フォレスト間にわたる信頼性情報の展開 (デモンストレーション手順)

このトピックでは、信頼する側のフォレストと信頼される側のフォレストの間で要求の変換を構成する方法を説明する基本的なシナリオについて説明します。 要求変換ポリシー オブジェクトを作成し、信頼する側のフォレストと信頼される側のフォレストの信頼にリンクする方法について説明します。 次に、シナリオを検証します。

シナリオの概要

Adatum Corporation は、Contoso, Ltd. に金融サービスを提供しています。各四半期の Adatum 経理担当者は、会計スプレッドシートを Contoso, Ltd. に置かれているファイル サーバー上のフォルダーにコピーします。Contoso から Adatum への双方向の信頼が設定されています。 Contoso, Ltd. は、Adatum の従業員だけがリモート共有にアクセスできるように、共有を保護したいと考えています。

このシナリオでは:

1. 前提条件とテスト環境を設定する

2. 信頼されたフォレスト（Adatum）でクレームの変換を設定する

3. 信頼する側のフォレスト (Contoso) に要求の変換を設定する

4. シナリオを検証する

前提条件とテスト環境を設定する

テスト構成では、Adatum Corporation と Contoso, Ltd. という 2 つのフォレストを設定し、Contoso と Adatum の間に双方向の信頼関係を持たせます。 "adatum.com" は信頼される側のフォレストで、"contoso.com" は信頼する側のフォレストです。

要求変換のシナリオでは、信頼されているフォレスト内の要求を信頼する側のフォレストのクレームに変換する方法を示します。 これを行うには、adatum.com という名前の新しいフォレストを設定し、company 値が "Adatum" のテスト ユーザーをフォレストに設定する必要があります。 次に、contoso.com と adatum.com の間に双方向の信頼を設定する必要があります。

ラボ用に次の設定を行う必要があります。 これらの手順の詳細については、「付録 B: テスト環境の設定」を参照してください。

このシナリオのラボを設定するには、次の手順を実装する必要があります:

1. Adatum を信頼済みフォレストとして Contoso に設定する

2. Contoso で "会社" 要求の種類を作成する

3. Contoso で 'Company' リソース プロパティを有効にする

4. 中央アクセス規則を作成する

5. 集約型アクセス ポリシーを作成する

6. グループ ポリシーを使用して新しいポリシーを発行する

7. ファイル サーバーに [収益] フォルダーを作成する

8. 分類を設定し、新しいフォルダーに集約型アクセス ポリシーを適用する

このシナリオを完了するには、次の情報を使用します:

信頼されているフォレスト (Adatum) で要求変換を設定する

このステップでは、Adatum で変換ポリシーを作成して、Contoso に渡す "Company" 以外のすべての要求を拒否します。

Windows PowerShell 用 Active Directory モジュールには DenyAllExcept 引数が用意されています。この引数は、変換ポリシーで指定された要求を除くすべてを削除します。

要求変換を設定するには、要求変換ポリシーを作成して、信頼されているフォレストと信頼する側のフォレスト間でリンクする必要があります。

Adatum で要求変換ポリシーを作成する

"Company" 以外のすべての要求を拒否するように変換ポリシーの Adatum を作成するには

1. adatum.com のドメイン コントローラーに管理者としてサインインし、パスワード pass@word1 を使用します。

2. Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:

   New-ADClaimTransformPolicy `
   -Description:"Claims transformation policy to deny all claims except Company"`
   -Name:"DenyAllClaimsExceptCompanyPolicy" `
   -DenyAllExcept:company `
   -Server:"adatum.com" `
   
   

Adatum の信頼ドメイン オブジェクトで要求変換リンクを設定する

この手順では、新しく作成された要求変換ポリシーを、Contoso の Adatum の信頼ドメイン オブジェクトに適用します。

要求変換ポリシーを適用するには

1. adatum.com のドメイン コントローラーに管理者としてサインインし、パスワード pass@word1 を使用します。

2. Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:

   
     Set-ADClaimTransformLink `
   -Identity:"contoso.com" `
   -Policy:"DenyAllClaimsExceptCompanyPolicy" `
   '"TrustRole:Trusted `
   
   

信頼する側のフォレスト (Contoso) に要求の変換を設定する

このステップでは、Contoso (信頼する側のフォレスト) の要求変換ポリシーを作成して、"Company" 以外のすべての要求を拒否します。 要求変換ポリシーを作成し、それをフォレストの信頼にリンクする必要があります。

Contoso で要求変換ポリシーを作成する

"Company" 以外のすべてを拒否するように変換ポリシーの Adatum を作成するには

1. 管理者として contoso.com ドメインコントローラーにサインインし、パスワード pass@word1 を使用します。

2. Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:

   New-ADClaimTransformPolicy `
   -Description:"Claims transformation policy to deny all claims except company" `
   -Name:"DenyAllClaimsExceptCompanyPolicy" `
   -DenyAllExcept:company `
   -Server:"contoso.com" `
   
   

Contoso の信頼ドメイン オブジェクトで要求変換リンクを設定する

この手順では、Adatum の contoso.com trust ドメイン オブジェクトに新しく作成された要求変換ポリシーを適用して、"Company" を contoso.com に渡すことができるようにします。 信頼ドメインオブジェクトの名前は adatum.com です。

要求変換ポリシーを適用するには

1. 管理者として contoso.com ドメインコントローラーにサインインし、パスワード pass@word1 を使用します。

2. Windows PowerShell で管理者特権でのコマンド プロンプトを開き、次のコードを入力します:

   
     Set-ADClaimTransformLink
   -Identity:"adatum.com" `
   -Policy:"DenyAllClaimsExceptCompanyPolicy" `
   -TrustRole:Trusting `
   
   

シナリオを検証する

このステップでは、ファイル サーバー FILE1 にセットアップされた D:\EARNINGS フォルダーにアクセスして、ユーザーが共有フォルダーにアクセスできることを検証します。

Adatum ユーザーが共有フォルダーにアクセスできるようにするには

1. CLIENT1として Jeff Low で、パスワード pass@word1 を使ってクライアント コンピューターにログオンします。

2. \\FILE1.contoso.com\Earnings フォルダーを参照します。

3. Jeff Low はフォルダーにアクセスできる必要があります。

要求変換ポリシーのその他のシナリオ

要求変換のその他の一般的なケースの一覧を次に示します。

関連項目

• 要求変換に使用できるすべての Windows PowerShell コマンドレットの一覧については、「 Active Directory PowerShell コマンドレット リファレンス」を参照してください。

• 2 つのフォレスト間での DAC 構成情報のエクスポートとインポートを伴う高度なタスクについては、動的アクセス制御 PowerShell リファレンスを使用します。

• フォレスト間にわたる要求の展開

• 要求変換規則の言語

• 動的アクセス制御: シナリオの概要