Servizi di dominio Active Directory assicura l'autenticazione degli utenti di RMS di AD. Tutte le richieste degli account utente ricevute dal cluster RMS di AD vengono registrate nel database di registrazione, se è attivata la registrazione.
Eliminare account dal database di configurazione
Quando un account utente viene eliminato da Servizi di dominio Active Directory, la voce del database di configurazione nella tabella chiave relativa al certificato per account con diritti (RAC) dell'utente non viene eliminata automaticamente. Di conseguenza la tabella chiave può crescere illimitatamente man mano che vengono aggiunte nuove chiavi utente, mentre le vecchie chiavi non vengono eliminate.
Esistono due approcci per gestire il database di configurazione. Innanzitutto, è possibile creare ed eseguire una stored procedure che consente di eliminare una chiave utente identificata tramite il relativo ID di sicurezza (SID) quando l'account utente associato viene eliminato da Servizi di dominio Active Directory.
In alternativa, è possibile creare ed eseguire periodicamente uno script che consente di eliminare le chiavi utente dal database di configurazione quando i SID associati non esistono più in Servizi di dominio Active Directory. Tale metodo determina tuttavia un carico elevato sia sul server database sia su Servizi di dominio Active Directory. È pertanto consigliabile pianificare l'esecuzione dello script durante periodi di scarsa attività.
Spostare account utente in un'altra foresta di Servizi di dominio Active Directory
Quando si esegue la configurazione e il provisioning di un cluster radice in un'organizzazione, è possibile disporre di un solo cluster radice per ogni foresta di Active Directory.
In genere, quando si sposta un account utente da un dominio a un altro nella stessa foresta, viene creato un nuovo SID per l'account utente nel nuovo dominio. In questo modo, quando un utente tenta di acquisire un nuovo RAC da un server nel cluster, l'utente risulta essere un nuovo utente in quanto il SID è diverso. Il cluster genera nuove chiavi per l'account utente e rilascia il nuovo RAC utilizzando l'indirizzo di posta elettronica originale dell'utente. Se l'utente tenta di utilizzare il nuovo RAC con una licenza d'uso esistente, il SID e le chiavi non corrisponderanno. L'utente deve quindi acquisire una nuova licenza d'uso. Ciò è valido anche nel caso in cui un account utente venga spostato in un dominio di una foresta diversa.