本主题概述了构建用于测试动态访问控制的动手实验室的步骤。 应按顺序遵循说明进行操作,因为其中存在许多具有相关性的组件。
Prerequisites
硬件和软件要求
设置测试实验室的要求:
运行带有 SP1 和 Hyper-V 的 Windows Server 2008 R2 的主机服务器
Windows Server 2012 ISO 的副本
Windows 8 ISO 的副本
Microsoft Office 2010
运行 Microsoft Exchange Server 2003 或更高版本的服务器
你需要构建以下虚拟机来测试动态访问控制方案:
DC1(域控制器)
DC2(域控制器)
FILE1(文件服务器和 Active Directory Rights Management Services)
SRV1(POP3 和 SMTP 服务器)
CLIENT1(安装了 Microsoft Outlook 的客户端计算机)
虚拟机的密码应如下所示:
BUILTIN\Administrator:pass@word1
Contoso\Administrator:pass@word1
所有其他帐户:pass@word1
构建测试实验室中的虚拟机
安装 Hyper-V 角色
需要在运行带有 SP1 的 Windows Server 2008 R2 的计算机上安装 Hyper-V 角色。
安装 Hyper-V 角色
单击“ 开始”,然后单击“服务器管理器”。
在“服务器管理器主窗口的角色摘要”区域中,单击“ 添加角色”。
在“选择服务器角色”页上,单击“Hyper-V”。
如果要使网络适配器的网络连接可供虚拟机使用,请在“创建虚拟网络”页中单击一个或多个网络适配器。
在“确认安装选择”页上,单击“安装”。
必须重新启动计算机才能完成此安装。 单击“ 关闭 ”完成向导,然后单击“ 是 ”重启计算机。
重新启动计算机后,请使用用于安装角色的同一帐户进行登录。 恢复配置向导完成安装后,单击“ 关闭 ”完成向导。
创建内部虚拟网络
现在将创建名为 ID_AD_Network 的内部虚拟网络。
创建虚拟网络
打开 Hyper-V 管理器。
在 “作” 菜单中,单击“ 虚拟网络管理器”。
在“创建虚拟网络”下,选择“内部”。
单击 添加。 将出现“新建虚拟网络”页。
键入 ID_AD_Network 作为新网络的名称。 查看其他属性并对其进行修改(如果需要)。
单击“ 确定 ”以创建虚拟网络并关闭虚拟网络管理器,或单击“ 应用” 创建虚拟网络并继续使用虚拟网络管理器。
构建域控制器
构建要用作域控制器 (DC1) 的虚拟机。 使用 Windows Server 2012 ISO 安装虚拟机,并将其命名为 DC1。
安装 Active Directory 域服务
将虚拟机连接到 ID_AD_Network。 使用密码 pass@word1以管理员身份登录到 DC1。
在服务器管理器中,单击“ 管理”,然后单击“ 添加角色和功能”。
在开始之前页上,单击下一步。
在“选择安装类型”页上,单击“基于角色或功能的安装”,然后单击“下一步”。
在“选择目标服务器”页上,单击“下一步”。
在“选择服务器角色”页上,单击“Active Directory 域服务”。 在“添加角色和功能向导”对话框中,单击“添加功能”,然后单击“下一步”。
在 “选择功能 ”页上,单击“ 下一步”。
在“Active Directory 域服务”页上,查看信息,再单击“下一步”。
在“确认安装选择”页上,单击“安装”。 “结果”页上的功能安装进度条指示正在安装角色。
在 “结果 ”页上,验证安装是否成功,然后单击“ 关闭”。 在服务器管理器中,单击屏幕右上角带有感叹号的警告图标,位于 “管理”旁边。 在任务列表中,单击“将此服务器升级为域控制器”链接。
在“ 部署配置 ”页上,单击“ 添加新林”,键入根域的名称 ,contoso.com,然后单击“ 下一步”。
在“域控制器选项”页上,将域和林功能级别选为 Windows Server 2012,然后指定 DSRM 密码 pass@word1,再单击“下一步”。
在 “DNS 选项 ”页上,单击“ 下一步”。
在“ 其他选项 ”页上,单击“ 下一步”。
在 “路径 ”页上,键入 Active Directory 数据库、日志文件和 SYSVOL 文件夹(或接受默认位置)的位置,然后单击“ 下一步”。
在 “审阅选项” 页上,确认所选内容,然后单击“ 下一步”。
在“ 先决条件检查 ”页上,确认先决条件验证已完成,然后单击“ 安装”。
在“ 结果 ”页上,验证服务器是否已成功配置为域控制器,然后单击“ 关闭”。
