スキーマを拡張する

このドキュメントでは、Managed Service for Microsoft Active Directory インスタンスのスキーマを拡張する方法について説明します。

始める前に

始める前に、次のことを行います。

  1. Managed Microsoft AD ドメインを作成します
  2. Windows VM を作成し、ドメインに参加させます
  3. 必ずスキーマ拡張についてを読み、これらの考慮事項を理解しておいてください。
  4. スキーマを変更して LDIF ファイルを準備します。詳細については、LDIF ファイルを準備する方法をご覧ください。

  5. 次のいずれかの Identity and Access Management(IAM)ユーザーロールが付与されていることを確認します。

    • Google Cloud Managed Identities ドメイン管理者(roles/managedidentities.domainAdmin
    • Google Cloud Managed Identities 管理者(roles/managedidentities.admin

    詳細については、Cloud Managed Identities のロールをご覧ください。

スキーマを拡張する

スキーマ拡張を開始すると、マネージド Microsoft AD はスキーマの変更を適用する前に、スキーマ拡張バックアップを自動的に作成します。スキーマ拡張の後に問題が発生した場合は、このバックアップを使用してドメインを復元できます。スキーマ拡張バックアップを特定するには、ドメイン用に作成されたバックアップを一覧表示します。

スキーマを拡張するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

以下を置き換えます。

  • DOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例: my-domain.example.com
  • LDIF_FILE_PATH: スキーマが変更された LDIF ファイルのパス。最大ファイルサイズは 1 MB に制限されています。
  • SCHEMA_EXTENSION_DESCRIPTION: スキーマ変更についての説明。
  • DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例: my-project

マネージド Microsoft AD はスキーマ拡張を開始し、スキーマ拡張の完了を追跡するために使用できるオペレーション ID で応答します。

スキーマ拡張のステータスを確認するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory operations describe OPERATION_ID

OPERATION_ID をスキーマ拡張のオペレーション ID に置き換えます。例: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2

スキーマ拡張を確認する

マネージド Microsoft AD インスタンスのスキーマを拡張したら、アプリケーションを Active Directory と統合する前に、スキーマの変更を確認することが重要です。スキーマの変更は、さまざまなツールとアプローチを使用して確認できます。以下の各セクションでは、これらのいずれかの方法を使用してスキーマの変更を確認する方法について説明します。

  1. Active Directory スキーマのスナップイン
  2. Windows PowerShell

Active Directory スキーマのスナップイン

Active Directory スキーマ スナップインを使用してスキーマの変更を確認するには、次の操作を行います。

  1. 委任された管理者としてドメインに参加している VM にログインします。
  2. Active Directory スキーマ スナップインをインストールします
  3. Microsoft 管理コンソール(MMC)を開きます。
  4. ディレクトリの [Active Directory スキーマ] ツリーを展開します。
  5. スキーマのクラスと属性の変更を確認できるかどうかを確認します。

Windows PowerShell

Windows PowerShell を使用してスキーマの変更を確認するには、Get-ADObject コマンドレットを使用します。Windows PowerShell で次のコマンドを実行します。

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

以下を置き換えます。

  • ATTRIBUTE: スキーマ内の属性の名前。例: example-attribute
  • ROOT_DOMAIN: ドメイン名のルートドメイン。たとえば、ドメイン名が example.com の場合は、「example」と入力します。
  • TOP_LEVEL_DOMAIN: ドメイン名のトップレベル ドメイン。たとえば、ドメイン名が example.com の場合は、「com」と入力します。

レスポンスで、スキーマのクラスと属性の変更を確認できるかどうかを確認します。

次のステップ