При развертывании службы AD RMS в среде с несколькими лесами доменных служб Active Directory необходимо определить, какая поддержка может понадобиться пользователям или группам, находящимся за пределами леса, в котором развернута служба AD RMS. Служба AD RMS использует доменные службы Active Directory для идентификации пользователей и групп рассылки. При развертывании в организации доменных служб Active Directory с несколькими лесами AD RMS использует их объекты-контакты для получения удостоверений пользователей и групп, принадлежащих к другому лесу, а не к тому, в котором размещен кластер AD RMS. Проблема заключается в том, что объекты пользователей или групп из другого леса, как правило, не имеют объектов-представителей в лесу, в котором размещена служба AD RMS. Если AD RMS будет использоваться для ограничения разрешений пользователей или групп из другого леса, необходимо настроить лес Active Directory таким образом, чтобы разрешить расширение группы в лесах.
В AD RMS поддержку расширения группы в лесах можно реализовать двумя способами.
-
Разверните кластер AD RMS в лесу, в котором определены группы и в котором он будет использоваться для расширения участников этих групп. Универсальные группы доменных служб Active Directory должны использоваться так, чтобы состав групп реплицировался на каждый сервер глобального каталога в лесу. Расширения схемы должны существовать в лесу, содержащем объекты-контакты, которые позволяют расширениям схемы указывать на леса, содержащие фактические объекты. Если расширения схемы не используются, потребуются переопределения реестра клиента.
-
Синхронизируйте определения групп в лесах, чтобы локальная установка службы AD RMS могла определить членство в группе каждого пользователя. Если пользователь, запрашивающий лицензию на использование, имеет учетную запись Windows в отдельном лесу, в локальном лесу также должен присутствовать объект-контакт, представляющий членство этого пользователя в группе.