По умолчанию в кластере Служба управления правами Active Directory (AD RMS) серверы могут выдавать лицензии на использование только по отношению к лицензиям на публикацию, выданным этим серверам или другим сервером в этом кластере. Если содержимое было опубликовано с помощью другого корневого кластера AD RMS, размещенного в вашей организации, например в подразделении организации в другом лесу, или же в другой отдельной организации, кластер AD RMS может предоставлять пользователям лицензии на использование этого содержимого, если настроить доверенный домен публикации. При добавлении доверенного домена публикации отношение доверия между кластером AD RMS и другим корневым кластером устанавливается путем импортирования сертификата лицензиара сервера другого кластера. Число доверенных доменов публикации, которые можно настроить для кластера AD RMS, не ограничено.
Если ключ кластера хранится в поставщике служб шифрования, необходимо перенести ключ кластера в контейнер ключа поставщика служб шифрования на каждом сервере в кластере, следуя инструкциям, указанным в документации производителя поставщика служб шифрования. Возможно, ключ кластера не удастся перенести с одного аппаратного модуля безопасности на другой. Это зависит от типа поставщика служб шифрования на каждом сервере и от устройств аппаратного модуля безопасности. При использовании поставщика служб шифрования с аппаратным модулем безопасности просмотрите документацию к нему, чтобы определить, можно ли перенести ключ кластера без потери данных, находящихся в модуле назначения. Если ключ кластера не был перенесен, доверенный домен публикации установить невозможно.
Примечание |
---|
Если для защиты ключа кластера AD RMS используется поставщик аппаратных служб шифрования, также называемый аппаратным модулем безопасности, и нужно импортировать сертификат лицензиара сервера из другой установки AD RMS, которая изнутри управляет ключом кластера AD RMS, необходимо сначала указать пароль ключа кластера в параметрах Политики безопасности. |
Эта процедура предполагает, что доверенный домен публикации другого кластера AD RMS уже был экспортирован. Дополнительные сведения об экспорте доверенного домена публикации см. в разделе Экспорт доверенного домена публикации.
Членство в локальной группе "Администраторы предприятия AD RMS"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Чтобы добавить доверенный домен публикации
-
Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.
-
В дереве консоли разверните узел Политики доверия и щелкните Доверенные домены публикации.
-
На панели Действия щелкните Импортировать доверенный домен публикации.
-
В поле Файл доверенного домена публикаций введите путь к файлу доверенного домена публикации или нажмите кнопку Обзор, чтобы перейти к файлу.
Этот файл содержит сертификат лицензиара, закрытый ключ (если он хранится в программе) и шаблоны политики прав. Данный файл зашифрован.
-
В поле Пароль введите пароль, необходимый для расшифровки этого файла.
-
В поле Выводимое имя введите имя, идентифицирующее этот доверенный домен пользователя.
Нажмите кнопку Готово.
Примечание |
---|
Доверенный домен публикации можно удалить в любое время. Для этого удалите его сертификат из списка доменов в группе Политики доверия консоли службы управления правами Active Directory. |
Дополнительная информация
- Выполнить задачу, описанную в этой процедуре,
можно с помощью Windows PowerShell. Дополнительные сведения о
Windows PowerShell для службы управления правами Active Directory
см. на следующем веб-сайте корпорации Майкрософт http://go.microsoft.com/fwlink/?LinkId=136806.