Om du distribuerar AD RMS i en miljö med flera AD DS-skogar (Active Directory Domain Services) måste du fastställa vilket stöd som kan vara ett krav för användare eller grupper som finns utanför skogen där AD RMS är distribuerat. AD RMS använder AD DS för att identifiera användare och distributionsgrupper. När en organisations AD DS-distribution inkluderar flera skogar, använder AD RMS AD DS-kontaktobjekt för att erhålla identiteterna för användare och grupper som är del av en annan skog än AD RMS-klustret. Problemet är att användar- eller gruppobjekt från andra skogar vanligtvis inte har representativa objekt som finns i den skog där AD RMS finns. Om du avser att använda AD RMS för att begränsa behörigheter för användare eller grupper som är från andra skogar måste du konfigurera din Active Directory-skog på rätt sätt för att låta gruppexpansion ske över olika skogar.

Du kan implementera stöd för gruppexpansion över skogar för AD RMS på två sätt:

  • Distribuera ett AD RMS-kluster till den skog där grupperna definieras och där det kommer att användas för att utöka medlemskapet för dessa grupper. Universella grupper i AD DS bör användas så att gruppmedlemskapet replikeras till varje global katalogserver i skogen. Det måste finnas schemautökningar i skogar som innehåller kontaktobjekt som tillåter att schemautökningar pekar tillbaka på skogar som innehåller de faktiska objekten. Om schemautökningar inte används måste det finnas åsidosättningar för klientregistret.

  • Synkronisera gruppdefinitioner bland skogar för att tillåta att den lokala AD RMS-installationen fastställer det fullständiga gruppmedlemskapet för valfri användare. Om användaren som begär en användningslicens har ett Windows-konto i en separat skog, måste det också finnas ett kontaktobjekt i den lokala skogen som representerar den användarens gruppmedlemskap.

Innehåll