По умолчанию в кластере Служба управления правами Active Directory (AD RMS) серверы могут выдавать лицензии на использование только по отношению к лицензиям на публикацию, выданным этим серверам или другим сервером в этом кластере. Если содержимое было опубликовано с помощью другого корневого кластера AD RMS, размещенного в вашей организации, например в подразделении организации в другом лесу, или же в другой отдельной организации, кластер AD RMS может предоставлять пользователям лицензии на использование этого содержимого, если настроить доверенный домен публикации. При добавлении доверенного домена публикации отношение доверия между кластером AD RMS и другим корневым кластером устанавливается путем импортирования сертификата лицензиара сервера другого кластера. Число доверенных доменов публикации, которые можно настроить для кластера AD RMS, не ограничено.

Если ключ кластера хранится в поставщике служб шифрования, необходимо перенести ключ кластера в контейнер ключа поставщика служб шифрования на каждом сервере в кластере, следуя инструкциям, указанным в документации производителя поставщика служб шифрования. Возможно, ключ кластера не удастся перенести с одного аппаратного модуля безопасности на другой. Это зависит от типа поставщика служб шифрования на каждом сервере и от устройств аппаратного модуля безопасности. При использовании поставщика служб шифрования с аппаратным модулем безопасности просмотрите документацию к нему, чтобы определить, можно ли перенести ключ кластера без потери данных, находящихся в модуле назначения. Если ключ кластера не был перенесен, доверенный домен публикации установить невозможно.

Примечание
Если для защиты ключа кластера AD RMS используется поставщик аппаратных служб шифрования, также называемый аппаратным модулем безопасности, и нужно импортировать сертификат лицензиара сервера из другой установки AD RMS, которая изнутри управляет ключом кластера AD RMS, необходимо сначала указать пароль ключа кластера в параметрах Политики безопасности.

Эта процедура предполагает, что доверенный домен публикации другого кластера AD RMS уже был экспортирован. Дополнительные сведения об экспорте доверенного домена публикации см. в разделе Экспорт доверенного домена публикации.

Членство в локальной группе "Администраторы предприятия AD RMS"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Чтобы добавить доверенный домен публикации

  1. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.

  2. В дереве консоли разверните узел Политики доверия и щелкните Доверенные домены публикации.

  3. На панели Действия щелкните Импортировать доверенный домен публикации.

  4. В поле Файл доверенного домена публикаций введите путь к файлу доверенного домена публикации или нажмите кнопку Обзор, чтобы перейти к файлу.

    Этот файл содержит сертификат лицензиара, закрытый ключ (если он хранится в программе) и шаблоны политики прав. Данный файл зашифрован.

  5. В поле Пароль введите пароль, необходимый для расшифровки этого файла.

  6. В поле Выводимое имя введите имя, идентифицирующее этот доверенный домен пользователя.

    Нажмите кнопку Готово.

Примечание
Доверенный домен публикации можно удалить в любое время. Для этого удалите его сертификат из списка доменов в группе Политики доверия консоли службы управления правами Active Directory.

Дополнительная информация

  • Выполнить задачу, описанную в этой процедуре, можно с помощью Windows PowerShell. Дополнительные сведения о Windows PowerShell для службы управления правами Active Directory см. на следующем веб-сайте корпорации Майкрософт http://go.microsoft.com/fwlink/?LinkId=136806.

Дополнительные ссылки