如果在有多个 Active Directory 域服务 (AD DS) 林的环境中部署 AD RMS,那么对于部署了 AD RMS 的林之外的用户或组来说,您需要确定这些用户或组可能需要哪些支持。AD RMS 使用 AD DS 来标识用户和分发组。当组织的 AD DS 部署中包括多个林时,AD RMS 使用 AD DS 联系对象来获取 AD RMS 群集所在的林以外的其他林中包含的用户和组的标识。问题是,其他林中的用户或组对象在 AD RMS 所驻留的林中通常没有代表对象。如果打算使用 AD RMS 限制其他林中的用户或组的权限,则需要适当地配置 Active Directory 林,以允许跨林进行组扩展。
可以通过两种方法实现 AD RMS 跨林组扩展支持:
-
将 AD RMS 群集部署到定义了组的林中,以及要用来扩展这些组的成员身份的林中。应使用 AD DS 通用组,以便将组成员身份复制到林中的每个全局编录服务器。架构扩展必须存在于包含联系对象的林中,这些对象使架构扩展能够指回包含实际对象的林。如果不使用架构扩展,则需要客户端注册表替代。
-
同步林之间的组定义,使本地 AD RMS 安装能够确定任何用户的完整组成员身份。如果请求使用许可证的用户在单独的林中具有 Windows 帐户,则在本地林中也必须有一个联系对象以代表该用户的组成员身份。