Implantar declarações em florestas (passo a passo)
Neste tópico, abordaremos um cenário básico que explica como configurar transformações de declarações entre florestas confiantes e confiáveis. Você aprenderá como os objetos da política de transformação de declarações podem ser criados e vinculados à confiança na floresta confiante e na floresta confiável. Depois você validará o cenário.
Visão geral do cenário
A Adatum Corporation fornece serviços financeiros à Contoso, Ltd. A cada trimestre, os contadores da Adatum copiam suas planilhas contábeis para uma pasta em um servidor de arquivos localizado na Contoso, Ltd. Há uma relação de confiança bidirecional configurada da Contoso para a Adatum. A Contoso, Ltd. quer proteger o compartilhamento para que apenas os funcionários da Adatum possam acessar o compartilhamento remoto.
Neste cenário:
Configurar a transformação de declarações na floresta confiável (Adatum)
Configurar a transformação de declarações na floresta confiante (Contoso)
Configurar os pré-requisitos e o ambiente de teste
A configuração de teste envolve a configuração de duas florestas: Adatum Corporation e Contoso, Ltd, além de ter uma relação de confiança bidirecional entre a Contoso e a Adatum. "adatum.com" é a floresta confiável e "contoso.com" é a floresta confiante.
O cenário de transformação de declarações demonstra a transformação de uma declaração na floresta confiável para uma declaração na floresta confiante. Para fazer isso, é necessário configurar uma nova floresta chamada adatum.com e popular a floresta com um usuário de teste com o valor da empresa "Adatum". Em seguida, é necessário configurar uma relação de confiança bidirecional entre contoso.com e adatum.com.
Importante
Ao configurar as florestas Contoso e Adatum, você deverá garantir que ambos os domínios raiz estejam no nível funcional do domínio do Windows Server 2012 para que a transformação de declarações funcione.
É necessário configurar o seguinte para o laboratório. Esses procedimentos são explicados detalhadamente no Apêndice B: configurar o ambiente de teste
É necessário implementar os seguintes procedimentos para configurar o laboratório para este cenário:
Use as informações a seguir para concluir esse cenário:
| Objetos | Detalhes |
|---|---|
| Usuários | Jonas Lima, Contoso |
| Declarações do usuário na Adatum e na Contoso | ID: ad://ext/Company:ContosoAdatum, Atributo de origem: empresa Valores sugeridos: Contoso, Adatum Importante: você deve definir a ID no tipo de declaração "Empresa" na Contoso e na Adatum para que a transformação de declarações funcione. |
| Regra de acesso central na Contoso | AdatumEmployeeAccessRule |
| Política de acesso central na Contoso | Política de acesso somente na Adatum |
| Políticas de transformação de declarações na Adatum e na Contoso | DenyAllExcept Company |
| Pasta de arquivos na Contoso | D:\EARNINGS |
Configurar a transformação de declarações na floresta confiável (Adatum)
Nesta etapa, você cria uma política de transformação no Adatum para negar todas as declarações, exceto "Empresa", para passar à Contoso.
O módulo do Active Directory para Windows PowerShell fornece o argumento DenyAllExcept, que descarta tudo exceto as declarações especificadas na política de transformação.
Para configurar uma transformação de declarações, você precisa criar uma política de transformação de declarações e vinculá-la entre as florestas confiáveis e confiantes.
Criar uma política de transformação de declarações na Adatum
Para criar uma política de transformação da Adatum para negar todas as declarações, exceto "Empresa"
Entre no controlador de domínio adatum.com como Administrator com a senha pass@word1.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except Company"` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"adatum.com" `
Definir um link de transformação de declarações no objeto de domínio de confiança da Adatum
Nesta etapa, você aplica a política de transformação de declarações recém-criada no objeto de domínio de confiança da Adatum para a Contoso.
Para aplicar a política de transformação de declarações
Entre no controlador de domínio adatum.com como Administrator com a senha pass@word1.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:
Set-ADClaimTransformLink ` -Identity:"contoso.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` '"TrustRole:Trusted `
Configurar a transformação de declarações na floresta confiante (Contoso)
Nesta etapa, você cria uma política de transformação de declarações na Contoso (a floresta confiante) para negar todas as declarações, exceto "Empresa". Você precisa criar uma política de transformação de declarações e vinculá-la ao objeto de confiança da floresta.
Criar uma política de transformação de declarações na Contoso
Para criar uma política de transformação da Adatum para negar tudo, exceto "Empresa"
Entre no controlador de domínio contoso.com como Administrator com a senha pass@word1.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:
New-ADClaimTransformPolicy ` -Description:"Claims transformation policy to deny all claims except company" ` -Name:"DenyAllClaimsExceptCompanyPolicy" ` -DenyAllExcept:company ` -Server:"contoso.com" `
Definir um link de transformação de declarações no objeto de domínio de confiança da Contoso
Nesta etapa, você aplica a política de transformação de declarações recém-criada no objeto de domínio de confiança contoso.com para a Adatum para permitir que "Empresa" seja passada para contoso.com. O objeto de domínio de confiança é nomeado adatum.com.
Para definir a política de transformação de declarações
Entre no controlador de domínio contoso.com como Administrator com a senha pass@word1.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte:
Set-ADClaimTransformLink -Identity:"adatum.com" ` -Policy:"DenyAllClaimsExceptCompanyPolicy" ` -TrustRole:Trusting `
Validar o cenário
Nesta etapa, você tenta acessar a pasta D:\EARNINGS que foi configurada no servidor de arquivos FILE1 para validar se o usuário tem acesso à pasta compartilhada.
Para garantir que o usuário da Adatum possa acessar a pasta compartilhada
Entre no computador Cliente, CLIENT1 como Jonas Lima com a senha pass@word1.
Navegue até a pasta \\FILE1.contoso.com\Earnings.
Jonas Lima deve ser capaz de acessar a pasta.
Cenários adicionais para políticas de transformação de declarações
Veja a seguir uma lista de casos comuns adicionais na transformação de declarações.
| Cenário | Política |
|---|---|
| Permitir que todas as declarações originadas da Adatum passem para Contoso Adatum | Código – New-ADClaimTransformPolicy ` -Description:"Política de transformação de declarações para permitir todas as declarações" ` -Name:"AllowAllClaimsPolicy" ` -AllowAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
| Negar que todas as declarações originadas da Adatum passem para Contoso Adatum | Código – New-ADClaimTransformPolicy ` -Description:"Política de transformação de declarações para negar todas as declarações" ` -Name:"DenyAllClaimsPolicy" ` -DenyAll ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"DenyAllClaimsPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com"` |
| Permitir que todas as declarações provenientes da Adatum, exceto "Empresa" e "Departamento", passem para Contoso Adatum | Código - New-ADClaimTransformationPolicy ` -Description:"Política de transformação de declarações para permitir todas as declarações, exceto empresa e departamento" ` -Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -AllowAllExcept:company,department ` -Server:"contoso.com" ` Set-ADClaimTransformLink ` -Identity:"adatum.com" ` -Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy" ` -TrustRole:Trusting ` -Server:"contoso.com" ` |
Confira também
Para obter uma lista de todos os cmdlets do Windows PowerShell disponíveis para transformação de declarações, consulte Referência de cmdlet do PowerShell do Active Directory.
Para tarefas avançadas que envolvem exportação e importação de informações de configuração do DAC entre duas florestas, use a Referência de Controle de Acesso Dinâmico do PowerShell