複数の Active Directory Domain Services (AD DS) フォレストがある環境で AD RMS を展開する場合、AD RMS が展開されるフォレストの外部のユーザーまたはグループにどういうサポートが必要かを判断する必要があります。AD RMS では、AD DS を使用してユーザーおよび配布グループを識別します。組織の AD DS 展開に複数のフォレストが含まれている場合、AD RMS では、AD RMS クラスターとは異なるフォレストの一部であるユーザーおよびグループの ID を取得するために AD DS 連絡先オブジェクトを使用します。問題は、他のフォレストのユーザー オブジェクトまたはグループ オブジェクトは、通常、AD RMS が存在するフォレスト内に、自分を代表するオブジェクトを持っていないことです。他のフォレストのユーザーまたはグループに対するアクセス許可を制限するために AD RMS を使用する場合は、Active Directory フォレストを適切に構成して、フォレストをまたがってグループを拡張できるようにしておくことが必要です。
AD RMS に、フォレストをまたがるグループ拡張サポートを実装するには、次の 2 つの方法があります。
-
グループが定義されているフォレストに AD RMS クラスターを展開し、それを使用して、このグループのメンバーシップを拡張します。フォレスト内のすべてのグローバル カタログ サーバーにグループのメンバーシップがレプリケートされるように、AD DS ユニバーサル グループを使用する必要があります。連絡先オブジェクトを含むフォレスト内にスキーマ拡張が存在し、実際のオブジェクトを含むフォレストをスキーマ拡張がさかのぼってポイントすることを、連絡先オブジェクトが許可することが必要です。スキーマ拡張が使用されない場合は、クライアントのレジストリの上書きが必要です。
-
フォレスト間のグループ定義を同期化して、ローカルの AD RMS インストールが、任意のユーザーについて完全なグループ メンバーシップを判断できるようにします。使用ライセンスを要求しているユーザーが、別個のフォレストに Windows アカウントを持っている場合、そのユーザーのグループ メンバーシップを代表する連絡先オブジェクトもローカル フォレスト内にある必要があります。