このドキュメントでは、Managed Service for Microsoft Active Directory インスタンスでスキーマを拡張する方法について説明します。
始める前に
始める前に、次のことを行います。
- Managed Microsoft AD ドメインを作成します。
- Windows VM を作成し、ドメインに参加させます。
- スキーマ拡張についてを読み、考慮事項を理解してください。
- スキーマの変更を含む LDIF ファイルを準備します。詳細については、LDIF ファイルを準備する方法をご覧ください。
次のいずれかの Identity and Access Management(IAM)ユーザーロールが付与されていることを確認します。
- Google Cloud Managed Identities ドメイン管理者(
roles/managedidentities.domainAdmin
) - Google Cloud Managed Identities 管理者(
roles/managedidentities.admin
)
詳細については、Cloud Managed Identities のロールをご覧ください。
- Google Cloud Managed Identities ドメイン管理者(
スキーマを拡張する
スキーマ拡張を開始すると、マネージド Microsoft AD はスキーマの変更を適用する前にスキーマ拡張バックアップを自動的に作成します。スキーマ拡張後に問題が発生した場合は、このバックアップを使用してドメインを復元できます。スキーマ拡張機能のバックアップを特定するには、ドメイン用に作成されたバックアップを一覧表示します。
スキーマを拡張するには、次の gcloud CLI コマンドを実行します。
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \ --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
以下を置き換えます。
- DOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:
my-domain.example.com
。 - LDIF_FILE_PATH: スキーマ変更を含む LDIF ファイルのパス。最大ファイルサイズは 1 MB に制限されています。
- SCHEMA_EXTENSION_DESCRIPTION: スキーマ変更についての説明。
- DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:
my-project
。
マネージド Microsoft AD はスキーマ拡張を開始し、スキーマ拡張の完了を追跡するために使用できるオペレーション ID で応答します。
スキーマ拡張のステータスを確認するには、次の gcloud CLI コマンドを実行します。
gcloud active-directory operations describe OPERATION_ID
OPERATION_ID は、スキーマ拡張のオペレーション ID に置き換えます。例: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2
。
スキーマ拡張を確認する
マネージド Microsoft AD インスタンスのスキーマを拡張したら、アプリケーションを Active Directory と統合する前に、スキーマの変更を確認することが重要です。スキーマの変更は、さまざまなツールと方法で確認できます。以下の各セクションでは、これらのいずれかの方法を使用してスキーマの変更を確認する方法について説明します。
- Active Directory スキーマ スナップイン
- Windows PowerShell
Active Directory スキーマ スナップイン
Active Directory スキーマ スナップインを使用してスキーマの変更を確認する手順は次のとおりです。
- 委任された管理者として、ドメインに参加している VM にログインします。
- Active Directory スキーマ スナップインをインストールします。
- Microsoft 管理コンソール(MMC)を開きます。
- ディレクトリの [Active Directory スキーマ] ツリーを開きます。
- スキーマのクラスと属性の変更を確認します。
Windows PowerShell
Windows PowerShell を使用してスキーマの変更を確認するには、Get-ADObject
コマンドレットを使用します。Windows PowerShell で次のコマンドを実行します。
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
以下を置き換えます。
- ATTRIBUTE: スキーマ内の属性の名前。例:
example-attribute
。 - ROOT_DOMAIN: ドメイン名のルートドメイン。たとえば、ドメイン名が
example.com
の場合は、「example
」と入力します。 - TOP_LEVEL_DOMAIN: ドメイン名のトップレベル ドメイン。たとえば、ドメイン名が
example.com
の場合は、「com
」と入力します。
レスポンスで、スキーマのクラスと属性の変更を確認します。