重新启动服务器以完成 AD DS 安装。 (默认情况下,会自动执行此操作。)
使用 Active Directory 管理中心创建以下用户。
在 DC1 上创建用户和组
以管理员身份登录到 contoso.com。 启动 Active Directory 管理中心。
创建以下安全组:
组名称 电子邮件地址 FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com 创建以下组织单位 (OU):
OU 名称 Computers FileServerOU FILE1 使用指示的属性创建以下用户:
User Username 电子邮件地址 Department Group Country/Region Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US 迈尔斯·里德 MReid MReid@contoso.com Finance FinanceAdmin US 埃瑟·瓦莱 EValle EValle@contoso.com Operations FinanceException US 迈拉·温泽尔 MWenzel MWenzel@contoso.com HR US 杰夫·洛 JLow JLow@contoso.com HR US RMS 服务器 rms rms@contoso.com 有关创建安全组的详细信息,请参阅 Windows Server 网站上的 创建新组 。
创建组策略对象
将鼠标光标悬停在屏幕的右上角,然后单击搜索图标。 在搜索框中,键入“组策略管理”,然后单击“组策略管理”。
展开 林区:contoso.com,然后展开 域,导航到 contoso.com,展开 (contoso.com),然后选择 FileServerOU。 右键单击“在此域中创建 GPO 并在此处链接”
键入 GPO 的描述性名称,例如 FlexibleAccessGPO,然后单击“ 确定”。
为 contoso.com 启用动态访问控制
打开组策略管理控制台,单击 contoso.com,然后双击 域控制器。
右键单击“默认域控制器策略”,然后选择“编辑”。
在“组策略管理编辑器”窗口中,双击“ 计算机配置”,双击“ 策略”,双击“ 管理模板”,双击“ 系统”,然后双击“ KDC”。
双击“KDC 支持声明、复合身份验证和 Kerberos 保护”,然后选择“启用”旁的选项。 你需要启用此设置来使用中心访问策略。
打开提升的命令提示符并运行以下命令:
gpupdate /force
构建文件服务器和 AD RMS 服务器 (FILE1)
从 Windows Server 2012 ISO 构建名为 FILE1 的虚拟机。
将虚拟机连接到 ID_AD_Network。
将虚拟机加入 contoso.com 域,然后使用密码 pass@word1以 contoso\administrator 身份登录到 FILE1。
安装文件服务资源管理器
安装文件服务角色和文件服务器资源管理器
在服务器管理器中,单击“添加角色和功能”。
在开始之前页上,单击下一步。
在“选择安装类型”页上,单击“下一步”。
在“选择目标服务器”页上,单击“下一步”。
在“选择服务器角色”页上,展开“文件和存储服务”,再选择“文件和 iSCSI 服务”旁的复选框,展开该项,然后选择“文件服务器资源管理器”。
在“添加角色和功能向导”中,单击“ 添加功能”,然后单击“ 下一步”。
在 “选择功能 ”页上,单击“ 下一步”。
在“确认安装选择”页上,单击“安装”。
在 “安装进度 ”页上,单击“ 关闭”。
在文件服务器上安装 Microsoft Office 筛选包
应在 Windows Server 2012 上安装 Microsoft Office 筛选包,以便为比默认提供的更广泛 Office 文件阵列启用 IFilter。 默认情况下,Windows Server 2012 未安装任何用于 Microsoft Office 文件的 IFilter,并且文件分类基础结构将使用 IFilter 执行内容分析。
要下载并安装 IFilter,请参阅 Microsoft Office 2010 筛选包。
在 FILE1 上配置电子邮件通知
在创建配额和文件屏蔽时,可以选择在接近配额限制时或者在用户尝试保存已阻止的文件后向用户发送电子邮件通知。 如果希望向特定管理员例行通知配额和文件屏蔽事件,则可以配置一个或多个默认的收件人。 要发送这些通知,你必须指定用于转发电子邮件的 SMTP 服务器。
在文件服务器资源管理器中配置电子邮件选项
