Active Directory Domain Services (AD DS) regelen de verificatie van gebruikers van AD RMS. Alle gebruikersaccountaanvragen die worden ontvangen door het AD RMS-cluster worden vastgelegd in de logboekdatabase, mits de functie voor logboekregistratie ingeschakeld is.

Accounts verwijderen uit de configuratiedatabase

Als u een gebruikersaccount verwijdert uit AD DS, wordt de configuratiedatabasevermelding in de gebruikerssleuteltabel voor het Rights Account Certificate (RAC) van de gebruiker niet automatisch verwijderd. Hierdoor kan de gebruikerssleuteltabel onbeperkt groeien. Er worden immers steeds nieuwe gebruikerssleutels toegevoegd, terwijl oude sleutels niet worden verwijderd.

U kunt de configuratiedatabase op twee manieren onderhouden. Ten eerste kunt u een opgeslagen procedure maken en uitvoeren die een gebruikerssleutel verwijdert op basis van de bijbehorende beveiligings-id (SID) als u het bijbehorende gebruikersaccount verwijdert uit AD DS.

U kunt echter ook een script schrijven dat gebruikerssleutels verwijdert uit de configuratiedatabase als de bijbehorende beveiligings-id's niet meer in AD DS aanwezig zijn. U kunt dit script van tijd tot tijd uitvoeren. Deze methode is zeer belastend voor de databaseserver en AD DS. Het is dan ook aan te raden het script uit te voeren als er weinig activiteit is.

Gebruikersaccounts verplaatsen naar een ander AD DS-forest

Als u een basiscluster in een organisatie instelt en inricht, kan er voor elk Active Directory-forest slechts één basiscluster zijn.

Als u een gebruikersaccount naar een ander domein in hetzelfde forest verplaatst, wordt er in het algemeen een nieuwe SID gemaakt voor het gebruikersaccount in het nieuwe domein. Als een gebruiker vervolgens probeert een nieuw RAC aan te schaffen bij een server in het cluster, lijkt het alsof de gebruiker nieuw is. De SID is immers anders. Het cluster genereert nieuwe sleutels voor de gebruikersacount en geeft het nieuwe RAC uit op basis van het oorspronkelijke e-mailadres van de gebruiker. Als de gebruiker probeert het nieuwe RAC te gebruiken met een bestaande gebruikslicentie, passen de SID en de sleutels niet bij elkaar. De gebruiker moet een nieuwe gebruikslicentie aanschaffen. Dit geldt ook als een gebruikersaccount wordt verplaatst naar een domein in een ander forest.

Aanvullende naslaginformatie

Inhoudsopgave