如果您是在具有多個 Active Directory 網域服務 (AD DS) 樹系的環境中部署 AD RMS,必須決定在部署 AD RMS 之樹系以外的使用者或群組可能需要的支援。AD RMS 使用 AD DS 來識別使用者和發佈群組。組織的 AD DS 部署中若包含多個樹系,AD RMS 使用 AD DS 連絡人物件取得屬於 AD RMS 叢集以外之其他樹系的使用者和群組的身分。問題在於,其他樹系的使用者或群組物件在 AD RMS 所在的樹系中,通常並沒有代表物件。如果您想要使用 AD RMS 限制來自其他樹系之使用者或群組的權限,必須適當地設定您的 Active Directory 樹系,以允許跨樹系的群組擴充。

您可以使用兩種方式執行 AD RMS 的跨樹系群組擴充支援:

  • 在定義群組,以及將用來擴充這些群組之成員資格的樹系中,部署一個 AD RMS 叢集。應該使用 AD DS 萬用群組,使群組成員資格複寫至樹系中每個通用類別目錄伺服器。包含連絡人物件的樹系中必須有架構延伸,允許架構延伸指回包含實際物件的樹系。如果未使用架構延伸,則需要用戶端登錄覆寫。

  • 在樹系間同步群組定義,以允許本機 AD RMS 安裝決定任何使用者的完整群組成員資格。如果要求使用授權的使用者在另一個樹系中有 Windows 帳戶,則在本機樹系中也要有一個連絡人物件以代表該使用者的群組成員資格。

目錄