打开文件服务器资源管理器。 若要打开文件服务器资源管理器,请单击“ 开始”,键入 文件服务器资源管理器,然后单击“ 文件服务器资源管理器”。
在文件服务器资源管理器界面中,右键单击“文件服务器资源管理器”,然后单击“配置选项”。 此时将打开“文件服务器资源管理器选项”对话框。
在 “电子邮件通知 ”选项卡上的 SMTP 服务器名称或 IP 地址下,键入主机名或将转发电子邮件通知的 SMTP 服务器的 IP 地址。
如果希望向特定管理员例行通知配额或文件屏蔽事件,请在“默认的管理员收件人”下键入每个电子邮件地址,例如 fileadmin@contoso.com。 使用 account@domain 格式,并使用分号分隔多个帐户。
在 FILE1 上创建组
在 FILE1 上创建安全组
以 contoso\administrator 身份登录到 FILE1,密码 为:pass@word1。
将 NT AUTHORITY\Authenticated Users 添加到 WinRMRemoteWMIUsers__ 组。
在 FILE1 上创建文件和文件夹
在 FILE1 上创建新的 NTFS 卷,然后创建以下文件夹:D:\Finance Documents。
根据指定的详细信息创建以下文件:
财务 Memo.docx:在文档中添加一些财务相关文本。 例如,“关于可访问财务文档的人员的业务规则已更改。 现在,只有 FinanceExpert 组的成员才能访问财务文档。 任何其他部门或组都不具有访问权限。” 在环境中实现此更改之前,你需要评估它的影响。 请确保此文档每一页的页脚上都具有“CONTOSO 机密”。
Request for Approval to Hire.docx:在此文档中创建一个用于收集申请人信息的表单。 此文档中必须具有以下字段: 申请人姓名、身份证号、职务、建议薪酬、开始日期、主管姓名、部门。 在文档中添加附加部分,该部分具有用于主管签名、已批准薪酬、聘约确认以及聘约状态内容的表单。 启用该文档的权限管理。
Word Document1.docx:向本文档添加一些测试内容。
Word Document2.docx:向本文档添加测试内容。
Workbook1.xlsx
Workbook2.xlsx
在桌面上创建称为“正则表达式”的文件夹。 在名为 RegEx-SSN 的文件夹下创建文本文档。 在该文件中键入以下内容,然后保存并关闭该文件:^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
将文件夹 D:\Finance Documents 作为财务文档共享,并允许每个人具有该共享的读写访问权限。
Note
默认情况下,不会在系统卷 C: 或引导卷 C: 上启用中心访问策略。
安装 Active Directory Rights Management Services
通过服务器管理器添加 Active Directory Rights Management Services (AD RMS) 和所有需要的功能。 选择所有默认值。
安装 Active Directory Rights Management Services
以 CONTOSO\Administrator 的身份或 Domain Admins 组的成员身份登录到 FILE1。
Important
要安装 AD RMS 服务器角色,安装程序帐户(在此案例中为 CONTOSO\Administrator)必须既是要安装 AD RMS 的服务器计算机上本地管理员组的成员,又是 Active Directory 中 Enterprise Admins 组的成员。
在服务器管理器中,单击“添加角色和功能”。 将出现“添加角色和功能向导”。
在“开始之前”屏幕上,单击“下一步”。
在“选择安装类型”屏幕上,单击“基于角色/功能的安装”,然后单击“下一步”。
在“选择服务器目标”屏幕上,单击“下一步”。
在“选择服务器角色”屏幕上,选中“Active Directory Rights Management Services”旁的框,然后单击“下一步”。
在“是否添加 Active Directory Rights Management Services 所需的功能?”对话框中,单击“添加功能”。
在“选择服务器角色”屏幕上,单击“下一步”。
在“选择要安装的功能”屏幕上,单击“下一步”。
在“Active Directory Rights Management Services”屏幕上,单击“下一步”。
在“选择角色服务”屏幕上,单击“下一步”。
在“Web 服务器角色 (IIS)”屏幕上,单击“下一步”。
