По умолчанию Служба управления правами Active Directory (AD RMS) не выполняет запросы службы, поступающие от пользователей, сертификат учетной записи управления правами которых был выдан другой установкой AD RMS. Однако домены пользователей можно добавить в список доверенных доменов пользователей, что позволит AD RMS обрабатывать такие запросы.

В каждый доверенный домен пользователя можно также добавлять определенных пользователей или группы или же удалять их. Доверенный домен пользователя можно также удалить, но из списка доменов нельзя удалять корневой кластер для этого леса Active Directory. Любой сервер AD RMS доверяет корневому кластеру в собственном лесу.

Доверенные домены пользователей можно добавить указанными ниже способами.

  • Для обычной поддержки внешних пользователей можно предоставить доверие Windows Live ID. Это позволяет кластеру AD RMS, установленному в организации, обрабатывать запросы на лицензирование, включающие Сертификат учетной записи управления правами, выданные веб-службой управления правами Майкрософт. Дополнительные сведения о доверии Windows Live ID в организации см. в разделе Использование идентификатора Windows Live ID для определения сертификатов учетной записи службы управления правами для пользователей.

  • Для установления доверия к пользователям AD RMS в другой организации можно добавить эту организацию к списку доверенных доменов пользователей. Это позволяет кластеру AD RMS обрабатывать запрос лицензирования, содержащий Сертификат учетной записи управления правами, который был выдан сервером AD RMS другой организации.

  • Аналогичным образом, чтобы обрабатывать запросы лицензирования, поступающие от других пользователей вашей организации, которые размещены в другом лесу Active Directory, можно добавить установку AD RMS этого леса в список доверенных доменов пользователей. Это позволит кластеру AD RMS, размещенному в текущем лесу, обрабатывать запрос лицензирования, содержащий Сертификат учетной записи управления правами, который был выдан кластером AD RMS из другого леса.

  • Для каждого доверенного домена пользователя можно также указать домены электронной почты, которым можно доверять. Для доверенных сайтов и служб Windows Live ID можно указать, каким пользователям электронной почты или доменам доверять нельзя.

Членство в локальной группе "Администраторы предприятия AD RMS"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Чтобы добавить доверенный домен пользователя

  1. Доверенный домен пользователя установки AD RMS должен быть уже экспортирован и доступен. Дополнительные сведения об экспорте доверенного домена пользователя см. в разделе Экспорт доверенного домена пользователя.

  2. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.

  3. В дереве консоли разверните узел Политики доверия и щелкните Доверенные домены пользователя.

  4. На панели Действия щелкните Импортировать доверенный домен пользователя.

  5. В поле Файл доверенного домена пользователя введите путь к экспортированному сертификату лицензиара сервера доверенного домена пользователя или нажмите кнопку Обзор, чтобы найти сертификат.

  6. В поле Экран введите имя для идентификации этого доверенного домена пользователя. Чтобы доверие распространялось и на федеративных пользователей, установите флажок Расширить доверие на федеративных пользователей импортированного сервера.

  7. Нажмите кнопку Готово.

Примечание
При настройке доверенного домена пользователя сведения закрытого ключа не передаются.

Имя домена появляется в списке Доверенные домены пользователей в области результатов. Чтобы настроить домены электронной почты внутри этого доверенного домена пользователя, выполните действия ниже.

Чтобы указать свойства доверенного домена пользователя

  1. Если доверенный домен пользователя основан на сертификате лицензиара сервера другого кластера AD RMS, можно указать доверенные домены электронной почты в пределах доверенного домена пользователя.

  2. Выберите имя сертификата в области результатов, а затем на панели Действия нажмите кнопку Свойства.

  3. На вкладке Доверенные почтовые домены выберите один из указанных ниже параметров доверия.

    • Выберите переключатель Доверять всем доменам электронной почты, чтобы доверять всем учетным записям пользователя, являющимся членами этого домена.

    • Выберите переключатель Доверять только указанным доменам электронной почты, введите имя доверенного домена, например example.com, а затем нажмите кнопку Добавить. Домен добавляется в список Доверенные домены электронной почты. Чтобы удалить имя из списка, выделите его и нажмите кнопку Удалить. При добавлении домена также добавляются все его дочерние домены.

  4. Установите флажок Доверять лицензирование AD RMS идентификаторам безопасности (SID) для этого домена пользователя , если это необходимо.

  5. По завершении нажмите кнопку ОК.

Дополнительная информация

  • Выполнить задачу, описанную в этой процедуре, можно с помощью Windows PowerShell. Дополнительные сведения о Windows PowerShell для службы управления правами Active Directory см. на следующем веб-сайте корпорации Майкрософт http://go.microsoft.com/fwlink/?LinkId=136806.

Дополнительные ссылки