Compartilhar via


Implantar declarações em florestas (passo a passo)

Neste tópico, abordaremos um cenário básico que explica como configurar transformações de declarações entre florestas confiantes e confiáveis. Você aprenderá como os objetos da política de transformação de declarações podem ser criados e vinculados à confiança na floresta confiante e na floresta confiável. Depois você validará o cenário.

Visão geral do cenário

A Adatum Corporation fornece serviços financeiros à Contoso, Ltd. A cada trimestre, os contadores da Adatum copiam suas planilhas contábeis para uma pasta em um servidor de arquivos localizado na Contoso, Ltd. Há uma relação de confiança bidirecional configurada da Contoso para a Adatum. A Contoso, Ltd. quer proteger o compartilhamento para que apenas os funcionários da Adatum possam acessar o compartilhamento remoto.

Neste cenário:

  1. Configurar os pré-requisitos e o ambiente de teste

  2. Configurar a transformação de declarações na floresta confiável (Adatum)

  3. Configurar a transformação de declarações na floresta confiante (Contoso)

  4. Validar o cenário

Configurar os pré-requisitos e o ambiente de teste

A configuração de teste envolve a configuração de duas florestas: Adatum Corporation e Contoso, Ltd, além de ter uma relação de confiança bidirecional entre a Contoso e a Adatum. "adatum.com" é a floresta confiável e "contoso.com" é a floresta confiante.

O cenário de transformação de declarações demonstra a transformação de uma declaração na floresta confiável para uma declaração na floresta confiante. Para fazer isso, é necessário configurar uma nova floresta chamada adatum.com e popular a floresta com um usuário de teste com o valor da empresa "Adatum". Em seguida, é necessário configurar uma relação de confiança bidirecional entre contoso.com e adatum.com.

Importante

Ao configurar as florestas Contoso e Adatum, você deverá garantir que ambos os domínios raiz estejam no nível funcional do domínio do Windows Server 2012 para que a transformação de declarações funcione.

É necessário configurar o seguinte para o laboratório. Esses procedimentos são explicados detalhadamente no Apêndice B: configurar o ambiente de teste

É necessário implementar os seguintes procedimentos para configurar o laboratório para este cenário:

  1. Definir a Adatum como floresta confiável para a Contoso

  2. Criar o tipo de declaração "Empresa" na Contoso

  3. Habilitar a propriedade de recurso "Company" na Contoso

  4. Criar a regra de acesso central

  5. Criar a política de acesso central

  6. Publicar a nova política por meio da Política de Grupo

  7. Crie a pasta Ganhos no servidor de arquivos

  8. Definir a classificação e aplicar a política de acesso central à nova pasta

Use as informações a seguir para concluir esse cenário:

Objetos Detalhes
Usuários Jonas Lima, Contoso
Declarações do usuário na Adatum e na Contoso ID: ad://ext/Company:ContosoAdatum,

Atributo de origem: empresa

Valores sugeridos: Contoso, Adatum Importante: você deve definir a ID no tipo de declaração "Empresa" na Contoso e na Adatum para que a transformação de declarações funcione.

Regra de acesso central na Contoso AdatumEmployeeAccessRule
Política de acesso central na Contoso Política de acesso somente na Adatum
Políticas de transformação de declarações na Adatum e na Contoso DenyAllExcept Company
Pasta de arquivos na Contoso D:\EARNINGS

Configurar a transformação de declarações na floresta confiável (Adatum)

Nesta etapa, você cria uma política de transformação no Adatum para negar todas as declarações, exceto "Empresa", para passar à Contoso.

O módulo do Active Directory para Windows PowerShell fornece o argumento DenyAllExcept, que descarta tudo exceto as declarações especificadas na política de transformação.

Para configurar uma transformação de declarações, você precisa criar uma política de transformação de declarações e vinculá-la entre as florestas confiáveis e confiantes.