在“选择角色服务”屏幕上,单击“下一步”。
在“确认安装选择”屏幕上,单击“安装”。
安装完成后,在 “安装进度 ”屏幕上,单击“ 执行其他配置”。 将显示 AD RMS 配置向导。
在 AD RMS 屏幕上,单击“ 下一步”。
在“AD RMS 群集”屏幕上,选择“创建新的 AD RMS 根群集”,然后单击“下一步”。
在 “配置数据库 ”屏幕上,单击 此服务器上的“使用 Windows 内部数据库”,然后单击“ 下一步”。
Note
建议仅将 Windows 内部数据库用于测试环境,因为它在 AD RMS 群集中不支持多个服务器。 生产部署应使用单独的数据库服务器。
在 “服务帐户 ”屏幕上,在 “域用户帐户”中,单击“ 指定 ”,然后指定用户名(contoso\rms),然后单击“密码”(pass@word1),然后单击“ 确定”,然后单击“ 下一步”。
在 “加密模式” 屏幕上,单击“ 加密模式 2”。
在“群集密钥存储”屏幕上,单击“下一步”。
在“群集密钥密码”屏幕的“密码”和“确认密码”框中,键入 pass@word1,然后单击“下一步”。
在“群集网站”屏幕上,请确保已选中“默认网站”,然后单击“下一步”。
在 “群集地址 ”屏幕上,选择“ 使用未加密的连接 ”选项,在“ 完全限定 域名”框中键入 FILE1.contoso.com,然后单击“ 下一步”。
在“许可方证书名称”屏幕上,接受文本框中的默认名称 (FILE1),然后单击“下一步。
在 SCP 注册 屏幕上,立即选择“ 注册 SCP”,然后单击“ 下一步”。
在 “确认 ”屏幕上,单击“ 安装”。
在“结果”屏幕上,单击“关闭”,然后单击“安装进度”屏幕上的“关闭”。 完成后,使用提供的密码(pass@word1)以 contoso\rms 身份注销并登录。
启动 AD RMS 控制台,然后导航至“权限策略模板”。
若要打开 AD RMS 控制台,请在服务器管理器中单击控制台树中的 “本地服务器 ”,然后单击“ 工具”,然后单击“ Active Directory Rights Management Services”。
单击位于右窗格的“创建分布式权限策略模板”,再单击“添加”,然后选择以下信息:
语言:美国英语
名称:仅限 Contoso 财务管理员
说明:仅限 Contoso 财务管理员
单击“ 添加”,然后单击“ 下一步”。
在“用户和权限”部分下,依次单击“用户和权限”和“添加”,键入 ,然后单击“确定”financeadmin@contoso.com。
选择完全控制,并保持授予所有者或作者完全控制权限且无到期日已选中。
浏览剩余的选项卡而不做更改,然后单击完成。 以 CONTOSO\Administrator 身份登录。
浏览到文件夹 C:\inetpub\wwwroot\_wmcs\certification,并选择 ServerCertification.asmx 文件,然后添加经过身份验证的用户以使其对该文件具有读写权限。
打开 Windows PowerShell 并运行
Get-FsrmRmsTemplate。 验证是否可以通过此命令在此过程看到你在之前步骤中创建的 RMS 模板。
Important
若需要立即更改文件服务器以便对其进行测试,则需要执行以下操作:
在文件服务器 FILE1 上,打开提升的命令提示符,然后运行以下命令:
- gpupdate /force。
- NLTEST /SC_RESET:contoso.com
在域控制器 (DC1) 上,复制 Active Directory。
有关强制复制 Active Directory 的步骤的详细信息,请参阅 Active Directory 复制
也可以选择使用 Windows PowerShell 来安装并配置 AD RMS 服务器角色,而不是使用服务器管理器中的添加角色和功能向导,如以下步骤所示。
使用 Windows PowerShell 在 Windows Server 2012 中安装并配置 AD RMS 群集
使用密码以 CONTOSO\Administrator 身份登录: pass@word1。
Important
要安装 AD RMS 服务器角色,安装程序帐户(在此案例中为 CONTOSO\Administrator)必须既是要安装 AD RMS 的服务器计算机上本地管理员组的成员,又是 Active Directory 中 Enterprise Admins 组的成员。
在服务器桌面上,在任务栏上右键单击 Windows PowerShell 图标,然后选择“以管理员身份运行” ,以使用管理权限打开 Windows PowerShell 提示符。
