이 시나리오에서는 재무 부서 보안 운영 팀이 중앙 정보 보안 팀과 함께 파일 서버에 저장되어 있는 보관된 재무 정보를 보호하기 위해 중앙 액세스 정책의 필요성을 지정하는 단계에 대해 설명합니다. 각 국가의 보관된 재무 정보에는 해당 국가의 재무 직원이 읽기 전용으로 액세스할 수 있습니다. 중앙 재무 관리자 그룹은 모든 국가의 재무 정보에 액세스할 수 있습니다.
중앙 액세스 정책 배포는 다음 단계로 구성됩니다.
| Phase | Description |
|---|---|
| 정책 및 배포에 필요한 구성에 대 한 필요성을 식별 하는 계획: | 정책의 필요성 및 배포에 필요한 구성 확인 |
| 구현: 구성 요소 및 정책 | 구성 요소 및 정책 구성 |
| 중앙 액세스 정책 배포 | 정책 배포 |
| 변경: 유지 및 정책 준비 | 정책 변경 및 준비 합니다. |
테스트 환경 설정
시작하기 전에 이 시나리오를 테스트할 랩을 설정해야 합니다. 랩 설정에 대 한 단계에서 자세히 설명 되어 부록 b: the 테스트 환경 설정을합니다.
정책 및 배포에 필요한 구성에 대 한 필요성을 식별 하는 계획:
이 섹션에서는 배포의 계획 단계에 도움이 되는 개략적인 단계를 제공합니다.
| Step # | Step | Example |
|---|---|---|
| 1.1 | 회사에서 중앙 액세스 정책이 필요한 것으로 결정 | 파일 서버에 저장된 재무 정보를 보호하기 위해 재무 부서 보안 운영 팀은 중앙 정보 보안 팀과 함께 중앙 액세스 정책의 필요성을 지정합니다. |
| 1.2 | 액세스 정책 표현 | 재무 문서는 재무 부서의 구성원만 볼 수 있어야 합니다. 재무 부서의 구성원은 해당 국가의 문서에만 액세스해야 합니다. 재무 관리자만 쓰기 권한이 있어야 합니다. FinanceException 그룹의 구성원에게는 예외가 허용됩니다. 이 그룹에는 읽기 권한이 부여됩니다. |
| 1.3 | Windows Server 2012 구문으로 액세스 정책 표현 | Targeting: -Resource.Department 재무를 포함합니다. Access rules: -허용 읽기 User.Country=Resource.Country AND User.department = Resource.Department Exception: 읽기 멤버십(FinanceException) 허용 |
| 1.4 | 정책에 필요한 파일 속성 결정 | 파일에 지정할 태그: - Department |
| 1.5 | 정책에 필요한 클레임 유형 및 그룹 결정 | Claim types: - Country User groups: - FinanceAdmin |
| 1.6 | 이 정책을 적용할 서버 결정 | 모든 재무 파일 서버에 정책을 적용합니다. |
구현: 구성 요소 및 정책
이 섹션에서는 재무 문서에 대한 중앙 액세스 정책을 배포하는 예제를 제공합니다.
| Step # | Step | Example |
|---|---|---|
| 2.1 | 클레임 유형 만들기 | 다음 클레임 유형을 만듭니다. - Department |
| 2.2 | 리소스 속성 만들기 | 다음 리소스 속성을 만들고 사용하도록 설정합니다. - Department |
| 2.3 | 중앙 액세스 규칙 구성 | 이전 섹션에서 결정한 정책이 포함된 Finance Documents 규칙을 만듭니다. |
| 2.4 | CAP(중앙 액세스 규칙) 구성 | 재무 정책이라는 CAP를 만들고 이 CAP에 Finance Documents 규칙을 추가합니다. |
| 2.5 | 중앙 액세스 정책의 대상으로 파일 서버로 지정 | 파일 서버에 재무 정책 CAP를 게시합니다. |
| 2.6 | 클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원 설정 | contoso.com에 대해 클레임, 복합 인증 및 Kerberos 아머링(armoring)에 대한 KDC 지원을 설정합니다. |
다음 절차에서는 두 개의 클레임 형식 만들게: 국가 및 부서입니다.
클레임 유형을 만들려면
Open Server DC1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.
Active Directory 관리 센터를 엽니다.