Criar uma política de transformação de declarações na Adatum

Para criar uma política de transformação da Adatum para negar todas as declarações, exceto "Empresa"
  1. Entre no controlador de domínio adatum.com como Administrator com a senha pass@word1.

  2. Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except Company"`
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"adatum.com" `
    
    

Definir um link de transformação de declarações no objeto de domínio de confiança da Adatum

Nesta etapa, você aplica a política de transformação de declarações recém-criada no objeto de domínio de confiança da Adatum para a Contoso.

Para aplicar a política de transformação de declarações
  1. Entre no controlador de domínio adatum.com como Administrator com a senha pass@word1.

  2. Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:

    
      Set-ADClaimTransformLink `
    -Identity:"contoso.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    '"TrustRole:Trusted `
    
    

Configurar a transformação de declarações na floresta confiante (Contoso)

Nesta etapa, você cria uma política de transformação de declarações na Contoso (a floresta confiante) para negar todas as declarações, exceto "Empresa". Você precisa criar uma política de transformação de declarações e vinculá-la ao objeto de confiança da floresta.

Criar uma política de transformação de declarações na Contoso

Para criar uma política de transformação da Adatum para negar tudo, exceto "Empresa"
  1. Entre no controlador de domínio contoso.com como Administrator com a senha pass@word1.

  2. Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:

    New-ADClaimTransformPolicy `
    -Description:"Claims transformation policy to deny all claims except company" `
    -Name:"DenyAllClaimsExceptCompanyPolicy" `
    -DenyAllExcept:company `
    -Server:"contoso.com" `
    
    

Definir um link de transformação de declarações no objeto de domínio de confiança da Contoso

Nesta etapa, você aplica a política de transformação de declarações recém-criada no objeto de domínio de confiança contoso.com para a Adatum para permitir que "Empresa" seja passada para contoso.com. O objeto de domínio de confiança é nomeado adatum.com.

Para definir a política de transformação de declarações
  1. Entre no controlador de domínio contoso.com como Administrator com a senha pass@word1.

  2. Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:

    
      Set-ADClaimTransformLink
    -Identity:"adatum.com" `
    -Policy:"DenyAllClaimsExceptCompanyPolicy" `
    -TrustRole:Trusting `
    
    

Validar o cenário

Nesta etapa, você tenta acessar a pasta D:\EARNINGS que foi configurada no servidor de arquivos FILE1 para validar se o usuário tem acesso à pasta compartilhada.

Para garantir que o usuário da Adatum possa acessar a pasta compartilhada

  1. Entre no computador Cliente, CLIENT1 como Jonas Lima com a senha pass@word1.

  2. Navegue até a pasta \\FILE1.contoso.com\Earnings.

  3. Jonas Lima deve ser capaz de acessar a pasta.

Cenários adicionais para políticas de transformação de declarações

Veja a seguir uma lista de casos comuns adicionais na transformação de declarações.

Cenário Política
Permitir que todas as declarações originadas da Adatum passem para Contoso Adatum Código –
New-ADClaimTransformPolicy `
-Description:"Política de transformação de declarações para permitir todas as declarações" `
-Name:"AllowAllClaimsPolicy" `
-AllowAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `
Negar que todas as declarações originadas da Adatum passem para Contoso Adatum Código –
New-ADClaimTransformPolicy `
-Description:"Política de transformação de declarações para negar todas as declarações" `
-Name:"DenyAllClaimsPolicy" `
-DenyAll `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com"`
Permitir que todas as declarações provenientes da Adatum, exceto "Empresa" e "Departamento", passem para Contoso Adatum Código
- New-ADClaimTransformationPolicy `
-Description:"Política de transformação de declarações para permitir todas as declarações, exceto empresa e departamento" `
-Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-AllowAllExcept:company,department `
-Server:"contoso.com" `
Set-ADClaimTransformLink `
-Identity:"adatum.com" `
-Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" `
-TrustRole:Trusting `
-Server:"contoso.com" `