Caso esteja implantando AD RMS em um ambiente com várias florestas de Serviços de Domínio Active Directory (AD DS), determine o tipo de suporte necessário para usuários ou grupos situados fora da floresta em que o AD RMS foi implantado. O AD RMS usa AD DS para identificar usuários e grupos de distribuição. Se a implantação AD DS de uma organização incluir várias florestas, o AD RMS usará objetos de contato AD DS para obter as identidades dos usuários e grupos pertencentes à outra floresta que não aquela do cluster AD RMS. O problema é que objetos de usuário ou grupo de outras florestas geralmente não têm objetos representativos na floresta onde o AD RMS reside. Caso planeje usar o AD RMS para restringir permissões para usuários ou grupos de outras florestas, configure apropriadamente sua floresta no Active Directory para permitir a expansão do grupo para outras florestas.

Há duas maneiras de implementar o suporte de expansão de grupo para outras florestas no AD RMS:

  • Implante um cluster AD RMS na floresta onde os grupos foram definidos, e onde ele será usado para permitir a expansão desses grupos. Devem ser usados grupos universais AD DS para que a expansão dos grupos seja replicada em cada servidor de catálogo global na floresta. Devem existir extensões de esquema em florestas que contenham objetos que permitam às extensões apontar para as florestas contendo os objetos propriamente ditos. Caso não sejam usadas extensões de esquema, deverão ser feitas substituições no registro do cliente.

  • Sincronize as definições de grupo entre as florestas para que a instalação local do AD RMS possa determinar a associação de grupo para cada usuário. Se o usuário solicitando uma licença de uso tiver uma conta do Windows em outra floresta, deve haver um objeto de contato na floresta local para representar a associação de grupo desse usuário.

Sumário