Domyślnie Usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS) nie obsługują żądań od użytkowników, których Certyfikat kont praw dostępu (RAC) został wystawiony przez inną instalację aplikacji Usługi AD RMS. Domeny użytkowników można jednak dodawać do listy zaufanych domen użytkowników (TUD), dzięki czemu Usługi AD RMS mogą przetwarzać takie żądania.

W przypadku każdej zaufanej domeny użytkownika można też dodawać i usuwać użytkowników lub grupy użytkowników. Ponadto można usunąć zaufaną domenę użytkownika; nie można jednak usunąć głównego klastra dla tego lasu usługi Active Directory z listy zaufanych domen użytkowników. Każdy serwer aplikacji Usługi AD RMS ufa głównemu klastrowi w swoim lesie.

Zaufane domeny użytkowników można dodawać w poniższy sposób:

  • Aby użytkownicy zewnętrzni byli obsługiwani w ogólności, można określić zaufanie do usługi Windows Live™ ID. Dzięki temu klaster składnika Usługi AD RMS w firmie będzie mógł przetwarzać żądania licencjonowania zawierające Certyfikat RAC wystawiony przez usługę online RMS firmy Microsoft. Aby uzyskać więcej informacji na temat ufania usłudze Windows Live™ ID w organizacji, zobacz temat Ustanawianie certyfikatów konta praw (RAC) dla użytkowników przy użyciu usługi Windows Live ID.

  • Aby ufać użytkownikom zewnętrznym z instalacji aplikacji Usługi AD RMS innej organizacji, można dodać tę organizację do listy zaufanych domen użytkowników. Dzięki temu klaster aplikacji Usługi AD RMS będzie mógł przetwarzać żądania licencjonowania zawierające Certyfikat RAC wystawiony przez serwer aplikacji Usługi AD RMS znajdujący się w tej innej organizacji.

  • Aby były przetwarzane żądania licencjonowania od osób w organizacji użytkownika, które znajdują się w innym lesie usługi Active Directory, można w ten sam sposób dodać instalację aplikacji Usługi AD RMS w tym lesie do listy zaufanych domen użytkowników. Dzięki temu klaster aplikacji Usługi AD RMS w bieżącym lesie będzie mógł przetwarzać żądania licencjonowania zawierające Certyfikat RAC wystawiony przez klaster aplikacji Usługi AD RMS w innym lesie.

  • Dla każdej zaufanej domeny użytkownika można określić zaufane domeny poczty e-mail. Dla zaufanych witryn i usług Windows Live™ ID można określić użytkowników i domeny poczty e-mail, które nie są zaufane.

Do wykonania tej procedury wymagana jest przynależność użytkownika do lokalnej grupy Administratorzy usług AD RMS Enterprise albo do grupy równoważnej.

Aby dodać zaufaną domenę użytkownika
  1. Zaufana domena użytkownika instalacji aplikacji Usługi AD RMS, która ma zostać określona jako zaufana, powinna już być wyeksportowana i dostępna. Aby uzyskać więcej informacji na temat eksportowania zaufanej domeny użytkownika, zobacz temat Eksportowanie zaufanej domeny użytkownika.

  2. Otwórz konsolę Usługi zarządzania prawami dostępu w usłudze Active Directory i rozwiń klaster aplikacji Usługi AD RMS.

  3. W drzewie konsoli rozwiń węzeł Zasady zaufania, a następnie kliknij pozycję Zaufane domeny użytkowników.

  4. W okienku Akcje kliknij pozycję Importuj zaufaną domenę użytkownika.

  5. W polu Plik zaufanej domeny użytkownika wpisz ścieżkę do wyeksportowanego certyfikatu licencjodawcy serwera domeny użytkowników, która ma zostać określona jako zaufana, lub kliknij przycisk Przeglądaj, aby go znaleźć.

  6. W polu Nazwa wyświetlana wpisz nazwę, która będzie identyfikować tę zaufaną domenę użytkownika. Jeśli chcesz rozszerzyć to zaufanie na użytkowników federacyjnych, wybierz opcję Rozszerz zaufanie na użytkowników federacyjnych importowanego serwera.

  7. Kliknij przycisk Zakończ.

Uwaga

Podczas konfigurowania zaufanej domeny użytkownika informacje o kluczu prywatnym nie są transferowane.

Nazwa domeny pojawi się na liście Zaufane domeny użytkowników w okienku wyników. Aby bardziej szczegółowo skonfigurować domeny poczty e-mail w ramach tej zaufanej domeny użytkownika, należy wykonać poniższe kroki:

Aby określić właściwości zaufanej domeny użytkownika
  1. Jeśli zaufana domena użytkownika jest oparta na certyfikacie licencjodawcy serwera innego klastra aplikacji Usługi AD RMS, możesz określić, które domeny poczty e-mail w ramach zaufanej domeny użytkownika są zaufane.

  2. Wybierz nazwę certyfikatu w okienku wyników, a następnie w okienku Akcje kliknij pozycję Właściwości.

  3. Kliknij kartę Zaufane domeny poczty e-mail, a następnie wybierz jedną z poniższych opcji zaufania:

    • Wybierz opcję Ufaj wszystkim domenom poczty e-mail, aby ufać wszystkim kontom użytkowników będącym elementami członkowskimi tej domeny.

    • Wybierz opcję Ufaj tylko określonym domenom poczty e-mail, a następnie wpisz nazwę domeny, która ma zostać określona jako zaufana, np. example.com, a następnie kliknij przycisk Dodaj. Spowoduje to dodanie domeny do listy Zaufane domeny poczty e-mail. Aby usunąć nazwę z listy, wybierz nazwę, a następnie kliknij przycisk Usuń. Dodanie domeny powoduje dodanie jej wszystkich domen podrzędnych.

  4. W razie potrzeby zaznacz pole wyboru Ufaj licencjonowaniu usług AD RMS dla identyfikatorów zabezpieczeń (SID) w tej domenie użytkownika.

  5. Po zakończeniu całej operacji kliknij przycisk OK.

Uwagi dodatkowe

  • Zadanie opisane w niniejszej procedurze można wykonać również przy użyciu programu Windows PowerShell. Aby uzyskać więcej informacji o programie Windows PowerShell dla usług AD RMS, zobacz stronę https://go.microsoft.com/fwlink/?LinkId=136806 (strona może zostać wyświetlona w języku angielskim).

Dodatkowe informacje

Spis treści