Active Directory Domain Services (AD DS) 为 AD RMS 的用户提供了身份验证。如果启用了日志记录,则 AD RMS 群集接收到的所有用户帐户请求都记录到日志记录数据库中。

从配置数据库中删除帐户

从 AD DS 中删除用户帐户时,用户密钥表中与用户的 权限帐户证书 (RAC) 相对应的配置数据库条目不会自动删除。因此,随着添加新用户密钥,而不删除旧密钥,用户密钥表会无限增大。

有两种可以用来维护配置数据库的方法。首先,可以创建和运行一个已存储过程,当您从 AD DS 中删除关联的用户帐户时,该过程会删除由安全标识符 (SID) 标识的用户密钥。

或者,可以编写一个脚本并定期运行,当 AD DS 中不再存在用户密钥的关联 SID 时,该脚本会从配置数据库中删除这些用户密钥。因为此方法会在数据库服务器和 AD DS 上产生大量负载,所以应该在系统活动少的时候安排运行您的脚本。

将用户帐户移至另一 AD DS 林

在组织中设置和配置根群集时,每个 Active Directory 林只能有一个根群集。

一般情况下,当将用户帐户从一个域移至同一个林中的另一域时,会在新域中为该用户帐户创建新的 SID。然后,当用户尝试从群集中的服务器获取新的 RAC 时,因为 SID 不同,该用户会显示为新用户。群集将为该用户帐户生成新密钥,并使用该用户的原始电子邮件地址发放新的 RAC。如果用户尝试将新的 RAC 与现有使用许可证一起使用,则 SID 和密钥将不匹配。用户需要获取新的使用许可证。这对于将用户帐户移至不同林中的域同样适用。

其他参考

目录