Ve výchozím nastavení služba Active Directory Rights Management Services (služba AD RMS) nereaguje na požadavky od uživatelů, jejichž certifikát certifikát RAC byl vydán jinou instalací služby AD RMS. Domény uživatelů však můžete přidat na seznam důvěryhodných domén uživatele, který službě AD RMS umožňuje takovéto požadavky zpracovat.
U každé důvěryhodné domény uživatele je možné také přidat a odebrat specifické uživatele nebo skupiny uživatelů. Kromě toho důvěryhodnou doménu uživatele můžete odebrat. Kořenový cluster této doménové struktury služby Active Directory však ze seznamu důvěryhodných domén uživatele odebrat nelze. Každý server se službou AD RMS důvěřuje kořenovému clusteru ve vlastní doménové struktuře.
Důvěryhodné domény uživatele lze přidat následujícím způsobem:
-
Chcete-li obecně podporovat externí uživatele, můžete označit jako důvěryhodnou položku Windows Live ID. Díky tomu může cluster služby AD RMS ve vaší společnosti zpracovávat požadavky na licence, které obsahují certifikát RAC vydaný online službou společnosti Microsoft. Další informace o důvěřování ověření Windows Live ID ve vaší organizaci naleznete v tématu Vytváření certifikátů RAC pro uživatele pomocí služby Windows Live ID.
-
Chcete-li důvěřovat externím uživatelům z instalace služby AD RMS jiné organizace, můžete přidat tuto organizaci na seznam důvěryhodných domén uživatele. Clusteru služby to umožňuje AD RMS zpracovat požadavek na licence, který obsahuje certifikát RAC vydaný serverem služby AD RMS, který se nachází ve druhé organizaci.
-
Stejným způsobem, chcete-li zpracovat požadavky na licence, které přijdou od uživatelů ve vaší vlastní organizaci umístěných v jiné doménové struktuře služby Active Directory, můžete instalaci služby AD RMS v této doméně přidat do seznamu důvěryhodných domén. Clusteru služby AD RMS to umožňuje zpracovat v aktuální doménové struktuře požadavek na licence, který obsahuje certifikát RAC vydaný clusterem služby AD RMS ve druhé doménové struktuře.
-
U každého seznamu důvěryhodných domén můžete zadat důvěryhodné e-mailové domény. U důvěryhodných webů a služeb s ověřováním Windows Live ID můžete zadat nedůvěryhodné e-mailové uživatele nebo domény.
Členství v místní skupině AD RMS Enterprise Administratorsči ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.
 | Přidání důvěryhodné domény uživatele |
Instalace služby AD RMS důvěryhodné domény uživatele by již měla být exportována a dostupná. Další informace o exportu důvěryhodné domény uživatele naleznete v tématu Export důvěryhodné domény uživatele.
Spusťte konzolu služby Active Directory Rights Management Services a rozbalte cluster služby AD RMS.
Ve stromu konzoly rozbalte položku Zásady důvěryhodnosti a klikněte na položku Důvěryhodné domény uživatelů.
V podokně Akce klikněte na možnost Importovat důvěryhodnou doménu uživatele.
Do pole Soubor důvěryhodné domény uživatele zadejte cestu k exportovanému serverovému certifikátu pro vystavování licencí nebo klikněte na tlačítko Procházet a cestu vyhledejte.
Do pole Zobrazovaný název zadejte název pro identifikaci této důvěryhodné domény uživatele. Pokud byste chtěli tuto důvěryhodnost rozšířit na federované uživatele, vyberte možnost Rozšířit důvěryhodnost na federované uživatele importovaného serveru.
Klikněte na tlačítko Dokončit.
 | Poznámka |
|
Informace o soukromém klíči se při nastavení důvěryhodné domény uživatele nepřenáší. |
Název domény se zobrazí v podokně výsledků v seznamu Důvěryhodné domény uživatelů. Chcete-li dále konfigurovat e-mailové domény v rámci této důvěryhodné domény, postupujte podle následujících pokynů:
| Zadání vlastností důvěryhodné domény uživatele |
Pokud je důvěryhodná doména uživatele založená na serverovému certifikátu pro vystavování licencí jiného clusteru služby AD RMS, můžete zadat, které e-mailové domény v rámci důvěryhodné domény uživatele budou důvěryhodné.
V poli s výsledky vyberte název certifikátu a v podokně Akce klikněte na možnost Vlastnosti.
Klikněte na kartu Důvěryhodné e-mailové domény a vyberte jednu z následujících možností důvěryhodnosti:
-
Možnost Důvěřovat všem e-mailovým doménám, chcete-li důvěřovat všem uživatelským účtům, které jsou členy příslušné domény.
-
Vyberte možnost Důvěřovat pouze určeným e-mailovým doménám, zadejte název domény, které chcete důvěřovat, například example.com, a klikněte na tlačítko Přidat. Tímto způsobem přidáte doménu do seznamu Důvěryhodné e-mailové domény. Název lze ze seznamu odebrat kliknutím na příslušný název a potom na tlačítko Odebrat. Při přidání domény budou zahrnuty všechny podřízené domény.
-
Možnost Důvěřovat všem e-mailovým doménám, chcete-li důvěřovat všem uživatelským účtům, které jsou členy příslušné domény.
Pokud je potřeba, zaškrtněte políčko Důvěřovat licencování služby AD RMS pro identifikátory zabezpečení pro tuto uživatelskou doménu.
Na závěr klikněte na tlačítko OK.
Další požadavky
- Úkol popsaný v tomto postupu můžete také provést v prostředí Windows PowerShell. Další informace o použití prostředí Windows PowerShell pro službu AD RMS naleznete na webu