部署中心访问策略（示范步骤）

在此方案中，将结合使用财务部门安全操作与中心信息安全性来指定对中心访问策略的需求，以便保护存储在文件服务器上的已存档财务信息。 每个国家/地区的已存档的财务信息可以只读形式由来自同一国家/地区的财务人员访问。 中心财务管理员组可以访问来自所有国家/地区的财务信息。

中心访问策略的部署包括以下阶段：

设置测试环境

在开始之前，需要设置实验室以测试该方案。 附录 B：设置测试环境中详细介绍了用于设置实验室的步骤。

计划：确定对策略的需求和部署所需的配置

本部分提供了一系列高级步骤，可帮助你规划部署。

实现：配置组件和策略

本部分提供了有关为财务文档部署中心访问策略的示例。

在以下步骤中，你创建两个声明类型：Country 和 Department。

创建声明类型

1. Open Server DC1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.

2. 打开“Active Directory 管理中心”。

3. 单击“树视图图标”，展开“动态访问控制”，然后选择“声明类型”。

   Right-click Claim Types, click New, and then click Claim Type.

   Tip

   还可以从“任务”窗格中打开“创建声明类型：”窗口。 On the Tasks pane, click New, and then click Claim Type.

4. In the Source Attribute list, scroll down the list of attributes, and click department. This should populate the Display name field with department. Click OK.

5. In Tasks pane, click New, and then click Claim Type.

6. In the Source Attribute list, scroll down the list of attributes, and then click the c attribute (Country-Name). In the Display name field, type country.

7. In the Suggested Values section, select The following values are suggested:, and then click Add.

8. In the Value and Display name fields, type US, and then click OK.

9. 重复上述步骤。 在“添加建议值”对话框中，在“值”和“显示名称”字段中键入“JP”，然后单击“确定”。

Windows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department

下一步是创建资源属性。 在下列过程中，将创建资源属性，该属性会自动添加到域控制器上的“全局资源属性”列表，以便其可用于文件服务器。

创建并启用预创建的资源属性

1. In the left pane of Active Directory Administrative Center, click Tree View. 展开“动态访问控制”，然后选择“资源属性”。

2. Right-click Resource Properties, click New, and then click Reference Resource Property.

   Tip

   You can also choose a resource property from the Tasks pane. Click New and then click Reference Resource Property.

3. 在“选择要共享其建议值的声明类型列表”中，单击“国家/地区”。

4. In the Display name field, type country, and then click OK.

5. Double-click the Resource Properties list, scroll down to the Department resource property. Right-click, and then click Enable. This will enable the built-in Department resource property.

6. In the Resource Properties list on the navigation pane of the Active Directory Administrative Center, you will now have two enabled resource properties:

   • Country

   • Department

Windows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS

下一步是创建中心访问规则，该规则定义了哪些用户可以访问资源。 在此方案中，业务规则是：

• 只有财务部门的成员才可以读取财务文档。

• 财务部门的成员只能在自己的国家/地区访问文档。

• 仅财务主管才具有写入访问权限。

• 将允许 FinanceException 组的成员的例外。 该组具有读取访问权限。

• 管理员和文档所有者仍具有完全访问权限。

或使用 Windows Server 2012 构造表示规则：

目标：Resource.Department 包含 Finance

Access Rules:

• 允许读取 User.Country=Resource.Country AND User.department = Resource.Department

• 允许完全控制 User.MemberOf(FinanceAdmin)

• 允许读取 User.MemberOf(FinanceException)

创建中心访问规则

1. In the left pane of the Active Directory Administrative Center, click Tree View, select Dynamic Access Control, and then click Central Access Rules.

2. 右击“中心访问规则”，单击“新建”，然后单击“中心访问规则”。

3. In the Name field, type Finance Documents Rule.

4. In the Target Resources section, click Edit, and in the Central Access Rule dialog box, click Add a condition. Add the following condition: [Resource] [Department] [Equals] [Value] [Finance], and then click OK.

