Descripción de las cuentas de usuario de AD RMS

Cuando una cuenta de usuario se elimina de AD DS, la entrada de base de datos en la tabla de claves de usuario del rights account certificate (RAC) del usuario no se elimina automáticamente. Debido a esto, la tabla de claves de usuario puede crecer sin límite alguno a medida que se agreguen nuevas claves de usuario, ya que las antiguas no se eliminan.

Existen dos enfoques para mantener la base de datos de configuración. La primera consiste en crear y ejecutar un procedimiento almacenado que elimine una clave de usuario detectada a partir del identificador de seguridad (SID) cuando se elimine la cuenta de usuario asociada de AD DS.

Como alternativa, puede escribir un script que elimine claves de usuario de la base de datos de configuración cuando los SID asociados ya no existan en AD DS y ejecutarlo con regularidad. Este método genera una carga importante tanto en el servidor de base de datos como en AD DS, de manera que es conveniente planificar la ejecución del script en momentos de baja actividad.

Cuando se configura y aprovisiona un clúster raíz en una organización, se debe tener presente que sólo puede haber un clúster raíz por bosque de Active Directory.

Por lo general, cuando una cuenta de usuario se mueve de un dominio a otro dentro del mismo bosque, se crea un SID nuevo para la cuenta de usuario en el nuevo dominio. Así, si el usuario trata de adquirir un RAC nuevo de un servidor en el clúster, aparecerá como nuevo usuario, ya que el SID es distinto. El clúster genera claves nuevas en relación con la cuenta de usuario y emite el RAC nuevo a partir de la dirección de correo electrónico original del usuario. Si el usuario intenta usar el nuevo RAC con una licencia de uso existente, el SID y las claves no coincidirán. El usuario debe adquirir una licencia de uso nueva. Esto también sucede al mover una cuenta de usuario a un dominio en un bosque diferente.