En este documento, se explica cómo extender el esquema en un servicio administrado para una instancia de Microsoft Active Directory.
Antes de comenzar
Antes de comenzar, haz lo siguiente:
- Cree un dominio de Managed Microsoft AD.
- Crea una VM de Windows y únete a ella al dominio.
- Asegúrate de leer el artículo Acerca de la extensión de esquemas y comprender estas consideraciones.
- Prepara el archivo LDIF con los cambios de esquema. Para obtener más información, consulta Cómo preparar tu archivo LDIF.
Asegúrate de tener alguno de los siguientes roles del usuario de Identity and Access Management (IAM):
- Administrador de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainAdmin
) - Administrador de identidades administradas de Google Cloud (
roles/managedidentities.admin
)
Para obtener más información, consulta Roles de identidades administradas por Cloud.
- Administrador de dominios de identidades administradas de Google Cloud (
Cómo extender el esquema
Cuando inicias la extensión del esquema, Microsoft AD administrado crea una copia de seguridad de la extensión del esquema automáticamente antes de aplicar los cambios del esquema. Puedes usar esta copia de seguridad para restablecer el dominio si tienes algún problema después de extender el esquema. Para identificar la copia de seguridad de la extensión de esquema, puedes hacer una lista de las copias de seguridad creadas para tu dominio.
Para extender el esquema, ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \ --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Reemplaza lo siguiente:
- DOMAIN_NAME: Es el nombre de tu dominio de Microsoft AD administrado. Por ejemplo,
my-domain.example.com
- LDIF_FILE_PATH: Es la ruta de acceso del archivo LDIF con los cambios de esquema. El tamaño máximo permitido del archivo es de 1 MB.
- SCHEMA_EXTENSION_DESCRIPTION: cambia la descripción del esquema.
- DOMAIN_RESOURCE_PROJECT_ID: Es el ID del proyecto del recurso del dominio. Por ejemplo,
my-project
Microsoft AD administrado inicia la extensión del esquema y responde con un ID de operación que puedes usar para hacer un seguimiento de la finalización de la extensión del esquema.
Para verificar el estado de la extensión de esquema, ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory operations describe OPERATION_ID
Reemplaza OPERATION_ID por el ID de operación de la extensión de esquema. Por ejemplo, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2
Verifica la extensión del esquema
Después de extender el esquema de tu instancia de Microsoft AD administrado, es importante que verifiques los cambios de esquema antes de integrar las aplicaciones con Active Directory. Puedes verificar los cambios del esquema con diferentes herramientas y enfoques. En las siguientes secciones, explicamos cómo puedes verificar los cambios de esquema con cualquiera de estos enfoques:
- Complemento del esquema de Active Directory
- WindowsPowerShell
Complemento del esquema de Active Directory
Para verificar los cambios de esquema con el complemento de esquema de Active Directory, haz lo siguiente:
- Accede a tu VM unida al dominio como administrador delegado.
- Instala el complemento de esquema de Active Directory.
- Abre la Consola de administración de Microsoft (MMC).
- Expande el árbol del esquema de Active Directory de tu directorio.
- Verifica si puedes ver los cambios en las clases y los atributos del esquema.
WindowsPowerShell
Para verificar los cambios de esquema con Windows PowerShell, usa el cmdlet Get-ADObject
. Ejecuta el siguiente comando en Windows PowerShell:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Reemplaza lo siguiente:
- ATTRIBUTE: Es el nombre de un atributo en tu esquema. Por ejemplo,
example-attribute
- ROOT_DOMAIN: Es el dominio raíz de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es
example.com
, ingresaexample
. - TOP_LEVEL_DOMAIN: Es el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es
example.com
, ingresacom
.
En la respuesta, verifica si puedes ver los cambios en las clases y los atributos del esquema.