要使用服务器管理器 cmdlet 安装 AD RMS 服务器角色,请键入:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools创建 Windows PowerShell 驱动器来表示你要安装的 AD RMS 服务器。
例如,要创建一个名为 RC 的 Windows PowerShell 驱动器来安装和配置 AD RMS 根群集中的第一个服务器,请键入:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster在驱动器命名空间中的对象上设置属性,来表示所需的配置设置。
例如,要设置 AD RMS 服务帐户,请在 Windows PowerShell 命令提示符下键入:
$svcacct = Get-Credential在出现“Windows 安全性”对话框后,键入 AD RMS 服务帐户域用户名 CONTOSO\RMS 和分配的密码。
接下来,要为 AD RMS 群集设置指定 AD RMS 服务帐户,请键入以下内容:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct然后,要设置 AD RMS 服务器以使用 Windows 内部数据库,请在 Windows PowerShell 命令提示符下键入:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $true接着,要将群集密钥密码安全地存储在变量中,请在 Windows PowerShell 命令提示符下键入:
$password = Read-Host -AsSecureString -Prompt "Password:"键入该群集密钥密码,然后按 ENTER 键。
接下来,要将密码分配给 AD RMS 安装程序,请在 Windows PowerShell 命令提示符下键入:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password然后,要设置 AD RMS 群集地址,请在 Windows PowerShell 命令提示符下键入:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"接着,要为 AD RMS 安装分配 SLC 名称,请在 Windows PowerShell 命令提示符下键入:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"接下来,要为 AD RMS 群集设置服务连接点 (SCP),请在 Windows PowerShell 命令提示符下键入:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true运行 Install-ADRMS cmdlet。 除安装 AD RMS 服务器角色和配置服务器之外,此 cmdlet 还可安装 AD RMS 所需的其他功能(如果需要)。
例如,要更改为名为 RC 的 Windows PowerShell 驱动器,并且需要安装和配置 AD RMS,请键入:
Set-Location RC:\ Install-ADRMS -Path.当 cmdlet 提示你确认是否要开始安装时,请键入“Y”。
以 CONTOSO\Administrator 的身份注销,并使用提供的密码(“pass@word1”)以 CONTOSO\RMS 的身份进行登录。
Important
要管理 AD RMS 服务器角色,你所登录的用于管理服务器的帐户(在此案例中为 CONTOSO\RMS)必须既是 AD RMS 服务器计算机上本地管理员组的成员,又是 Active Directory 中 Enterprise Admins 组的成员。
在服务器桌面上,在任务栏上右键单击 Windows PowerShell 图标,然后选择“以管理员身份运行” ,以使用管理权限打开 Windows PowerShell 提示符。
创建 Windows PowerShell 驱动器来表示你要配置的 AD RMS 服务器。
例如,要创建名为 RC 的 Windows PowerShell 驱动器来配置 AD RMS 根群集,请键入:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope Global要在 AD RMS 安装中为 Contoso 财务管理员创建新的权限模板,并为其分配具有完全控制的用户权限,请在 Windows PowerShell 命令提示符下键入:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')要验证你是否可以查看面向 Contoso 财务管理员的新权限模板,请在 Windows PowerShell 命令提示符下键入:
