Si implementa AD RMS en un entorno con varios bosques de Servicios de dominio de Active Directory (AD DS), será necesario determinar la compatibilidad que requieren los usuarios y grupos que se encuentran fuera del bosque en el que AD RMS está implementado. AD RMS usa AD DS para identificar usuarios y grupos de distribución. Cuando la implementación de AD DS de una organización incluye varios bosques, AD RMS usa los objetos de contacto de AD DS con el fin de obtener las identidades de los usuarios y grupos que forman parte de un bosque distinto al del clúster de AD RMS. El problema es que, por lo general, los objetos de grupo o usuario de otros bosques no cuentan con objetos representativos en el bosque en el que AD RMS se encuentra. Por lo tanto, si desea usar AD RMS para limitar permisos a los usuarios y grupos de otros bosques, deberá configurar el bosque de Active Directory de la forma adecuada para permitir la expansión de grupos entre bosques.
Puede implementar la compatibilidad con la expansión de grupos entre bosques en relación con AD RMS de dos formas:
-
Implementar un clúster de AD RMS en el bosque en el que los grupos están definidos, donde se usará para expandir la pertenencia a dichos grupos. En este contexto es conveniente usar los grupos universales de AD DS, de manera que la pertenencia a los grupos se replique en todos los servidores de catálogo global en el bosque. Deben existir extensiones de esquema en los bosques que contienen los objetos de contacto que permiten que las extensiones de esquema señalen a los bosques que contienen los objetos reales. Si no se usan extensiones de esquema, será necesario realizar algunas invalidaciones en el Registro del cliente.
-
Sincronizar las definiciones de grupo entre los bosques para permitir que la instalación de AD RMS local determine la pertenencia completa a un grupo de cualquier usuario. Si el usuario que solicita una licencia de uso tiene una cuenta de Windows en otro bosque, deberá existir igualmente un objeto de contacto en el bosque local que represente la pertenencia al grupo del usuario en cuestión.