클릭는 트리 뷰 아이콘, 확장 동적 액세스 제어, 를 선택한 다음 클레임 유형은합니다.
Right-click Claim Types, click New, and then click Claim Type.
Tip
열 수도 있습니다는 클레임 유형 만들기: 에서 창 고 작업 창. On the Tasks pane, click New, and then click Claim Type.
In the Source Attribute list, scroll down the list of attributes, and click department. This should populate the Display name field with department. Click OK.
In Tasks pane, click New, and then click Claim Type.
In the Source Attribute list, scroll down the list of attributes, and then click the c attribute (Country-Name). In the Display name field, type country.
In the Suggested Values section, select The following values are suggested:, and then click Add.
In the Value and Display name fields, type US, and then click OK.
위 단계를 반복합니다. 에 제안 값 추가 대화 상자에서 JP 에 값 및 표시 이름 필드 및 클릭 한 다음 확인합니다.
Windows PowerShell equivalent commands
다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
Tip
Active Directory 관리 센터의 Windows PowerShell 기록 뷰어를 사용하여 Active Directory 관리 센터에서 수행하는 각 작업에 대한 Windows PowerShell cmdlet을 조회할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 기록 뷰어
다음 단계에서는 리소스 속성을 만듭니다. 아래 절차에 따라 파일 서버에서 사용할 수 있도록 도메인 컨트롤러의 전역 리소스 속성 목록에 자동으로 추가되는 리소스 속성을 만들 수 있습니다.
리소스 속성을 만들고 미리 만든 리소스 속성을 사용하려면
In the left pane of Active Directory Administrative Center, click Tree View. 확장 동적 액세스 제어, 를 선택한 다음 리소스 속성합니다.
Right-click Resource Properties, click New, and then click Reference Resource Property.
Tip
You can also choose a resource property from the Tasks pane. Click New and then click Reference Resource Property.
제안 된 값 목록을 공유 하려면 클레임 유형을 선택, 클릭 국가합니다.
In the Display name field, type country, and then click OK.
Double-click the Resource Properties list, scroll down to the Department resource property. Right-click, and then click Enable. This will enable the built-in Department resource property.
In the Resource Properties list on the navigation pane of the Active Directory Administrative Center, you will now have two enabled resource properties:
Country
Department
Windows PowerShell equivalent commands
다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_MS
다음 단계에서는 리소스에 액세스할 수 있는 사람을 정의하는 중앙 액세스 규칙을 만듭니다. 이 시나리오의 비즈니스 규칙은 다음과 같습니다.
재무 문서는 재무 부서의 구성원만 볼 수 있습니다.
재무 부서의 구성원은 해당 국가의 문서에만 액세스할 수 있습니다.
재무 관리자만 쓰기 권한을 가질 수 있습니다.
FinanceException 그룹의 구성원에게는 예외가 허용됩니다. 이 그룹에는 읽기 권한이 부여됩니다.
관리자와 문서 소유자는 여전히 모든 권한을 가집니다.
또는 Windows Server 2012 구문으로 규칙을 표현 합니다.
재무 포함 되어 Resource.Department 목표 설정:
Access Rules:
Allow read User.Country=Resource.Country AND User.department = Resource.Department
전체 제어 허용 User.MemberOf(FinanceAdmin)
사용자의 MemberOf(FinanceException) 읽기 허용
중앙 액세스 규칙을 만들려면
In the left pane of the Active Directory Administrative Center, click Tree View, select Dynamic Access Control, and then click Central Access Rules.
마우스 오른쪽 단추로 클릭 중앙 액세스 규칙, 클릭 새로, 를 클릭 하 고 중앙 액세스 규칙합니다.
In the Name field, type Finance Documents Rule.
In the Target Resources section, click Edit, and in the Central Access Rule dialog box, click Add a condition. Add the following condition: [Resource] [Department] [Equals] [Value] [Finance], and then click OK.
In the Permissions section, select Use following permissions as current permissions, click Edit, and in the Advanced Security Settings for Permissions dialog box click Add.
Note
다음 권한을 임시 권한으로 사용 하 여 옵션 준비에는 정책을 만들 수 있습니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 유지 관리를 참조 하십시오: 변경 및 스테이지 정책 섹션을이 참조 합니다.