5. In the Permissions section, select Use following permissions as current permissions, click Edit, and in the Advanced Security Settings for Permissions dialog box click Add.

   Note

   在暂存期间，可使用“使用下列权限作为建议的权限”选项来创建策略。 有关如何执行此操作的详细信息，请参阅本主题中的“维护：更改和暂存策略”部分。

6. 在“权限的权限条目”对话框中，单击“选择主体”，键入“经过身份验证的用户”，然后单击“确定”。

7. 在“权限的权限条目”对话框中，单击“添加条件”，然后添加以下条件：[用户] [国家/地区] [任何] [资源] [国家/地区] 单击“添加条件”。 [And] Click [User] [Department] [Any of] [Resource] [Department]. Set the Permissions to Read.

8. Click OK, and then click Add. 单击“选择主体”，键入“FinanceAdmin”，然后单击“确定”。

9. 选择“修改、读取并执行、读取、写入”权限，然后单击“确定”。

10. Click Add, click Select a principal, type FinanceException, and then click OK. Select the permissions to be Read and Read and Execute.

11. Click OK three times to finish and return to Active Directory Administrative Center.

Windows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

现在应具有中心访问规则，该规则允许用户在同一国家/地区及同一部门中访问文档。 该规则允许 FinanceAdmin 组编辑文档，并且它还允许 FinanceException 组读取文档。 该规则仅适用于被归类为“财务”的文档。

向中心访问策略添加中心访问规则

1. 在 Active Directory 管理中心的左窗格中，单击“动态访问控制”，然后单击“中心访问策略”。

2. In the Tasks pane, click New, and then click Central Access Policy.

3. 在“创建中心访问策略：”中，在“名称”框中键入“财务策略”。

4. 在“成员中心访问规则”中，单击“添加”。

5. 双击“财务文档规则”以将其添加到“添加以下中心访问规则”列表，然后单击“确定”。

6. Click OK to finish. 现在应具有名为“财务策略”的中心访问策略。

Windows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"

通过使用组策略跨文件服务器应用中心访问策略

1. On the Start screen, in the Search box, type Group Policy Management. 双击“组策略管理”。

   Tip

   如果显示管理工具设置处于禁用状态，管理工具文件夹及其内容不会显示在设置结果中。

   Tip

   在生产环境中，应创建要在其中应用此策略的文件服务器组织单位 (OU)，并将所有文件服务器都添加到该 OU。 然后可以创建组策略，并将此 OU 添加到此策略。

2. 在此步骤中，你会编辑已在测试环境中的生成域控制器部分创建的组策略对象，以包含创建的中心访问策略。 在“组策略管理编辑器”中，导航到并选择域（在此示例中为 contoso.com）中的组织单位：组策略管理、林：contoso.com、域、contoso.com、Contoso、FileServerOU。

3. Right-click FlexibleAccessGPO, and then click Edit.

4. In the Group Policy Management Editor window, navigate to Computer Configuration, expand Policies, expand Windows Settings, and click Security Settings.

5. Expand File System, right-click Central Access Policy, and then click Manage Central access policies.

6. 在“中心访问策略配置”对话框中，添加“财务策略”，然后单击“确定”。

7. 向下滚动到“高级审核策略配置”，并将其展开。

8. Expand Audit Policies, and select Object Access.

9. 双击“审核中心访问策略暂存”。 Select all three check boxes and then click OK. 该步骤允许系统收到与中心访问暂存策略相关的审核事件。

10. 双击“审核文件系统属性”。 Select all three check boxes then click OK.

11. 关闭“组策略管理编辑器”。 现在，你已经将中心访问策略添加到组策略。

若要使域的域控制器提供声明或设备授权数据，需要将其配置为支持动态访问控制。

针对 contoso.com 启用对声明和复合身份验证的支持

1. Open Group Policy Management, click contoso.com, and then click Domain Controllers.

2. 右键单击“默认域控制器策略”，然后单击“编辑”。

3. In the Group Policy Management Editor window, double-click Computer Configuration, double-click Policies, double-click Administrative Templates, double-click System, and then double-click KDC.

