Als u AD RMS implementeert in een omgeving met meerdere AD DS-forests (Active Directory Domain Services), moet u bepalen welke ondersteuning mogelijk vereist is voor gebruikers of groepen die zich buiten het forest bevinden waarin AD RMS wordt geïmplementeerd. In AD RMS wordt AD DS gebruikt om gebruikers en distributiegroepen te identificeren. Wanneer de AD DS-implementatie van een organisatie meerdere forests bevat, worden in AD RMS AD DS-contactpersoonobjecten gebruikt om de identiteit op te halen van gebruikers en groepen die deel uitmaken van een ander forest dan het AD RMS-cluster. Het probleem hierbij is dat gebruikers- of groepsobjecten van andere forests doorgaans geen representatieve objecten hebben in het forest waarin AD RMS zich bevindt. Als u van plan bent om AD RMS te gebruiken om machtigingen te beperken tot gebruikers of groepen uit andere forests, moet u het Active Directory-forest op de juiste manier configureren, zodat groepsuitbreiding zich in verschillende forests mag voordoen.
U kunt de ondersteuning voor groepsuitbreiding in verschillende forests voor AD RMS op twee manieren implementeren:
-
Implementeer een AD RMS-cluster in het forest waarin de groepen worden gedefinieerd, en waar het wordt gebruikt om het lidmaatschap van deze groepen uit te breiden. U moet universele AD DS-groepen gebruiken, zodat het groepslidmaatschap wordt gerepliceerd naar elke globale-catalogusserver in het forest. Schema-uitbreidingen moeten bestaan in forests die contactpersoonobjecten bevatten waarmee de schema-uitbreidingen mogen terugverwijzen naar de forests die de daadwerkelijke objecten bevatten. Als er geen schema-uitbreidingen worden gebruikt, moet het clientregister worden genegeerd.
-
Synchroniseer groepsdefinities binnen forests, zodat de lokale AD RMS-installatie het complete groepslidmaatschap voor elke gebruiker kan bepalen. Als de gebruiker die een gebruikslicentie aanvraagt, een Windows-account heeft in een afzonderlijk forest, moet er ook een contactpersoonobject in het lokale forest zijn waarmee het groepslidmaatschap van die gebruiker wordt voorgesteld.