에 사용 권한 권한 항목 대화 상자, 클릭 보안 주체 선택, 형식 Authenticated Users, 클릭 하 고 확인합니다.
권한에 대한 권한 항목 대화 상자에서 조건 추가를 클릭하고 다음 조건을 추가합니다. [사용자] [국가] [모든] [리소스] [국가] 조건 추가를 클릭합니다. [And] Click [User] [Department] [Any of] [Resource] [Department]. Set the Permissions to Read.
Click OK, and then click Add. 클릭 보안 주체 선택, 형식 FinanceAdmin, 를 클릭 하 고 확인합니다.
선택 된 수정, 읽기 및 실행, 읽기, 쓰기 권한과 클릭 한 다음 확인합니다.
Click Add, click Select a principal, type FinanceException, and then click OK. Select the permissions to be Read and Read and Execute.
Click OK three times to finish and return to Active Directory Administrative Center.
Windows PowerShell equivalent commands
다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." + $countryClaimType.Name + " Any_of @RESOURCE." + $countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name + " Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + " Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
Important
위 예제 cmdlet에서 FinanceAdmin 그룹과 사용자의 SID(보안 식별자)는 만들 당시에 정해지므로 실제 예에서는 이와 다릅니다. 예를 들어 FinanceAdmins에 제공된 SID 값 (S-1-5-21-1787166779-1215870801-2157059049-1113)을 실제 배포에서 만들어야 하는 FinanceAdmin 그룹의 실제 SID로 바꿔야 합니다. 이 그룹의 SID 값을 조회를 해당 값을 변수에 할당 한 다음 변수를 여기서 사용 하려면 Windows PowerShell을 사용할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 팁: Sid합니다.
이제 사용자가 동일한 국가와 동일한 부서의 문서에 액세스할 수 있는 중앙 액세스 규칙이 만들어졌습니다. 이 규칙은 FinanceAdmin 그룹에서 문서를 편집할 수 있도록 허용하고, FinanceException 그룹에서 문서를 읽을 수 있도록 허용합니다. 이 규칙은 재무로 분류된 문서에만 적용됩니다.
중앙 액세스 정책에 중앙 액세스 규칙을 추가하려면
Active Directory 관리 센터의 왼쪽된 창에서 클릭 동적 액세스 제어, 를 클릭 하 고 중앙 액세스 정책을합니다.
In the Tasks pane, click New, and then click Central Access Policy.
중앙 액세스 정책 만들기:, 형식 재무 정책 에 이름 상자입니다.
구성원 중앙 액세스 규칙, 클릭 추가합니다.
두 번 클릭 하는 Finance Documents 규칙 추가 하는 다음 중앙 액세스 규칙을 추가 목록을 연 다음 클릭 확인.
Click OK to finish. 이제 재무 정책이라는 중앙 액세스 정책이 만들어졌습니다.
Windows PowerShell equivalent commands
다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
그룹 정책을 사용하여 파일 서버에서 중앙 액세스 정책을 적용하려면
On the Start screen, in the Search box, type Group Policy Management. 두 번 클릭 그룹 정책 관리합니다.
Tip
하는 경우는 관리 도구 표시 설정은 사용자가 관리 도구 폴더와 해당 내용에 표시 되지 것입니다는 설정을 결과입니다.
Tip
프로덕션 환경에서는 파일 서버 OU(조직 단위)를 만들고 이 OU에 이 정책을 적용할 모든 파일 서버를 추가해야 합니다. 그런 다음 그룹 정책을 만들고 해당 정책에 이 OU를 추가할 수 있습니다.
이 단계에서에서 만든 그룹 정책 개체 편집 도메인 컨트롤러 빌드 만든 중앙 액세스 정책을 포함 하도록 테스트 환경에서 섹션입니다. 그룹 정책 관리 편집기에서 탐색 하 고 (이 예에서는 contoso.com) 도메인에 조직 구성 단위를 선택 합니다.: 그룹 정책 관리, 포리스트: contoso.com, 도메인, contoso.com, Contoso, FileServerOU합니다.
Right-click FlexibleAccessGPO, and then click Edit.
In the Group Policy Management Editor window, navigate to Computer Configuration, expand Policies, expand Windows Settings, and click Security Settings.
Expand File System, right-click Central Access Policy, and then click Manage Central access policies.
