Active Directory Domain Services (AD DS) tillhandahåller autentisering för användare av AD RMS. Alla användarkontobegäran som mottages av AD RMS-klustret registreras i loggningsdatabasen om loggning är aktiverad.

Ta bort konton från konfigurationsdatabasen

När du tar bort ett användarkonto från AD DS tas posten i konfigurationsdatabasen i användarnyckeltabellen för användarens rights account certificate (RAC) inte bort automatiskt. På grund av detta kan användarnyckeltabellen växa utan gränser allteftersom nya nycklar läggs till, men de äldre inte tas bort.

Det finns två tillvägagångssätt som du kan använda för att upprätthålla konfigurationsdatabasen. Först och främst kan du skapa och köra en lagrad procedur som tar bort en användarnyckel som identifieras med dess SID (security identifier) när du tar bort det associerade användarkontot från AD DS.

Alternativt kan du skriva ett skript som tar bort användarnycklar från konfigurationsdatabasen när deras associerade SID inte längre finns i AD DS och köra det med jämna mellanrum. Eftersom den här metoden skapar en stor belastning på både databasservern och AD DS bör du schemalägga körningen av skriptet under tidsperioder med låg aktivitet.

Flytta användarkonton till en annan AD DS-skog

När du konfigurerar ett rotkluster i en organisation kan det bara finnas ett rotkluster för varje Active Directory-skog.

I allmänhet gäller att när du flyttar ett användarkonto från en domän till en annan domän i samma skog skapas det ett nytt SID för användarkontot i den nya domänen. Sedan, när en användare försöker förvärva en ny RAC från en server i klustret verkar det som om användaren är en ny användare eftersom den har ett annat SID. Klustret genererar nya nycklar för användarkontot och utfärdar nya RAC genom att använda sig av användarens ursprungliga e-postadress. Om användaren försöker använda dessa nya RAC med en befintlig användningslicens överensstämmer inte SID och nycklarna. Användaren måste förvärva en ny användningslicens. Detta gäller också vid flyttning av ett användarkonto till en domän som finns i en annan skog.

Ytterligare referenser

Innehåll