Get-FsrmRmsTemplate查看此 cmdlet 的输出以确认是否存在之前步骤中创建的 RMS 模板。
构建邮件服务器 (SRV1)
SRV1 是 SMTP/POP3 邮件服务器。 你需要设置它,以便将发送电子邮件通知作为“拒绝访问”协助方案的一部分。
在此计算机上配置 Microsoft Exchange Server。 有关详细信息,请参阅 如何安装 Exchange Server。
构建客户端虚拟机 (CLIENT1)
构建客户端虚拟机
将 CLIENT1 连接到 ID_AD_Network。
安装 Microsoft Office 2010。
以 contoso\administrator 的身份登录,并使用以下信息来配置 Microsoft Outlook。
你的名称:文件管理员
电子邮件地址:fileadmin@contoso.com
帐户类型:POP3
传入邮件服务器:SRV1 的静态 IP 地址
传出邮件服务器:SRV1 的静态 IP 地址
用户名:fileadmin@contoso.com
记住密码:选择
在 contoso\administrator 桌面上创建 Outlook 的快捷方式。
打开 Outlook 并处理所有“首次启动”邮件。
删除已生成的所有测试邮件。
在客户端虚拟机上,为所有用户在桌面上创建到 \\FILE1\Finance Documents 的新快捷方式。
根据需要重新启动。
在客户端虚拟机上启用“拒绝访问”协助
打开注册表编辑器,然后导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer。
将 EnableShellExecuteFileStreamCheck 设置为 1。
值:DWORD
用于跨林部署声明方案的实验室设置
为 DC2 构建虚拟机
从 Windows Server 2012 ISO 构建虚拟机。
创建名为 DC2 的虚拟机。
将虚拟机连接到 ID_AD_Network。
Important
要将虚拟机加入到域并跨林部署声明类型,则需要这些虚拟机能够解析相关域的 FQDN。 为完成此操作,你可能需要手动在虚拟机上配置 DNS 设置。 有关详细信息,请参阅 配置服务器核心服务器。
必须对所有虚拟机映像(服务器和客户端)进行重新配置,以使用静态 IP 版本 4 (IPv4) 地址和域名系统 (DNS) 客户端设置。 有关详细信息,请参阅 为静态 IP 地址配置 DNS 客户端。
设置称为 adatum.com 的新林
安装 Active Directory 域服务
将虚拟机连接到 ID_AD_Network。 使用密码 Pass@word1以管理员身份登录到 DC2。
在服务器管理器中,单击“ 管理”,然后单击“ 添加角色和功能”。
在开始之前页上,单击下一步。
在“选择安装类型”页上,单击“基于角色或功能的安装”,然后单击“下一步”。
在“选择目标服务器”页上,单击“从服务器池中选择服务器”,并单击要安装 Active Directory 域服务 (AD DS) 的服务器的名称,然后单击“下一步”。
在“选择服务器角色”页上,单击“Active Directory 域服务”。 在“添加角色和功能向导”对话框中,单击“添加功能”,然后单击“下一步”。
在 “选择功能 ”页上,单击“ 下一步”。
在 AD DS 页上,查看信息,然后单击“ 下一步”。
在“确认”页上,单击“安装”。 “结果”页上的功能安装进度条指示正在安装角色。
在 “结果 ”页上,验证安装是否成功,然后在“ 管理”旁边的屏幕右上角单击带有感叹号的警告图标。 在任务列表中,单击“将此服务器升级为域控制器”链接。
Important
若此时关闭安装向导,而非单击“将此服务器升级为域控制器”,则你可以在服务器管理器中通过单击“任务”来继续安装 AD DS。
在“ 部署配置 ”页上,单击“ 添加新林”,键入根域的名称, adatum.com,然后单击“ 下一步”。
在“域控制器选项”页上,将域和林功能级别选为 Windows Server 2012,然后指定 DSRM 密码 pass@word1,再单击“下一步”。
在 “DNS 选项 ”页上,单击“ 下一步”。
在“ 其他选项 ”页上,单击“ 下一步”。
