Les services de domaine Active Directory (AD DS) permettent d’authentifier les utilisateurs d’AD RMS. Toutes les demandes de comptes d’utilisateur reçues par le cluster AD RMS sont enregistrées dans la base de données de journalisation si la journalisation est activée.
Suppression de comptes de la base de données de journalisation
Lorsque vous supprimez un compte d’utilisateur des services de domaine Active Directory, l’entrée de la base de données de configuration dans la table de clés utilisateur du Certificat de compte RM de l’utilisateur n’est pas automatiquement supprimée. Par conséquent, la table des clés utilisateur peut augmenter sans fin à mesure que des clés sont ajoutées sans supprimer les anciennes.
Vous pouvez gérer la base de données de configuration selon deux méthodes. La première consiste à créer et à exécuter une procédure stockée qui supprime une clé utilisateur identifiée par son identificateur de sécurité (SID) lorsque vous supprimez le compte d’utilisateur associé des services de domaine Active Directory.
La seconde consiste à écrire un script qui supprime les clés utilisateur de la base de données de configuration lorsque leurs identificateurs de sécurité n’existent plus dans les services de domaine Active Directory. Vous pouvez exécuter régulièrement ce script. Étant donné que cette méthode crée une charge importante sur le serveur de base de données et les services de domaine Active Directory, vous devez programmer l’exécution du script lorsque l’activité est faible.
Déplacement de comptes d’utilisateur dans une autre forêt des services de domaine Active Directory
Lorsque vous configurez et déployez un cluster racine dans une organisation, veillez à ce qu’il n’y ait qu’un seul serveur racine par forêt Active Directory.
En général, lorsque vous déplacez un compte d’utilisateur d’un domaine à un autre dans la même forêt, un nouvel identificateur de sécurité est créé pour le compte d’utilisateur dans le nouveau domaine. Puis, lorsqu’un utilisateur tente d’obtenir de nouveaux Certificat de comptes RM d’un serveur dans le cluster, l’utilisateur apparaît comme étant un nouvel utilisateur, car son identificateur de sécurité est différent. Le cluster génère de nouvelles clés pour le compte d’utilisateur et délivre les nouveaux Certificat de comptes RM en utilisant l’adresse de messagerie d’origine de l’utilisateur. Si l’utilisateur tente d’utiliser les nouveaux Certificat de comptes RM avec une licence d’utilisation existante, l’identificateur de sécurité et les clés ne correspondront pas. L’utilisateur doit alors acquérir une nouvelle licence d’utilisation. Ceci est également le cas pour déplacer un compte d’utilisateur dans un domaine se trouvant dans une autre forêt.