에 중앙 액세스 정책 구성 대화 상자에서 추가 재무 정책, 를 클릭 하 고 확인합니다.
아래로 스크롤하여 고급 감사 정책 구성, 를 확장 합니다.
Expand Audit Policies, and select Object Access.
두 번 클릭 중앙 액세스 정책 준비 감사합니다. Select all three check boxes and then click OK. 이 단계를 수행하면 시스템에서 중앙 액세스 준비 정책과 관련된 감사 이벤트를 받을 수 있습니다.
두 번 클릭 파일 시스템 속성 감사합니다. Select all three check boxes then click OK.
그룹 정책 관리 편집기를 닫습니다. 이제 그룹 정책에 중앙 액세스 정책이 포함되었습니다.
클레임 또는 디바이스 권한 부여 데이터를 제공 하는 도메인의 도메인 컨트롤러에 대 한 도메인 컨트롤러가 동적 액세스 제어를 지원 하도록 구성 해야 합니다.
contoso.com에 대해 클레임 및 복합 인증을 지원하려면
Open Group Policy Management, click contoso.com, and then click Domain Controllers.
기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭한 다음, 편집을 클릭합니다.
In the Group Policy Management Editor window, double-click Computer Configuration, double-click Policies, double-click Administrative Templates, double-click System, and then double-click KDC.
두 번 클릭 클레임에 대 한 KDC 지원 복합 인증 및 Kerberos 아머 링합니다. 에 클레임에 대 한 KDC 지원 복합 인증 및 Kerberos 아머 링 대화 상자, 클릭 Enabled 선택 하 고 지원 되 에서 옵션 드롭 다운 목록. 중앙 액세스 정책에서 사용자 클레임을 사용하려면 이 설정을 지정해야 합니다.
그룹 정책 관리를 닫습니다.
명령 프롬프트를 열고
gpupdate /force를 입력합니다.
중앙 액세스 정책 배포
| Step # | Step | Example |
|---|---|---|
| 3.1 | 파일 서버의 적절한 공유 폴더에 CAP 할당 | 파일 서버의 적절한 공유 폴더에 중앙 액세스 정책을 할당합니다. |
| 3.2 | 액세스가 적절하게 구성되었는지 확인 | 다른 국가 및 부서의 사용자에 대한 액세스를 확인합니다. |
이 단계에서는 파일 서버에 중앙 액세스 정책을 할당합니다. 이전 단계에서 만든 중앙 액세스 정책을 수신하는 파일 서버에 로그온하여 정책을 공유 폴더에 할당합니다.
파일 서버에 중앙 액세스 정책을 할당하려면
Hyper-V 관리자에서 FILE1 서버에 연결합니다. Log on to the server by using contoso\administrator with the password: pass@word1.
Open an elevated command prompt and type: gpupdate /force. 그러면 그룹 정책 변경 내용이 서버에 적용됩니다.
또한 Active Directory에서 전역 리소스 속성을 새로 고쳐야 합니다. 관리자 권한 Windows PowerShell 창을 열고
Update-FSRMClassificationpropertyDefinition을 입력합니다. Enter 키를 클릭하고 Windows PowerShell을 닫습니다.Tip
파일 서버에 로그온하여 전역 리소스 속성을 새로 고칠 수도 있습니다. 파일 서버에서 전역 리소스 속성을 새로 고치려면 다음을 수행합니다
- Logon to File Server FILE1 as contoso\administrator, using the password pass@word1.
- 파일 서버 리소스 관리자를 엽니다. To open File Server Resource Manager, click Start, type file server resource manager, and then click File Server Resource Manager.
- 파일 서버 리소스 관리자에서 클릭 파일 분류 관리 , 를 마우스 오른쪽 단추로 클릭 분류 속성 클릭 하 고 새로 고침합니다.
Open Windows Explorer, and in the left pane, click drive D. Right-click the Finance Documents folder, and click Properties.
Click the Classification tab, click Country, and then select US in the Value field.
Click Department, then select Finance in the Value field and then click Apply.
Note
중앙 액세스 정책은 재무 부서의 파일에 적용되도록 구성되었음을 기억해야 합니다. 위 단계를 수행하면 폴더의 모든 문서에 국가 및 부서 특성이 표시됩니다.
