In diesem Dokument wird erläutert, wie Sie das Schema in einer Managed Service for Microsoft Active Directory-Instanz erweitern.
Hinweise
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Windows-VM erstellen und der Domain beitreten
- Lesen Sie den Artikel Schemaerweiterungen und diese Überlegungen.
- Bereiten Sie die LDIF-Datei mit den Schemaänderungen vor. Weitere Informationen finden Sie im Hilfeartikel LDIF-Datei vorbereiten.
Prüfen Sie, ob Sie eine der folgenden IAM-Nutzerrollen (Identity and Access Management) haben:
- Google Cloud Managed Identities-Domainadministrator (
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin)
Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.
- Google Cloud Managed Identities-Domainadministrator (
Schema erweitern
Wenn Sie die Schemaerweiterung initiieren, erstellt Managed Microsoft AD automatisch eine Sicherung der Schemaerweiterung, bevor die Schemaänderungen angewendet werden. Sie können diese Sicherung verwenden, um die Domain wiederherzustellen, falls nach der Schemaerweiterung Probleme auftreten. Um die Sicherung der Schemaerweiterung zu ermitteln, können Sie die Sicherungen auflisten, die für Ihre Domain erstellt wurden.
Führen Sie den folgenden gcloud CLI-Befehl aus, um das Schema zu erweitern:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der Name Ihrer Managed Microsoft AD-Domain. Beispiel:
my-domain.example.com. - LDIF_FILE_PATH: Der Pfad der LDIF-Datei mit den Schemaänderungen. Die maximale Dateigröße ist auf 1 MB begrenzt.
- SCHEMA_EXTENSION_DESCRIPTION: Die Beschreibung der Schemaänderungen.
- DOMAIN_RESOURCE_PROJECT_ID: Die Projekt-ID des Domainressourcenprojekts. Beispiel:
my-project.
Managed Microsoft AD initiiert die Schemaerweiterung und antwortet mit einer Vorgangs-ID, mit der Sie den Abschluss der Schemaerweiterung verfolgen können.
Führen Sie den folgenden gcloud CLI-Befehl aus, um den Status der Schemaerweiterung zu prüfen:
gcloud active-directory operations describe OPERATION_ID
Ersetzen Sie OPERATION_ID durch die Vorgangs-ID Ihrer Schemaerweiterung. Beispiel: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.
Schemaerweiterung prüfen
Nachdem Sie das Schema Ihrer verwalteten Microsoft AD-Instanz erweitert haben, ist es wichtig, dass Sie die Schemaänderungen überprüfen, bevor Sie Ihre Anwendungen in Active Directory einbinden. Sie können die Schemaänderungen mit verschiedenen Tools und Ansätzen prüfen. In den folgenden Abschnitten wird erläutert, wie Sie die Schemaänderungen mit einem der folgenden Ansätze überprüfen können:
- Active Directory-Schema-Snap-In
- Windows PowerShell
Active Directory-Schema-Snap-In
So überprüfen Sie die Schemaänderungen mithilfe von Active Directory-Schema-Snap-In:
- Melden Sie sich in der in die Domain eingebundenen VM als delegierter Administrator an.
- Installieren Sie das Active Directory-Schema-Snap-In.
- Öffnen Sie die Microsoft Management Console (MMC).
- Erweitern Sie die Baumstruktur des Active Directory-Schemas für Ihr Verzeichnis.
- Prüfen Sie, ob Sie die Änderungen an den Klassen und Attributen des Schemas sehen können.
Windows PowerShell
Verwenden Sie das Get-ADObject-Cmdlet, um die Schemaänderungen mit Windows PowerShell zu prüfen. Führen Sie den folgenden Befehl in Windows PowerShell aus:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Ersetzen Sie Folgendes:
- ATTRIBUTE: Der Name eines Attributs in Ihrem Schema. Beispiel:
example-attribute. - ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Sieexampleein. - TOP_LEVEL_DOMAIN: Die Top-Level-Domain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Siecomein.
Prüfen Sie in der Antwort, ob Sie die Änderungen an Klassen und Attributen des Schemas sehen können.