4. 双击“KDC 支持声明、复合身份验证和 Kerberos 保护”。 在“KDC 支持声明、复合身份验证和 Kerberos 保护”对话框中，单击“已启用”，然后从“选项”下拉列表中选择“受支持”。 （需要启用此设置以使用中心访问策略中的用户声明。）

5. 关闭“组策略管理” 。

6. 打开命令提示符并键入 gpupdate /force。

部署中心访问策略

在此步骤中，你会将中心访问策略分配给文件服务器。 你将登录到接收之前步骤中创建的中心访问策略的文件服务器，并将该策略分配给某个共享文件夹。

向文件服务器分配中心访问策略

1. 在 Hyper-V 管理器中，连接到服务器 FILE1。 Log on to the server by using contoso\administrator with the password: pass@word1.

2. Open an elevated command prompt and type: gpupdate /force. 这样可以确保组策略的更改将在你的服务器上生效。

3. 还需要通过 Active Directory 刷新全局资源属性。 打开提升的 Windows PowerShell 窗口并键入 Update-FSRMClassificationpropertyDefinition。 单击“ENTER”，然后关闭 Windows PowerShell。

   Tip

   还可以通过登录到文件服务器来刷新全局资源属性。 若要通过文件服务器刷新全局资源属性，请执行以下操作

   1. Logon to File Server FILE1 as contoso\administrator, using the password pass@word1.
   2. 打开文件服务器资源管理器。 To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.
   3. 在文件服务器资源管理器中，单击“文件分类管理”，右击“分类属性”，然后单击“刷新”。

4. Open Windows Explorer, and in the left pane, click drive D. Right-click the Finance Documents folder, and click Properties.

5. Click the Classification tab, click Country, and then select US in the Value field.

6. Click Department, then select Finance in the Value field and then click Apply.

   Note

   请记住，已将中心访问策略配置为针对财务部门的文件。 在前面步骤中，已通过国家/地区和部门属性标记文件夹中的所有文档。

7. Click the Security tab, and then click Advanced. Click the Central Policy tab.

8. Click Change, select Finance Policy from the drop-down menu, and then click Apply. 可以在此策略中查看列出的“财务文档规则”。 通过展开项，来查看在 Active Directory 中创建规则时所设置的所有权限。

9. Click OK to return to Windows Explorer.

在下一步骤中，请确保访问权限已正确配置。 用户帐户需要设置相应的“部门”属性（使用 Active Directory 管理中心来设置该属性）。 The simplest way to view the effective results of the new policy is to use the Effective Access tab in Windows Explorer. The Effective Access tab shows the access rights for a given user account.

检查各类用户的访问权限

1. 在 Hyper-V 管理器中，连接到服务器 FILE1。 使用 contoso\administrator 登录到服务器。 导航至 Windows 资源管理器中的 D:\。 Right-click the Finance Documents folder, and then click Properties.

2. Click the Security tab, click Advanced, and then click the Effective Access tab.

3. 若要检查用户的权限，请单击“选择用户”，键入用户的名称，然后单击“查看有效访问”以查看有效访问权限。 For example:

   • Myriam Delesalle (MDelesalle) 是财务部门的成员，因此应具有文件夹的读取访问权限。

   • Miles Reid (MReid) 是 FinanceAdmin 组的成员，因此应具有对文件夹的修改访问权限。

   • Esther Valle (EValle) 不是财务部门的成员；但是，她是 FinanceException 组的成员，因此应具有读取访问权限。

   • Maira Wenzel (MWenzel) 不是财务部门的成员，并且也不是 FinanceAdmin 或 FinanceException 组的成员。 她不应具有对文件夹的任何访问权限。

   请注意“有效访问”窗口中名为“访问限制”的最后一列。 该列会告诉你哪些入口会影响到用户的权限。 在此案例中，共享和 NTFS 权限将允许所有用户进行完全控制。 但是，中心访问策略将根据之前配置的规则来限制访问权限。

维护：更改和暂存策略

设置组策略设置以启用设备的声明

1. Log on to DC1, open Group Policy Management, click contoso.com, click Default Domain Policy, right-click and select Edit.

