При развертывании службы AD RMS в среде с несколькими лесами доменных служб Active Directory необходимо определить, какая поддержка может понадобиться пользователям или группам, находящимся за пределами леса, в котором развернута служба AD RMS. Служба AD RMS использует доменные службы Active Directory для идентификации пользователей и групп рассылки. При развертывании в организации доменных служб Active Directory с несколькими лесами AD RMS использует их объекты-контакты для получения удостоверений пользователей и групп, принадлежащих к другому лесу, а не к тому, в котором размещен кластер AD RMS. Проблема заключается в том, что объекты пользователей или групп из другого леса, как правило, не имеют объектов-представителей в лесу, в котором размещена служба AD RMS. Если AD RMS будет использоваться для ограничения разрешений пользователей или групп из другого леса, необходимо настроить лес Active Directory таким образом, чтобы разрешить расширение группы в лесах.
В AD RMS поддержку расширения группы в лесах можно реализовать двумя способами.
- Разверните кластер AD RMS в лесу, в
котором определены группы и в котором он будет использоваться для
расширения участников этих групп. Универсальные группы доменных
служб Active Directory должны использоваться так, чтобы состав
групп реплицировался на каждый сервер глобального каталога в лесу.
Расширения схемы должны существовать в лесу, содержащем
объекты-контакты, которые позволяют расширениям схемы указывать на
леса, содержащие фактические объекты. Если расширения схемы не
используются, потребуются переопределения реестра клиента.
- Синхронизируйте определения групп в лесах,
чтобы локальная установка службы AD RMS могла определить
членство в группе каждого пользователя. Если пользователь,
запрашивающий лицензию на использование, имеет учетную запись
Windows в отдельном лесу, в локальном лесу также должен
присутствовать объект-контакт, представляющий членство этого
пользователя в группе.