In diesem Dokument wird erläutert, wie Sie das Schema in einer Managed Service for Microsoft Active Directory-Instanz erweitern.
Hinweis
Führen Sie zuerst folgende Schritte aus:
- Managed Microsoft AD-Domain erstellen
- Erstellen Sie eine Windows-VM und treten Sie ihr in der Domain bei.
- Lesen Sie die Informationen zu Schemaerweiterungen und lesen Sie diesen Artikel.
- Bereiten Sie die LDIF-Datei mit den Schemaänderungen vor. Weitere Informationen finden Sie unter LDIF-Datei vorbereiten.
Prüfen Sie, ob Sie eine der folgenden Nutzerrollen für die Identitäts- und Zugriffsverwaltung (IAM) haben:
- Google Cloud Managed Identities-Domainadministrator (
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin)
Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.
- Google Cloud Managed Identities-Domainadministrator (
Schema erweitern
Wenn Sie die Schemaerweiterung initiieren, erstellt Managed Microsoft AD automatisch eine Sicherung der Schemaerweiterung, bevor die Schemaänderungen angewendet werden. Sie können diese Sicherung verwenden, um die Domain wiederherzustellen, wenn nach der Schemaerweiterung Probleme auftreten. Um die Sicherung der Schemaerweiterung zu identifizieren, können Sie die Sicherungen auflisten, die für Ihre Domain erstellt wurden.
Führen Sie den folgenden gcloud CLI-Befehl aus, um das Schema zu erweitern:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Dabei gilt:
- DOMAIN_NAME: Der Name Ihrer Managed Microsoft AD-Domain. Beispiel:
my-domain.example.com. - LDIF_FILE_PATH: Der Pfad der LDIF-Datei mit dem Schema. Die maximale Dateigröße ist auf 1 MB begrenzt.
- SCHEMA_EXTENSION_DESCRIPTION: Die Beschreibung des Schemas ändert sich.
- DOMAIN_RESOURCE_PROJECT_ID: Die Projekt-ID des Domainressourcenprojekts. Beispiel:
my-project.
Managed Microsoft AD initiiert die Schemaerweiterung und antwortet mit einer Vorgangs-ID, mit der Sie den Abschluss der Schemaerweiterung erfassen können.
Führen Sie den folgenden gcloud-Kommandozeilenbefehl aus, um den Status Ihrer Schemaerweiterung zu prüfen:
gcloud active-directory operations describe OPERATION_ID
Ersetzen Sie OPERATION_ID durch die Vorgangs-ID Ihrer Schemaerweiterung. Beispiel: operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.
Schemaerweiterung prüfen
Nachdem Sie das Schema Ihrer Managed Microsoft AD-Instanz erweitert haben, müssen Sie die Schemaänderungen überprüfen, bevor Sie Ihre Anwendungen in Active Directory einbinden. Sie können die Schemaänderungen mit verschiedenen Tools und Ansätzen prüfen. In den folgenden Abschnitten wird erläutert, wie Sie die Schemaänderungen mit einem der folgenden Ansätze überprüfen können:
- Active Directory-Schema-Snap-In
- Windows PowerShell
Active Directory-Schema-Snap-In
So prüfen Sie die Schemaänderungen mit dem Active Directory-Schema-Snap-In:
- Melden Sie sich als delegierter Administrator in Ihrer VM an, die der Domain beigetreten ist.
- Installieren Sie das Snap-In für Active Directory.
- Öffnen Sie die Microsoft Management Console (MMC).
- Erweitern Sie die Active Directory-Schemastruktur für Ihr Verzeichnis.
- Prüfen Sie, ob Sie die Änderungen an Klassen und Attributen des Schemas sehen können.
Windows PowerShell
Verwenden Sie das Get-ADObject-Cmdlet, um die Schemaänderungen mit Windows PowerShell zu prüfen. Führen Sie in Windows PowerShell den folgenden Befehl aus:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Dabei gilt:
- ATTRIBUTE: Der Name eines Attributs in Ihrem Schema. Beispiel:
example-attribute. - ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Sieexampleein. - TOP_LEVEL_DOMAIN: Die Top-Level-Domain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.comlautet, geben Siecomein.
Prüfen Sie in der Antwort, ob Sie die Änderungen an Klassen und Attributen des Schemas sehen können.