在 “路径 ”页上,键入 Active Directory 数据库、日志文件和 SYSVOL 文件夹(或接受默认位置)的位置,然后单击“ 下一步”。
在 “审阅选项” 页上,确认所选内容,然后单击“ 下一步”。
在“ 先决条件检查 ”页上,确认先决条件验证已完成,然后单击“ 安装”。
在“ 结果 ”页上,验证服务器是否已成功配置为域控制器,然后单击“ 关闭”。
重新启动服务器以完成 AD DS 安装。 (默认情况下,会自动执行此操作。)
Important
要确保网络配置正确,则在设置两个林之后,必须执行以下操作:
- 以 adatum\administrator 的身份登录到 adatum.com。 打开命令提示符窗口,键入 nslookup contoso.com,然后按 Enter。
- 以 contoso\administrator 的身份登录到 contoso.com。 打开命令提示符窗口,键入 nslookup adatum.com,然后按 Enter。
如果这些命令能够正确执行,则这两个林可相互通信。 有关 nslookup 错误的详细信息,请参阅“使用 NSlookup.exe”主题中的故障排除部分
将 contoso.com 设置为 adatum.com 的信任林
在此步骤中,你创建 Adatum Corporation 站点和 Contoso, Ltd. 站点之间的信任关系。
将 Contoso 设置为 Adatum 的信任林
以管理员的身份登录到 DC2。 在 “开始” 屏幕上,键入 domain.msc。
在控制台树中,右键单击 adatum.com,然后单击“属性”。
在“ 信任 ”选项卡上,单击“ 新建信任”,然后单击“ 下一步”。
在 “信任名称 ”页上,在“域名系统”(DNS)名称字段中键入 contoso.com,然后单击“ 下一步”。
在“ 信任类型 ”页上,单击“ 林信任”,然后单击“ 下一步”。
在“信任方向”页上,单击“双向”。
在“信任方”页面上,单击“此域和指定域”,然后单击“下一步”。
继续按照向导中的说明执行操作。
在 Adatum 林中创建其他用户
使用密码 pass@word1创建用户 Jeff Low,并使用 值 Adatum 分配公司属性。
创建带有公司属性的用户
在 Windows PowerShell 中打开提升的命令提示符,然后粘贴以下代码:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
创建 adataum.com 上的公司声明类型
使用 Windows PowerShell 创建声明类型
以管理员的身份登录到 adatum.com。
在 Windows PowerShell 中打开提升的命令提示符,然后键入以下代码:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
启用 contoso.com 上的公司资源属性
启用 contoso.com 上的公司资源属性
以管理员身份登录到 contoso.com。
在服务器管理器中,单击 “工具”,然后单击“ Active Directory 管理中心”。
在 Active Directory 管理中心的左窗格中,单击“ 树视图”。 在左窗格中,单击“动态访问控制”,然后双击“资源属性”。
从“资源属性”列表中选择“公司”,右键单击并选择“属性”。 在 “建议的值 ”部分中,单击“ 添加” 以添加建议的值:Contoso 和 Adatum,然后单击“ 确定 ”两次。
从“资源属性”列表中选择“公司”,右键单击并选择“启用”。
对 adatum.com 启用动态访问控制
对 adatum.com 启用动态访问控制
以管理员的身份登录到 adatum.com。
打开组策略管理控制台,单击 adatum.com,然后双击 域控制器。
右键单击“默认域控制器策略”,然后选择“编辑”。
在“组策略管理编辑器”窗口中,双击“ 计算机配置”,双击“ 策略”,双击“ 管理模板”,双击“ 系统”,然后双击“ KDC”。
双击“KDC 支持声明、复合身份验证和 Kerberos 保护”,然后选择“启用”旁的选项。 你需要启用此设置来使用中心访问策略。
打开提升的命令提示符并运行以下命令:
gpupdate /force
创建 contoso.com 的公司声明类型
使用 Windows PowerShell 创建声明类型
以管理员身份登录到 contoso.com。
在 Windows PowerShell 中,打开提升的命令提示符,然后键入以下代码:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
