フォレスト間にわたる信頼性情報の展開 (デモンストレーション手順)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
このトピックでは、信頼する側のフォレストと信頼される側のフォレストの間で要求の変換を構成する方法を説明する基本的なシナリオについて説明します。 要求変換ポリシー オブジェクトを作成し、信頼する側のフォレストと信頼される側のフォレストの信頼にリンクする方法について説明します。 次に、シナリオを検証します。
シナリオの概要
Adatum Corporation は、Contoso, Ltd. に金融サービスを提供しています。各四半期の Adatum 経理担当者は、会計スプレッドシートを Contoso, Ltd. に置かれているファイル サーバー上のフォルダーにコピーします。Contoso から Adatum への双方向の信頼が設定されています。 Contoso, Ltd. は、Adatum の従業員だけがリモート共有にアクセスできるように、共有を保護したいと考えています。
このシナリオでは:
前提条件とテスト環境を設定する
テスト構成では、Adatum Corporation と Contoso, Ltd. という 2 つのフォレストを設定し、Contoso と Adatum の間に双方向の信頼関係を持たせます。 "adatum.com" は信頼される側のフォレストで、"contoso.com" は信頼する側のフォレストです。
要求変換のシナリオでは、信頼されているフォレスト内の要求を信頼する側のフォレストのクレームに変換する方法を示します。 これを行うには、adatum.com という名前の新しいフォレストを設定し、company 値が "Adatum" のテスト ユーザーをフォレストに設定する必要があります。 次に、contoso.com と adatum.com の間に双方向の信頼を設定する必要があります。
重要
Contoso と Adatum フォレストを設定するときは、両方のルート ドメインが、要求変換が機能するために Windows Server 2012 ドメインの機能レベルであることを確認する必要があります。
ラボ用に次の設定を行う必要があります。 これらの手順の詳細については、「付録 B: テスト環境のセットアップ」をご覧ください
このシナリオのラボを設定するには、次の手順を実装する必要があります:
このシナリオを完了するには、次の情報を使用します:
| オブジェクト | 詳細 |
|---|---|
| ユーザー | Jeff Low, Contoso |
| Adatum および Contoso でのユーザー要求 | ID: ad://ext/Company:ContosoAdatum, ソース属性: company 提案される値: Contoso、Adatum 重要: 要求変換が機能するためには、Contoso と adatum の両方で "Company" 要求の種類の ID を同じに設定する必要があります。 |
| Contoso の集約型アクセス ポリシー | AdatumEmployeeAccessRule |
| Contoso の集約型アクセス ポリシー | Adatum Only アクセス ポリシー |
| Adatum と Contoso の要求変換ポリシー | DenyAllExcept 会社 |
| Contoso のファイル フォルダー | D:\EARNINGS |
信頼されているフォレスト (Adatum) で要求変換を設定する
このステップでは、Adatum で変換ポリシーを作成して、Contoso に渡す "Company" 以外のすべての要求を拒否します。
Windows PowerShell の Active Directory モジュールは、DenyAllExcept 引数を提供します。これにより、変換ポリシー内の指定された要求以外のすべてが削除されます。
要求変換を設定するには、要求変換ポリシーを作成して、信頼されているフォレストと信頼する側のフォレスト間でリンクする必要があります。
Adatum で要求変換ポリシーを作成する
"Company" 以外のすべての要求を拒否するように変換ポリシーの Adatum を作成するには
パスワード pass@word1 を使用し、Administratorとしてドメイン コントローラー adatum.com にサインインします。
Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Adatum の信頼ドメイン オブジェクトで要求変換リンクを設定する
この手順では、新しく作成された要求変換ポリシーを、Contoso の Adatum の信頼ドメイン オブジェクトに適用します。
要求変換ポリシーを適用するには
パスワード pass@word1 を使用し、Administratorとしてドメイン コントローラー adatum.com にサインインします。
Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
信頼する側のフォレスト (Contoso) に要求の変換を設定する
このステップでは、Contoso (信頼する側のフォレスト) の要求変換ポリシーを作成して、"Company" 以外のすべての要求を拒否します。 要求変換ポリシーを作成し、それをフォレストの信頼にリンクする必要があります。
Contoso で要求変換ポリシーを作成する
"Company" 以外のすべてを拒否するように変換ポリシーの Adatum を作成するには
パスワード pass@word1 を使用し、Administratorとしてドメイン コントローラー contoso.com にサインインします。
Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Contoso の信頼ドメイン オブジェクトで要求変換リンクを設定する
この手順では、Adatum の contoso.com trust ドメイン オブジェクトに新しく作成された要求変換ポリシーを適用して、"Company" を contoso.com に渡すことができるようにします。 信頼ドメインオブジェクトの名前は adatum.com です。
要求変換ポリシーを適用するには
パスワード pass@word1 を使用し、Administratorとしてドメイン コントローラー contoso.com にサインインします。
Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
シナリオを検証する
このステップでは、ファイル サーバー FILE1 にセットアップされた D:\EARNINGS フォルダーにアクセスして、ユーザーが共有フォルダーにアクセスできることを検証します。
Adatum ユーザーが共有フォルダーにアクセスできるようにするには
パスワード pass@word1を使用して、クライアントコンピューター CLIENT1 に Jeff Low としてサインインします。
\\FILE1.contoso.com\Earnings フォルダーを参照します。
Jeff Low はフォルダーにアクセスできる必要があります。
要求変換ポリシーのその他のシナリオ
要求変換のその他の一般的なケースの一覧を次に示します。
| シナリオ | ポリシー |
|---|---|
| Adatum から Contoso Adatum に送られるすべての要求を許可します | コード - New-ADClaimTransformPolicy ` -Description: "すべての要求を許可する要求変換ポリシー" ' -Name:"AllowAllClaimsPolicy" ` -AllowAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
| Adatum から Contoso Adatum に送られるすべての要求を拒否します | コード - New-ADClaimTransformPolicy ` -Description: "すべての要求を拒否する要求変換ポリシー" ' -Name:"DenyAllClaimsPolicy" ` -DenyAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"DenyAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com"` |
| "Company" と "Department" 以外の Adatum に由来するすべての要求を Contoso Adatum に移行できるようにします | コード - New-ADClaimTransformationPolicy ` -Description: "company と department 以外のすべての要求を許可する要求変換ポリシー" ` -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -AllowAllExcept:company,department ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
関連項目
要求変換に使用できるすべての Windows PowerShell コマンドレットの一覧については、「Active Directory PowerShell コマンドレットリファレンス」を参照してください。
2 つのフォレスト間で DAC の構成情報をエクスポートおよびインポートする高度なタスクについては、動的 Access Control PowerShell のリファレンスを使用してください