Click the Security tab, and then click Advanced. Click the Central Policy tab.
Click Change, select Finance Policy from the drop-down menu, and then click Apply. 볼 수는 Finance Documents 규칙 는 정책에 나열 합니다. 항목을 확장하여 Active Directory에서 규칙을 만들 때 설정한 모든 사용 권한을 확인합니다.
Click OK to return to Windows Explorer.
다음 단계에서는 액세스가 적절하게 구성되었는지 확인합니다. 사용자 계정에 적절한 부서 특성이 설정되어 있어야 합니다(Active Directory 관리 센터를 사용하여 설정). The simplest way to view the effective results of the new policy is to use the Effective Access tab in Windows Explorer. The Effective Access tab shows the access rights for a given user account.
여러 사용자에 대한 액세스 권한을 확인하려면
Hyper-V 관리자에서 FILE1 서버에 연결합니다. contoso\administrator로 서버에 로그온합니다. Windows 탐색기에서 D:\로 이동합니다. Right-click the Finance Documents folder, and then click Properties.
Click the Security tab, click Advanced, and then click the Effective Access tab.
사용자에 대 한 권한의 검사 하려면 클릭 사용자 선택, 사용자의 이름을 입력 하 고 클릭 한 다음 유효한 액세스 보기 유효한 액세스 권한을 볼 수 있습니다. For example:
Myriam Delesalle(MDelesalle)은 재무 부서에 속해 있으므로 폴더에 대한 읽기 권한이 있어야 합니다.
Miles Reid(MReid)는 FinanceAdmin 그룹의 구성원이므로 폴더에 대한 수정 권한이 있어야 합니다.
Esther Valle(EValle)는 재무 부서에 속해 있지 않지만 FinanceException 그룹의 구성원이므로 읽기 권한이 있어야 합니다.
Maira Wenzel(MWenzel)은 재무 부서에 속해 있지 않고 FinanceAdmin 또는 FinanceException 그룹의 구성원도 아니므로 폴더에 대한 액세스 권한이 없어야 합니다.
마지막 열 이라는 사라졌는지 액세스 제한 유효한 액세스 창에. 이 열은 주는 게이트 사용자의 권한에 영향을 알려 줍니다. 이 예제에서는 공유 및 NTFS 권한이 모든 사용자에게 모든 권한을 허용합니다. 그러나 중앙 액세스 정책이 이전에 구성한 규칙에 따라 액세스를 제한합니다.
변경: 유지 및 정책 준비
| Step # | Step | Example |
|---|---|---|
| 4.1 | 클라이언트에 대한 디바이스 클레임 구성 | 디바이스 클레임을 사용하도록 그룹 정책 설정을 지정합니다. |
| 4.2 | 디바이스에 클레임 사용 | 디바이스에 국가 클레임 유형을 사용합니다. |
| 4.3 | 수정하려는 기존 중앙 액세스 규칙에 준비 정책 추가 | Finance Documents 규칙을 수정하여 준비 정책을 추가합니다. |
| 4.4 | 준비 정책의 결과 보기 | Ester Velle의 사용 권한을 확인 합니다. |
디바이스에 클레임을 사용하도록 그룹 정책 설정을 지정하려면
Log on to DC1, open Group Policy Management, click contoso.com, click Default Domain Policy, right-click and select Edit.
In the Group Policy Management Editor window, navigate to Computer Configuration, Policies, Administrative Templates, System, Kerberos.
선택 클레임, 복합 인증 및 Kerberos 아머 링에 대 한 Kerberos 클라이언트 지원 클릭 사용합니다.
디바이스에 클레임을 사용하려면
Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.
From the Tools menu, open Active Directory Administrative Center.
Click Tree View, expand Dynamic Access Control, double-click Claim Types, and double-click the country claim.
다음 클래스에 대 한이 유형의 클레임을 발급할 수 있습니다, 선택는 컴퓨터 확인란입니다. Click OK. Both the User and Computer check boxes should now be selected. 이제 사용자 외에 디바이스에서도 국가 클레임을 사용할 수 있습니다.
다음 단계에서는 준비 정책 규칙을 만듭니다. 준비 정책은 새 정책 항목을 사용하기 전에 그 효과를 모니터링하는 데 사용될 수 있습니다. 다음 단계에서는 준비 정책 항목을 만들고 공유 폴더에 대한 효과를 모니터링합니다.
