Die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) stellen die Authentifizierung für Benutzer von AD RMS bereit. Wenn die Protokollierung aktiviert ist, werden alle vom AD RMS-Cluster empfangenen Benutzerkontoanforderungen in der Protokollierungsdatenbank aufgezeichnet.
Löschen von Konten aus der Konfigurationsdatenbank
Wenn Sie ein Benutzerkonto aus AD DS löschen, wird der Konfigurationsdatenbankeintrag in der Benutzerschlüsseltabelle für die Rechtekontozertifikate (Rights Account Certificate, RAC) des Benutzers nicht automatisch gelöscht. Daher kann die Größe der Benutzerschlüsseltabelle unbegrenzt zunehmen, da zwar neue Benutzerschlüssel hinzugefügt, alte Schlüssel jedoch nicht gelöscht werden.
Es gibt zwei mögliche Vorgehensweisen zur Verwaltung der Konfigurationsdatenbank. Sie können eine gespeicherte Prozedur erstellen und ausführen, die einen anhand der zugehörigen Sicherheits-ID (SID) identifizierten Benutzerschlüssel löscht, wenn Sie das zugeordnete Benutzerkonto aus AD DS entfernen.
Sie können aber auch ein Skript schreiben und regelmäßig ausführen, das Benutzerschlüssel aus der Konfigurationsdatenbank löscht, wenn die ihnen zugeordneten Sicherheits-IDs nicht mehr in AD DS vorhanden sind. Da diese Methode sowohl den Datenbankserver als auch AD DS stark auslastet, sollten Sie die Ausführung des Skripts dann planen, wenn nur eine geringe Anzahl von Aktivitäten ausgeführt wird.
Verschieben von Benutzerkonten in eine andere AD DS-Gesamtstruktur
Beim Einrichten und Bereitstellen eines Stammclusters in einer Organisation ist für jede Active Directory-Gesamtstruktur nur ein Stammcluster zulässig.
Beim Verschieben eines Benutzerkontos von einer Domäne in eine andere Domäne derselben Gesamtstruktur wird für das Benutzerkonto in der neuen Domäne in der Regel eine neue Sicherheits-ID erstellt. Wenn ein Benutzer anschließend versucht, ein neues RAC von einem Server im Cluster zu erhalten, wird er aufgrund der unterschiedlichen Sicherheits-ID als neuer Benutzer identifiziert. Der Cluster generiert neue Schlüssel für das Benutzerkonto und stellt die neuen RAC mithilfe der ursprünglichen E-Mail-Adresse des Benutzers aus. Falls der Benutzer versucht, die neuen RAC mit einer vorhandenen Nutzungslizenz zu verwenden, stimmen die Sicherheits-ID und Schlüssel nicht überein. Der Benutzer muss dann eine neue Nutzungslizenz erwerben. Dies gilt auch für das Verschieben eines Benutzerkontos in eine Domäne, die sich in einer anderen Gesamtstruktur befindet.