创建中心访问规则
创建中心访问规则
在 Active Directory 管理中心的左窗格中,单击“ 树视图”。 在左窗格中,单击“动态访问控制”,然后单击“中心访问规则”。
右键单击“中心访问规则”,单击“新建”,然后单击“中心访问规则”。
在 “名称” 字段中,键入 AdatumEmployeeAccessRule。
在 “权限 ”部分中,选择“ 使用以下权限”作为当前权限 选项,单击“ 编辑”,然后单击“ 添加”。 单击“选择主体”链接,键入“经过身份验证的用户”,然后单击“确定”。
在“权限的权限条目”对话框中,单击“添加条件”,然后输入以下条件:[User] [Company] [Equals] [Value] [Adatum]。 权限应为“修改、读取并执行、读取、写入”。
单击 “确定” 。
单击 “确定 ”三次以完成并返回到 Active Directory 管理中心。
Windows PowerShell 等效命令下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
创建中心访问策略
创建中心访问策略
以管理员身份登录到 contoso.com。
在 Windows PowerShell 中,打开提升的命令提示符,然后粘贴以下代码:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
通过组策略发布新策略
通过组策略跨文件服务器应用中心访问策略
在“开始”屏幕上,键入管理工具,然后在搜索栏中单击“设置”。 在 “设置” 结果中,单击 “管理工具”。 从 “管理工具” 文件夹打开组策略管理控制台。
Tip
如果“显示管理工具”设置处于禁用状态,则“管理工具”文件夹及其内容将不会出现在“设置”结果中。
右键单击 contoso.com 域,再单击“在此域中创建 GPO 并在此处链接”
键入 GPO 的描述性名称,如 AdatumAccessGPO,然后单击“ 确定”。
通过组策略将中心访问策略应用于文件服务器
在“开始”屏幕上,在“搜索”框中键入组策略管理。 从“管理工具”文件夹打开“组策略管理”。
Tip
如果“显示管理工具”设置处于禁用状态,则“管理工具”文件夹及其内容将不会出现在“设置”结果中。
导航至 Contoso 并将其选中,如下所示:Group Policy Management\Forest:contoso.com\Domains\contoso.com。
右键单击 AdatumAccessGPO 策略,然后选择“ 编辑”。
在组策略管理编辑器中,依次单击“计算机配置”、“策略”、“Windows 设置”和“安全设置”。
展开 文件系统,右键单击 “中央访问策略”,然后单击“ 管理中央访问策略”。
在“中心访问策略配合”对话框中,单击“添加”,选择“仅限 Adatum 访问策略”,然后单击“确定”。
关闭“组策略管理编辑器”。 现在,你已经将中心访问策略添加到组策略。
在文件服务器上创建 Earnings 文件夹
在 FILE1 上创建新的 NTFS 卷,并创建以下文件夹:D:\Earnings。
Note
默认情况下,不会在系统卷 C: 或引导卷 C: 上启用中心访问策略。
在“Earnings”文件夹上设置分类并应用中心访问策略
在文件服务器上分配中心访问策略
在 Hyper-V 管理器中,连接到服务器 FILE1。 使用 Contoso\Administrator 通过密码 pass@word1登录到服务器。
打开提升的命令提示符并键入: gpupdate /force。 这样可以确保组策略的更改将在你的服务器上生效。
还需要通过 Active Directory 刷新全局资源属性。 在 Windows PowerShell 上,键入
Update-FSRMClassificationpropertyDefinition,然后按 ENTER。 关闭 Windows PowerShell。打开 Windows 资源管理器,然后导航到 D:\EARNINGS。 右键单击 “收入 ”文件夹,然后单击“ 属性”。
单击“分类”选项卡。选择“公司”,然后在“值”字段中选择 Adatum。
单击“ 更改”,从下拉菜单中选择 “仅 Adatum 访问策略 ”,然后单击“ 应用”。
单击“ 安全 ”选项卡,单击“ 高级”,然后单击“ 中央策略 ”选项卡。应会看到 列出的 AdatumEmployeeAccessRule 。 你可以展开项以查看你在 Active Directory 中创建规则时设置的所有权限。
单击 “确定 ”返回到 Windows 资源管理器。