준비 정책 규칙을 만들고 중앙 액세스 정책에 추가하려면
Open Server DC1 in Hyper-V Manager and log on as contoso\Administrator, with the password pass@word1.
Active Directory 관리 센터를 엽니다.
Click Tree View, expand Dynamic Access Control, and select Central Access Rules.
마우스 오른쪽 단추로 클릭 Finance Documents 규칙, 를 클릭 하 고 속성합니다.
In the Proposed Permissions section, select the Enable permission staging configuration check box, click Edit, and then click Add. 에 임시 권한 권한 항목 창 클릭는 보안 주체 선택 링크를 입력 Authenticated Users, 를 클릭 하 고 확인.
조건 추가 링크를 클릭하고 다음 조건을 추가합니다. [사용자] [국가] [모든] [리소스] [국가]
조건 추가를 다시 클릭하고 다음 조건을 추가합니다.[그리고] [디바이스] [국가] [모든] [리소스] [국가]
클릭 조건 추가 다시 다음 조건을 추가 합니다. [And] [User] [Group] [Member of any] [Value](FinanceException)
To set the FinanceException, group, click Add items and in the Select User, Computer, Service Account, or Group window, type FinanceException.
Click Permissions, select Full Control, and click OK.
In the Advance Security Settings for Proposed Permissions window, select FinanceException and click Remove.
Click OK two times to finish.
Windows PowerShell equivalent commands
다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.
Set-ADCentralAccessRule
-Identity: "CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Configuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
Note
위 예제 cmdlet에서 Server 값은 테스트 랩 환경의 서버를 나타냅니다. Windows PowerShell 기록 뷰어를 사용하여 Active Directory 관리 센터에서 수행하는 각 작업에 대한 Windows PowerShell cmdlet을 조회할 수 있습니다. 자세한 내용은 참조 Windows PowerShell 기록 뷰어
이 임시 권한 집합에서 FinanceException 그룹의 구성원은 문서와 동일한 국가에서 디바이스를 통해 액세스한 경우 해당 국가의 파일에 대한 모든 권한을 가집니다. 재무 부서의 다른 구성원이 파일에 액세스하려고 한 경우 파일 서버 보안 로그에서 감사 항목을 확인할 수 있습니다. 그러나 정책이 준비 단계에서 승격될 때까지 보안 설정은 적용되지 않습니다.
다음 절차에서는 준비 정책의 결과를 확인합니다. 현재 규칙에 따라 권한이 있는 사용자 이름으로 공유 폴더에 액세스합니다. Esther Valle(EValle)은 FinanceException의 구성원이므로 현재 읽기 권한이 있습니다. 준비 정책에 따르면 EValle은 어떤 권한도 가질 수 없습니다.
준비 정책의 결과를 확인하려면
Connect to the File Server FILE1 in Hyper-V Manager and log on as contoso\administrator, with the password pass@word1.
Open a Command Prompt window and type gpupdate /force. 그러면 그룹 정책 변경 내용이 서버에 적용됩니다.
Hyper-V 관리자에서 CLIENT1에 연결합니다. 현재 로그온된 사용자를 로그오프합니다. 가상 컴퓨터 CLIENT1을 다시 시작합니다. 그런 다음 contoso\EValle pass@word1을 사용하여 컴퓨터에 로그온합니다.
바탕 화면 바로 가기를 두 번 클릭하여 \FILE1\Finance 문서로 이동합니다. EValle이 여전히 파일에 액세스할 수 있습니다. FILE1로 다시 전환합니다.
Open Event Viewer from the shortcut on the desktop. Expand Windows Logs, and then select Security. 항목을 엽니다 Event ID 4818아래는 중앙 액세스 정책 준비 작업 범주입니다. EValle에 액세스가 허용된 것으로 표시되어 있습니다. 그러나 준비 정책에 따르면 이 사용자는 액세스가 거부되어야 합니다.
Next Steps
System Center Operations Manager와 같은 중앙 서버 관리 시스템을 사용하는 경우 이벤트에 대한 모니터링을 구성할 수도 있습니다. 이를 통해 관리자는 중앙 액세스 정책을 적용하기 전에 그 효과를 모니터링할 수 있습니다.