Si vous déployez AD RMS dans un environnement comportant plusieurs forêts des services de domaine Active Directory (AD DS), vous devez déterminer la manière la plus appropriée pour prendre en charge les utilisateurs et les groupes se trouvant en dehors de la forêt dans laquelle AD RMS est déployé. AD RMS utilise les services AD DS pour identifier les utilisateurs et les groupes de distribution. Lorsque le déploiement des services AD DS d’une organisation comporte plusieurs forêts, AD RMS utilise les objets de contact AD DS pour obtenir les identités des utilisateurs et des groupes appartenant à une autre forêt que celle du cluster AD RMS. Le problème est que la forêt où AD RMS réside ne dispose pas, en général, d’objets représentant les objets d’utilisateur et de groupe des autres forêts. Si vous avez l’intention d’utiliser AD RMS pour contrôler les autorisations accordées aux utilisateurs ou aux groupes se trouvant dans d’autres forêts, vous devez configurer la forêt Active Directory pour étendre l’expansion de groupe à toutes les forêts.
Vous pouvez étendre l’expansion de groupe à toutes les forêts pour AD RMS de deux manières :
-
Déployez un cluster AD RMS dans la forêt où les groupes sont définis et où il sera utilisé pour étendre l’appartenance à ces groupes. Des groupes universels AD DS doivent être utilisés pour que l’appartenance aux groupes soit la même dans chaque serveur de catalogue global de la forêt. Des extensions de schéma doivent exister dans les forêts qui contiennent des objets de contact permettant aux extensions de schéma de renvoyer aux forêts qui contiennent les objets réels. Si aucune extension de schéma n’est utilisée, des remplacements doivent être effectués dans le Registre des clients.
-
Synchronisez les définitions des groupes entre les forêts pour que l’installation AD RMS locale détermine à quels groupes les utilisateurs appartiennent. Si un utilisateur demandant une licence d’utilisation dispose d’un compte Windows dans une autre forêt, la forêt locale doit comporter un objet de contact représentant le groupe auquel l’utilisateur appartient.