Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Windows Server 2016 можно использовать политику управления доступом для создания правила, разрешающего или запрещающего пользователей на основе входящего утверждения. В Windows Server 2012 R2 с помощью шаблона правила разрешение или запрещение пользователей на основе входящего утверждения в службах федерации Active Directory (AD FS) можно создать правило авторизации, которое предоставит или запретит пользователю доступ к доверяющей стороне на основе типа и значения входящего утверждения.
Например, это можно использовать для создания правила, которое позволит доступ к стороне-реципиенту только пользователям, имеющим предъявление групповой принадлежности со значением "администраторы домена". Если вы хотите разрешить всем пользователям доступ к проверяющей стороне, используйте политику "Разрешить всем пользователям доступ" или шаблон правила "Разрешить всем пользователям" в зависимости от вашей версии Windows Server. Пользователям, которым разрешен доступ к доверяющей стороне из службы федерации, по-прежнему может быть отказано в обслуживании доверяющей стороной.
Вы можете использовать следующую процедуру, чтобы создать правило утверждения через оснастку управления AD FS.
Членство в группе Администраторы или эквивалентной на локальном компьютере является минимально необходимым для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
Чтобы создать правило для разрешения пользователей с учётом входящего утверждения в Windows Server 2016
В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.
В дереве консоли в разделе AD FS щелкните "Политики управления доступом".
Щелкните правой кнопкой мыши и выберите "Добавить политику управления доступом".
В поле "Имя" введите имя политики, описание и нажмите кнопку "Добавить".
В редакторе правил в разделе "Пользователи" установите флажок со специальными утверждениями в запросе и нажмите подчеркнутое слово specific внизу.
На экране "Выбор утверждений " нажмите переключатель "Утверждения ", выберите тип утверждения, оператор и значение утверждения и нажмите кнопку "ОК".
В редакторе правил нажмите кнопку "ОК". На экране "Добавить политику управления доступом " нажмите кнопку "ОК".
В дереве консоли управления AD FS, в разделе AD FS, щелкните Доверяющие стороны.
Щелкните правой кнопкой мыши доверенную сторону, к которой вы хотите разрешить доступ, и выберите Изменить политику управления доступом.
В политике управления доступом выберите политику, а затем нажмите кнопку "Применить " и "ОК".
Чтобы создать правило для отказа пользователям на основе входящего требования в Windows Server 2016
В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.
В дереве консоли в разделе AD FS щелкните "Политики управления доступом".
Щелкните правой кнопкой мыши и выберите "Добавить политику управления доступом".
В поле "Имя" введите имя политики, описание и нажмите кнопку "Добавить".
В редакторе правил убедитесь, что выбраны все, и в разделе Кроме установите галочку на с конкретными утверждениями в запросе, затем щелкните на подчеркнутом слове конкретные внизу экрана.
На экране "Выбор утверждений " нажмите переключатель "Утверждения ", выберите тип утверждения, оператор и значение утверждения и нажмите кнопку "ОК".
В редакторе правил нажмите кнопку "ОК". На экране "Добавить политику управления доступом " нажмите кнопку "ОК".
В дереве консоли управления AD FS в разделе AD FS щелкните Доверенные стороны.
Щелкните правой кнопкой мыши доверенную сторону, к которой вы хотите разрешить доступ, и выберите Изменить политику управления доступом.
В политике управления доступом выберите политику, а затем нажмите кнопку "Применить " и "ОК".
Чтобы создать правило, позволяющее или запрещающее пользователям доступ на основе поступающего утверждения в Windows Server 2012 R2
В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.
В дереве консоли в разделе AD FS\Trust Relationships\Доверительные отношения с доверяющими сторонами, щелкните определенное доверие в списке, в котором нужно создать это правило.
Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения.
В диалоговом окне Изменение правил утверждений щелкните на вкладке "Правила авторизации выдачи" или на вкладке "Правила авторизации делегирования" (в зависимости от типа необходимого правила авторизации), а затем щелкните Добавить правило, чтобы запустить мастер Добавление правила утверждения авторизации.
На странице "Выбор шаблона правила " в разделе "Правило утверждения" выберите "Разрешить или запретить пользователей на основе входящего утверждения " из списка, а затем нажмите кнопку "Далее".
На странице Настройка правила в разделе Имя правила утверждения введите отображаемое имя этого правила, Тип входящего утверждения выберите тип утверждения в списке, в разделе Значение входящего утверждения введите значение или нажмите кнопку «Обзор» (если она доступна) и выберите значение, а затем выберите один из следующих вариантов в зависимости от потребностей вашей организации.
Разрешить доступ пользователям с этим входящим утверждением
Запретить доступ пользователям с этим входящим утверждением
Нажмите кнопку Готово.
В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.
Дополнительные ссылки
Контрольный список : Создание правил утверждений для доверия доверяющей стороны