In diesem Dokument wird erläutert, wie Sie das Schema in einer Managed Service for Microsoft Active Directory-Instanz erweitern.
Hinweise
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Erstellen Sie eine Windows-VM und verbinden Sie sie mit der Domain.
- Lesen Sie den Hilfeartikel Schemaerweiterung und machen Sie sich mit den Voraussetzungen vertraut.
- Bereiten Sie die LDIF-Datei mit den Schemaänderungen vor. Weitere Informationen finden Sie unter LDIF-Datei vorbereiten.
Sie benötigen eine der folgenden IAM-Nutzerrollen (Identity and Access Management):
- Google Cloud Managed Identities-Domainadministrator (
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin)
Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.
- Google Cloud Managed Identities-Domainadministrator (
Schema erweitern
Wenn Sie die Schemaerweiterung initiieren, wird in Managed Microsoft AD automatisch eine Sicherung der Schemaerweiterung erstellt, bevor die Schemaänderungen angewendet werden. Sie können diese Sicherung verwenden, um die Domain wiederherzustellen, falls nach der Schemaerweiterung Probleme auftreten. Um die Sicherung der Schemaerweiterung zu ermitteln, können Sie die für Ihre Domain erstellten Sicherungen auflisten.
Führen Sie folgenden gcloud CLI-Befehl aus, um das Schema zu erweitern:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Ersetzen Sie Folgendes:
- DOMAIN_NAME: Der Name Ihrer Managed Microsoft AD-Domain. Beispiel:
my-domain.example.com. - LDIF_FILE_PATH: Der Pfad zur LDIF-Datei mit den Schemaänderungen. Die maximale Dateigröße ist auf 1 MB begrenzt.
- SCHEMA_EXTENSION_DESCRIPTION: Die Beschreibung der Schemaänderungen.
- DOMAIN_RESOURCE_PROJECT_ID: Die Projekt-ID des Domainressourcenprojekts. Beispiel:
my-project.
Verwaltetes Microsoft AD initiiert die Schemaerweiterung und antwortet mit einer Vorgangs-ID, mit der Sie den Abschluss der Schemaerweiterung verfolgen können.
Führen Sie den folgenden gcloud CLI-Befehl aus, um den Status Ihrer Schemaerweiterung zu prüfen:
gcloud active-directory operations describe OPERATION_ID
Ersetzen Sie OPERATION_ID durch die Vorgangs-ID Ihrer Schemaerweiterung. Beispiel: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.
Schemaerweiterung prüfen
Nachdem Sie das Schema Ihrer verwalteten Microsoft AD-Instanz erweitert haben, müssen Sie die Schemaänderungen überprüfen, bevor Sie Ihre Anwendungen in Active Directory einbinden. Sie können die Schemaänderungen mit verschiedenen Tools und Ansätzen überprüfen. In den folgenden Abschnitten wird beschrieben, wie Sie die Schemaänderungen mithilfe einer der folgenden Methoden überprüfen können:
- Active Directory-Schema-Snap-In
- Windows PowerShell
Active Directory-Schema-Snap-In
So überprüfen Sie die Schemaänderungen mit dem Active Directory-Schema-Snap-In:
- Melden Sie sich als delegierter Administrator in Ihrer VM an, die der Domain beigetreten ist.
- Installieren Sie das Active Directory-Schema-Snap-In.
- Öffnen Sie die Microsoft Management Console (MMC).
- Maximieren Sie den Verzeichnisbaum Active Directory-Schema.
- Prüfen Sie, ob Sie die Änderungen an den Klassen und Attributen des Schemas sehen können.
Windows PowerShell
Verwenden Sie das Cmdlet Get-ADObject, um die Schemaänderungen mit Windows PowerShell zu überprüfen. Führen Sie in Windows PowerShell den folgenden Befehl aus:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Ersetzen Sie Folgendes:
- ATTRIBUTE: Der Name eines Attributs in Ihrem Schema. Beispiel:
example-attribute. - ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Sieexampleein. - TOP_LEVEL_DOMAIN: Die Top-Level-Domain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Siecomein.
Prüfen Sie in der Antwort, ob Sie die Änderungen an den Klassen und Attributen des Schemas sehen können.