Wdrażając Usługi AD RMS w środowisku z wieloma lasami usług domenowych w usłudze Active Directory (AD DS), należy ustalić, jaka obsługa może być wymagana dla użytkowników lub grup znajdujących się poza lasem, w którym są wdrożone Usługi AD RMS. Usługi AD RMS identyfikują użytkowników i grupy dystrybucyjne za pomocą usług AD DS. Jeśli wdrożenie usług AD DS organizacji obejmuje wiele lasów, Usługi AD RMS posługują się obiektami kontaktów usług AD DS w celu uzyskania tożsamości użytkowników i grup będących częścią innego lasu niż klaster aplikacji Usługi AD RMS. Problem polega na tym, że obiekty użytkowników i grup z innych lasów zwykle nie mają reprezentatywnych obiektów w lesie, w którym znajdują się Usługi AD RMS. Jeśli użytkownik planuje ograniczać uprawnienia użytkownikom lub grupom z innych lasów za pomocą aplikacji Usługi AD RMS, musi odpowiednio skonfigurować las usługi Active Directory, aby zezwolić na występowanie rozszerzenia grup w lasach.
Obsługę rozszerzenia grup można zaimplementować w lasach dla aplikacji Usługi AD RMS na dwa sposoby:
-
Wdrożenie klastra aplikacji Usługi AD RMS w lesie, w którym grupy są zdefiniowane i w którym za jego pomocą będzie rozszerzane członkostwo tych grup. Należy użyć grup uniwersalnych usług AD DS, aby członkostwo w grupach było replikowane do każdego serwera wykazu globalnego w lesie. Rozszerzenia schematów muszą istnieć w lasach zawierających obiekty kontaktów, które umożliwiają rozszerzeniom schematów kierowanie się z powrotem do lasów zawierających rzeczywiste obiekty. Jeśli rozszerzenia schematów nie są używane, są wymagane zastąpienia rejestru klientów.
-
Synchronizacja definicji grup w lasach, aby umożliwić lokalnej instalacji aplikacji Usługi AD RMS określanie pełnego członkostwa w grupie dla dowolnego użytkownika. Jeśli użytkownik żądający licencji użytkowania ma konto systemu Windows w osobnym lesie, w lesie lokalnym musi też znajdować się obiekt kontaktu do reprezentowania członkostwa tego użytkownika w grupie.