowa kluczowe, ograniczniki i wyrażenie problemu. Instrukcja warunku opcjonalnie rozpoczyna się od zmiennej identyfikatora oświadczenia, która reprezentuje dopasowane oświadczenie wejściowe. Warunek sprawdza spełnienie wyrażenia. Jeśli oświadczenie wejściowe nie jest zgodne z warunkiem, aparat przekształcania ignoruje instrukcję problemu i ocenia następne oświadczenie wejściowe względem reguły przekształcania. Jeśli wszystkie warunki zgadzają się z oświadczeniem wejściowym, przystępuje do przetwarzania zgłoszenia problemu.
Aby uzyskać szczegółowe informacje na temat języka reguł oświadczeń, zobacz Język reguł przekształcania oświadczeń.
Łączenie zasad przekształcania roszczeń z lasami
Istnieją dwa składniki związane z konfigurowaniem zasad przekształcania oświadczeń: obiekty zasad przekształcania oświadczeń i link przekształcenia. Obiekty zasad działają w kontekście nazewnictwa konfiguracji w strukturze lasu i zawierają informacje o mapowaniu roszczeń. Link określa, do których lasów ufających i którym ufa się ma zastosowanie mapowanie.
Ważne jest, aby zrozumieć, czy las jest ufny czy zaufany, ponieważ jest to podstawa łączenia obiektów polityki przekształcania. Na przykład zaufany las to las zawierający konta użytkowników, które wymagają dostępu. Las zaufania to las zawierający zasoby, do których chcesz udzielić użytkownikom dostępu. Oświadczenia są przesyłane w tym samym kierunku co podmiot zabezpieczeń, który wymaga dostępu. Jeśli na przykład istnieje jednokierunkowe zaufanie z lasu contoso.com do lasu adatum.com, oświadczenia będą przepływać z adatum.com do contoso.com, co umożliwia użytkownikom z adatum.com uzyskiwanie dostępu do zasobów w contoso.com.
Domyślnie, las zaufany zezwala na przekazywanie wszystkich wychodzących oświadczeń, natomiast las ufający odrzuca wszystkie otrzymywane oświadczenia przychodzące.
W tym scenariuszu
W tym scenariuszu są dostępne następujące wskazówki:
Role i funkcje uwzględnione w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje, które są częścią tego scenariusza i opisano sposób ich obsługi.
| Role/feature | Jak to wspiera ten scenariusz |
|---|---|
| Active Directory Domain Services | W tym scenariuszu wymagane jest skonfigurowanie dwóch lasów Active Directory z dwukierunkowym zaufaniem. Masz roszczenia w obu lasach. Można również skonfigurować centralne zasady dostępu w zaufanym lesie, w którym znajdują się zasoby. |
| Rola Usługi plików i magazynowania | W tym scenariuszu klasyfikacja danych jest stosowana do zasobów na serwerach plików. Centralne zasady dostępu są stosowane do folderu, w którym chcesz udzielić dostępu użytkownika. Po przekształceniu roszczenie przyznaje użytkownikowi dostęp do zasobów na podstawie centralnej polityki dostępu, która jest stosowana do folderu na serwerze plików. |