2. In the Group Policy Management Editor window, navigate to Computer Configuration, Policies, Administrative Templates, System, Kerberos.

3. 选择“对声明、复合身份验证和 Kerberos 保护的 KDC 客户端支持”，并单击“启用”。

启用设备的声明

1. Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.

2. From the Tools menu, open Active Directory Administrative Center.

3. Click Tree View, expand Dynamic Access Control, double-click Claim Types, and double-click the country claim.

4. 在“可为以下类发出此类声明”中，选中“计算机”复选框。 Click OK. Both the User and Computer check boxes should now be selected. 现在，除了可以与用户一起使用外，国家/地区声明还可以与设备一起使用。

下一步是创建暂存策略规则。 通过使用暂存策略，可在启用新策略项之前监视它的效果。 在以下步骤中，将创建一个暂存策略项，并监视在共享文件夹上的效果。

创建暂存策略规则并将其添加到中心访问策略

1. Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.

2. 打开“Active Directory 管理中心”。

3. Click Tree View, expand Dynamic Access Control, and select Central Access Rules.

4. 右击“财务文档规则”，然后单击“属性”。

5. In the Proposed Permissions section, select the Enable permission staging configuration check box, click Edit, and then click Add. 在“建议权限的权限条目”窗口中，单击“选择主体 ”链接，键入“经过身份验证的用户”，然后单击“确定”。

6. 单击“添加条件”链接并添加以下条件：[用户] [国家/地区] [任何] [资源] [国家/地区]。

7. 再次单击“添加条件”链接并添加以下条件：[并且] [设备] [国家/地区] [任何] [资源] [国家/地区]

8. 再次单击“添加条件”，并添加以下条件。 [And] [User] [Group] [Member of any] [Value](FinanceException)

9. To set the FinanceException, group, click Add items and in the Select User, Computer, Service Account, or Group window, type FinanceException.

10. Click Permissions, select Full Control, and click OK.

11. In the Advance Security Settings for Proposed Permissions window, select FinanceException and click Remove.

12. Click OK two times to finish.

Windows PowerShell equivalent commands

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"

在此建议的权限集中，当 FinanceException 组成员通过自己国家/地区内的设备进行访问时，该组成员对来自同一国家/地区的文件具有完全访问权限。 当财务部门的人员尝试访问文件时，审核项将在文件服务器安全日志中可用。 但是，在策略从暂存推广之前，不会强制执行安全设置。

在下一过程中，你将验证暂存策略的结果。 通过使用基于当前规则具有权限的用户名，来访问共享文件夹。 Esther Valle (EValle) 是 FinanceException 组的成员，她当前拥有读取权限。 根据暂存策略，EValle 不应具有任何权限。

验证暂存策略结果

1. Connect to the File Server FILE1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.

2. Open a Command Prompt window and type gpupdate /force. 这样可以确保组策略的更改将在该服务器上生效。

3. 在 Hyper-V 管理器中，连接到服务器 CLIENT1。 注销当前登录的用户。 重新启动虚拟机 CLIENT1。 然后，以 contoso\EValle 的身份使用 pass@word1 登录到计算机。

4. 双击 \\FILE1\Finance Documents 的桌面快捷方式。 EValle 应仍有权访问文件。 重新切换到 FILE1。

5. Open Event Viewer from the shortcut on the desktop. Expand Windows Logs, and then select Security. 打开“中心访问策略暂存”任务类别下事件 ID 为 4818 的条目。 你将看到 EValle 已具有访问权限；但是，根据暂存策略，将拒绝授予用户访问权限。

Next Steps

如果存在中心服务器管理系统（如 System Center Operations Manager），则你还可以配置监视事件。 这使管理员能够在强制执行中心访问策略之前监视这些策略的效果。