スキーマを拡張する

このドキュメントでは、Managed Service for Microsoft Active Directory インスタンスでスキーマを拡張する方法について説明します。

始める前に

始める前に、次のことを行います。

  1. Managed Microsoft AD ドメインを作成します
  2. Windows VM を作成し、ドメインに参加させます
  3. スキーマ拡張についてを読み、考慮事項を理解してください。
  4. スキーマの変更を含む LDIF ファイルを準備します。詳細については、LDIF ファイルを準備する方法をご覧ください。

  5. 次のいずれかの Identity and Access Management(IAM)ユーザーロールが付与されていることを確認します。

    • Google Cloud Managed Identities ドメイン管理者(roles/managedidentities.domainAdmin
    • Google Cloud Managed Identities 管理者(roles/managedidentities.admin

    詳細については、Cloud Managed Identities のロールをご覧ください。

スキーマを拡張する

スキーマ拡張を開始すると、マネージド Microsoft AD はスキーマの変更を適用する前にスキーマ拡張バックアップを自動的に作成します。スキーマ拡張後に問題が発生した場合は、このバックアップを使用してドメインを復元できます。スキーマ拡張機能のバックアップを特定するには、ドメイン用に作成されたバックアップを一覧表示します。

スキーマを拡張するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

以下を置き換えます。

  • DOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例: my-domain.example.com
  • LDIF_FILE_PATH: スキーマ変更を含む LDIF ファイルのパス。最大ファイルサイズは 1 MB に制限されています。
  • SCHEMA_EXTENSION_DESCRIPTION: スキーマ変更についての説明。
  • DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例: my-project

マネージド Microsoft AD はスキーマ拡張を開始し、スキーマ拡張の完了を追跡するために使用できるオペレーション ID で応答します。

スキーマ拡張のステータスを確認するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory operations describe OPERATION_ID

OPERATION_ID は、スキーマ拡張のオペレーション ID に置き換えます。例: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2

スキーマ拡張を確認する

マネージド Microsoft AD インスタンスのスキーマを拡張したら、アプリケーションを Active Directory と統合する前に、スキーマの変更を確認することが重要です。スキーマの変更は、さまざまなツールと方法で確認できます。以下の各セクションでは、これらのいずれかの方法を使用してスキーマの変更を確認する方法について説明します。

  1. Active Directory スキーマ スナップイン
  2. Windows PowerShell

Active Directory スキーマ スナップイン

Active Directory スキーマ スナップインを使用してスキーマの変更を確認する手順は次のとおりです。

  1. 委任された管理者として、ドメインに参加している VM にログインします。
  2. Active Directory スキーマ スナップインをインストールします
  3. Microsoft 管理コンソール(MMC)を開きます。
  4. ディレクトリの [Active Directory スキーマ] ツリーを開きます。
  5. スキーマのクラスと属性の変更を確認します。

Windows PowerShell

Windows PowerShell を使用してスキーマの変更を確認するには、Get-ADObject コマンドレットを使用します。Windows PowerShell で次のコマンドを実行します。

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

以下を置き換えます。

  • ATTRIBUTE: スキーマ内の属性の名前。例: example-attribute
  • ROOT_DOMAIN: ドメイン名のルートドメイン。たとえば、ドメイン名が example.com の場合は、「example」と入力します。
  • TOP_LEVEL_DOMAIN: ドメイン名のトップレベル ドメイン。たとえば、ドメイン名が example.com の場合は、「com」と入力します。

レスポンスで、スキーマのクラスと属性の変更を確認します。

次のステップ