In den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) ist ein Ressourcenkonto ein Benutzerkonto, das in einer Active Directory-Gesamtstruktur (der Ressourcenpartner-Gesamtstruktur) gespeichert ist. Dies hat den alleinigen Zweck, die Identität eines Benutzerkontos anzunehmen, das beispielsweise von einem Mitarbeiter aktiv genutzt wird und das in einer anderen Active Directory-Gesamtstruktur (der Kontopartner-Gesamtstruktur) gespeichert ist.

Ressourcenkonten müssen in der Gesamtstruktur des Ressourcenpartners erstellt werden, sodass Mitarbeiter, deren Benutzerkonten sich in der Gesamtstruktur des Kontopartners befinden, über AD FS auf webbasierte tokenbasierte Windows NT-Anwendungen zugreifen können. Ressourcenkonten und Ressourcengruppen sind auch für Ansprüche unterstützende Anwendungen erforderlich.

Die Webressource auf der Ressourcenseite ist durch Zugriffssteuerungslisten (Access Control Lists, ACLs) von Benutzerkonten oder Gruppen der Ressourcenpartner-Gesamtstruktur geschützt. Der Administrator muss die Ressourcenkonten erstellen und der Ressource Zugriffssteuerungslisten aller Ressourcenkonten hinzufügen.

Zum Reduzieren des Verwaltungsaufwands kann der Administrator auf der Ressourcenseite eine oder mehrere Sicherheitsgruppen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) erstellen und konfigurieren, die für die Zuordnung der eingehenden Gruppenansprüche der Kontopartner verwendet werden. Eine Sicherheitsgruppe, die einem eingehenden Gruppenanspruch zugeordnet ist, der von AD FS verwendet wird, wird als Ressourcengruppe bezeichnet.

Sie können Ressourcengruppen mithilfe des folgenden Verfahrens konfigurieren.

So konfigurieren Sie eine Ressourcengruppe

  1. Erstellen Sie auf einem Domänencontroller der Ressourcenpartner-Gesamtstruktur im Snap-In Active Directory-Benutzer und -Computer eine neue Sicherheitsgruppe.

  2. Weisen Sie dieser Sicherheitsgruppe den entsprechenden Zugriff der Webressource zu, die per AD FS geschützt ist.

  3. Erstellen Sie im Snap-In Active Directory-Verbunddienste einen neuen Gruppenanspruch, und klicken Sie auf der Eigenschaftenseite des neu erstellten Anspruchs auf die Registerkarte Ressourcengruppe. Klicken Sie auf die Schaltfläche mit den drei Punkten (), um die neue Sicherheitsgruppe in AD DS dem neuen Gruppenanspruch zuzuordnen. Die neue Sicherheitsgruppe wird jetzt als "Ressourcengruppe" bezeichnet.

  4. Erstellen Sie unter Verbunddienst\Vertrauensrichtlinie\Partnerorganisationen\Kontopartner\<kontopartnername>\ eine neue eingehende Gruppenanspruchszuordnung, um den neuen Gruppenanspruch und die dazugehörige Ressourcengruppe allen eingehenden Gruppenansprüchen der Kontopartner-Gesamtstruktur zuzuordnen.

Wenn Sie einen eingehenden Gruppenanspruch einer Ressourcengruppe zuordnen, muss der Administrator der Ressourcenpartner-Gesamtstruktur nicht mehr für jeden Benutzer der Kontopartner-Gesamtstruktur ein Ressourcenkonto erstellen, der Zugriff auf die per AD FS geschützte tokenbasierte Windows NT-Anwendung benötigt.

Standardmäßig konfiguriert AD FS Kontopartnereigenschaften so, dass der Administrator eines Ressourcenpartners eingehende Gruppenansprüche einer oder mehreren Ressourcengruppen zuordnen kann. Sie können diese Standardeinstellung jedoch ändern, indem Sie eine der folgenden Ressourcenkontooptionen auswählen:

  • Ressourcenkonten sind für alle Benutzer vorhanden – Gibt an, dass für jeden Benutzer des Kontopartners, der Zugriff auf die Ressource benötigt, ein Ressourcenkonto konfiguriert ist. In diesem Fall werden eingehende Gruppenansprüche nicht Ressourcengruppen zugeordnet, auch wenn Ressourcengruppen konfiguriert wurden.

  • Ressourcenkonten sind für einige Benutzer vorhanden (Ressourcenkonto verwenden) – Gibt an, ob für bestimmte Benutzerkonten Ressourcengruppen verwendet werden sollen. Dies bedeutet, dass für einige Benutzer individuelle Ressourcenkonten erstellt werden können, während andere für die Verwendung von Ressourcengruppen konfiguriert wurden. Wenn diese Option ausgewählt ist, sucht AD FS zuerst nach Ressourcenkonten, die mit dem im eingehenden Token angegebenen UPN- bzw. E-Mail-Anspruch übereinstimmen. AD FS verwendet diese Ressourcenkonten, falls die Suche erfolgreich ist. Wenn im Token jedoch ein Gruppenanspruch angegeben ist, der einer Ressourcengruppe zugeordnet ist, verwendet AD FS die Ressourcengruppe.

  • Ressourcenkonten sind für einige Benutzer vorhanden (Gruppen in Token verwenden) – Dies ist die Standardeinstellung. Gibt an, dass AD FS seine eigene Logik anwenden kann, um zu bestimmen, ob jedes eingehende Token einer Ressourcengruppe zugeordnet oder ob nach einem Ressourcenkonto gesucht werden soll. Wenn diese Option ausgewählt wurde, sucht AD FS im Token zuerst nach eingehenden Gruppenansprüchen, die einer Ressourcengruppe zugeordnet werden können. Wenn die Suche erfolgreich ist, verwendet AD FS die Ressourcengruppe. Wenn kein eingehender Gruppenanspruch vorhanden ist, sucht AD FS nach einem zu verwendenden Ressourcenkonto.

  • Für diesen Kontopartner sind keine Ressourcenkonten vorhanden – Gibt an, dass für alle Benutzer des Kontopartners eine oder mehrere Ressourcengruppen verwendet werden. Dabei muss jedes Token, das vom entsprechenden Kontopartner ausgestellt wird, einen oder mehrere Gruppenansprüche enthalten, für die eine Zuordnung zu einer oder mehreren Ressourcengruppen in der Ressourcenpartner-Gesamtstruktur besteht.

Inhaltsverzeichnis