Estender esquema

Neste documento, explicamos como estender o esquema em um serviço gerenciado para uma instância do Microsoft Active Directory.

Antes de começar

Antes de começar, faça o seguinte:

  1. Crie um domínio do Managed Microsoft AD.
  2. Criar e associar uma VM do Windows ao domínio.
  3. Leia Sobre a extensão do esquema e entenda estas considerações.
  4. Prepare o arquivo LDIF com as alterações no esquema. Para mais informações, consulte Como preparar seu arquivo LDIF.
  5. Verifique se você tem algum dos seguintes papéis de usuário do Identity and Access Management (IAM):

    • Administrador de domínio das identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)
    • Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)

    Para mais informações, consulte Papéis das identidades gerenciadas do Cloud.

Estender o esquema

Quando você inicia uma extensão de esquema, o Microsoft AD gerenciado cria um backup da extensão de esquema automaticamente antes de aplicar as alterações do esquema. Use esse backup para restaurar o domínio se você tiver problemas após a extensão do esquema. Para identificar o backup de extensão de esquema, liste os backups criados para seu domínio.

Para estender o esquema, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

Substitua:

  • DOMAIN_NAME: o nome do domínio do Microsoft AD gerenciado. Por exemplo, my-domain.example.com.
  • LDIF_FILE_PATH: o caminho do arquivo LDIF com as alterações no esquema. O tamanho máximo do arquivo é de 1 MB.
  • SCHEMA_EXTENSION_DESCRIPTION: a descrição das mudanças no esquema.
  • DOMAIN_RESOURCE_PROJECT_ID: o ID do projeto de recurso de domínio. Por exemplo, my-project.

O Microsoft AD gerenciado inicia a extensão de esquema e responde com um ID de operação que pode ser usado para acompanhar a conclusão da extensão.

Para verificar o status da extensão de esquema, execute o seguinte comando da CLI gcloud:

gcloud active-directory operations describe OPERATION_ID

Substitua OPERATION_ID pelo ID da operação da sua extensão de esquema. Por exemplo, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.

Verificar a extensão do esquema

Depois de estender o esquema da sua instância gerenciada do Microsoft AD, é importante verificar as mudanças antes de integrar seus aplicativos ao Active Directory. É possível verificar as mudanças de esquema usando diferentes ferramentas e abordagens. Nas próximas seções, explicamos como verificar as mudanças de esquema usando uma destas abordagens:

  1. Snap-in do esquema do Active Directory
  2. Windows PowerShell

Snap-in do esquema do Active Directory

Para verificar as alterações no esquema usando o Snap-in de esquema do Active Directory, faça o seguinte:

  1. Faça login na VM associada ao domínio como administrador delegado.
  2. Instale o snap-in do esquema do Active Directory.
  3. Abra o Console de Gerenciamento da Microsoft (MMC, na sigla em inglês).
  4. Expanda a árvore de Esquema do Active Directory do seu diretório.
  5. Verifique se você consegue ver as mudanças nas classes e nos atributos do esquema.

Windows PowerShell

Para verificar as alterações no esquema usando o Windows PowerShell, use o cmdlet Get-ADObject. Execute o seguinte comando no Windows PowerShell:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

Substitua:

  • ATTRIBUTE: o nome de um atributo no esquema. Por exemplo, example-attribute.
  • ROOT_DOMAIN: o domínio raiz do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, insira example.
  • TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, digite com.

Na resposta, verifique se você consegue ver as mudanças nas classes e nos atributos do esquema.

A seguir