Este documento explica como estender o esquema em uma instância do Serviço Gerenciado para Microsoft Active Directory.
Antes de começar
Antes de começar, faça o seguinte:
- Crie um domínio do Managed Microsoft AD.
- Crie e associe uma VM do Windows ao domínio.
- Leia Sobre a extensão de esquema e entenda estas considerações.
- Prepare o arquivo LDIF com as mudanças no esquema. Para mais informações, consulte Como preparar seu arquivo LDIF.
Verifique se você tem um dos seguintes papéis de usuário do Identity and Access Management (IAM):
- Administrador de domínio das identidades gerenciadas do Google Cloud (
roles/managedidentities.domainAdmin) - Administrador de identidades gerenciadas do Google Cloud (
roles/managedidentities.admin)
Para mais informações, consulte Papéis do Cloud Managed Identities.
- Administrador de domínio das identidades gerenciadas do Google Cloud (
Estender o esquema
Quando você inicia a extensão do esquema, o Microsoft AD gerenciado cria um backup da extensão do esquema automaticamente antes de aplicar as mudanças. Você pode usar esse backup para restaurar o domínio se encontrar algum problema após a extensão do esquema. Para identificar o backup de extensão de esquema, liste os backups criados para seu domínio.
Para estender o esquema, execute o seguinte comando da CLI gcloud:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Substitua:
- DOMAIN_NAME: o nome do domínio do Microsoft AD gerenciado. Por exemplo,
my-domain.example.com. - LDIF_FILE_PATH: o caminho do arquivo LDIF com as mudanças de esquema. O tamanho máximo do arquivo é de 1 MB.
- SCHEMA_EXTENSION_DESCRIPTION: a descrição das mudanças no esquema.
- DOMAIN_RESOURCE_PROJECT_ID: o ID do projeto de recurso de domínio. Por exemplo,
my-project.
O Managed Microsoft AD inicia a extensão do esquema e responde com um ID de operação que pode ser usado para acompanhar a conclusão da extensão do esquema.
Para verificar o status da extensão do esquema, execute o seguinte comando da CLI gcloud:
gcloud active-directory operations describe OPERATION_ID
Substitua OPERATION_ID pelo ID da operação da sua extensão de esquema. Por exemplo, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.
Verificar a extensão do esquema
Depois de estender o esquema da sua instância gerenciada do Microsoft AD, é importante verificar as mudanças antes de integrar seus aplicativos ao Active Directory. É possível verificar as mudanças de esquema usando diferentes ferramentas e abordagens. Nas próximas seções, explicamos como verificar as mudanças de esquema usando uma destas abordagens:
- Snap-in do esquema do Active Directory
- Windows PowerShell
Snap-in do esquema do Active Directory
Para verificar as mudanças de esquema usando o snap-in de esquema do Active Directory, faça o seguinte:
- Faça login na VM associada ao domínio como administrador delegado.
- Instale o snap-in do esquema do Active Directory.
- Abra o Microsoft Management Console (MMC).
- Abra a árvore Esquema do Active Directory do seu diretório.
- Verifique se você consegue ver as mudanças nas classes e nos atributos do esquema.
Windows PowerShell
Para verificar as mudanças no esquema usando o Windows PowerShell, use o cmdlet Get-ADObject. Execute o seguinte comando no Windows PowerShell:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Substitua:
- ATTRIBUTE: o nome de um atributo no esquema. Por exemplo,
example-attribute. - ROOT_DOMAIN: o domínio raiz do seu nome de domínio. Por exemplo, se o nome do domínio for
example.com, insiraexample. - TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for
example.com, insiracom.
Na resposta, verifique se você consegue ver as mudanças nas classes e nos atributos do esquema.