Wenn Sie AD RMS in einer Umgebung mit mehreren AD DS-Gesamtstrukturen (Active Directory Domain Services, Active Directory-Domänendienste) bereitstellen, müssen Sie bestimmen, welche Unterstützung u. U. für Benutzer oder Gruppen erforderlich ist, die sich außerhalb der Gesamtstruktur befinden, in der AD RMS bereitgestellt wird. AD RMS identifiziert Benutzer und Verteilergruppen mithilfe von AD DS. Wenn die AD DS-Bereitstellung einer Organisation mehrere Gesamtstrukturen umfasst, ruft AD RMS die Identitäten der Benutzer und Gruppen, die zu einer anderen Gesamtstruktur als der AD RMS-Cluster gehören, mithilfe von AD DS-Kontaktobjekten ab. Das Problem dabei ist, dass für Benutzer- oder Gruppenobjekte aus anderen Gesamtstrukturen normalerweise keine repräsentativen Objekte vorhanden sind, die sich in derselben Gesamtstruktur wie AD RMS befinden. Wenn Sie die Berechtigungen mithilfe von AD RMS für Benutzer oder Gruppen anderer Gesamtstrukturen einschränken möchten, müssen Sie die Active Directory-Gesamtstruktur ensprechend konfigurieren, dass die Gruppenerweiterung in mehreren Gesamtstrukturen zulässig ist.

Sie können die gesamtstrukturübergreifende Unterstützung der Gruppenerweiterung für AD RMS auf zwei Arten implementieren:

  • Stellen Sie einen AD RMS-Cluster in der Gesamtstruktur bereit, in der die Gruppen definiert werden und in der der Cluster zum Erweitern der Mitgliedschaft dieser Gruppen verwendet wird. Es sollten universelle AD DS-Gruppen verwendet werden, sodass die Gruppenmitgliedschaft auf alle globalen Katalogserver der Gesamtstruktur repliziert wird. Die Gesamtstrukturen mit den Kontaktobjekten, die das Zurückweisen von Schemaerweiterungen auf die Gesamtstrukturen mit den tatsächlichen Objekten zulassen, müssen Schemaerweiterungen beinhalten. Wenn keine Schemaerweiterungen verwendet werden, ist ein Außerkraftsetzen der Clientregistrierungen erforderlich.

  • Synchronisieren Sie die Gruppendefinitionen in den Gesamtstrukturen, sodass die lokale AD RMS-Installation für die Benutzer die vollständige Gruppenmitgliedschaft ermitteln kann. Wenn ein Benutzer, der eine Nutzungslizenz anfordert, über ein Windows-Konto in einer separaten Gesamtstruktur verfügt, muss zur Darstellung der Gruppenmitgliedschaft dieses Benutzers in der lokalen Gesamtstruktur ebenfalls ein Kontaktobjekt vorhanden sein.

Inhaltsverzeichnis