Ce document explique comment étendre le schéma dans une instance du service géré pour Microsoft Active Directory.
Avant de commencer
Avant de commencer, procédez comme suit :
- Créez un domaine Microsoft AD géré.
- Créez une VM Windows et joignez-la au domaine.
- Assurez-vous de lire l'article À propos de l'extension de schéma et de bien comprendre ces considérations.
- Préparez le fichier LDIF avec les modifications de schéma. Pour en savoir plus, consultez l'article Préparer votre fichier LDIF.
Assurez-vous de disposer de l'un des rôles utilisateur IAM (Identity and Access Management) suivants:
- Administrateur de domaine Google Cloud Managed Identities (
roles/managedidentities.domainAdmin) - Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin)
Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.
- Administrateur de domaine Google Cloud Managed Identities (
Étendre le schéma
Lorsque vous lancez une extension de schéma, le service Microsoft AD géré crée automatiquement une sauvegarde de l'extension de schéma avant d'appliquer les modifications du schéma. Vous pouvez utiliser cette sauvegarde pour restaurer le domaine en cas de problème après l'extension de schéma. Pour identifier la sauvegarde de l'extension de schéma, vous pouvez répertorier les sauvegardes créées pour votre domaine.
Pour étendre le schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Remplacez les éléments suivants :
- DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple,
my-domain.example.com. - LDIF_FILE_PATH: chemin d'accès au fichier LDIF avec les modifications de schéma. La taille maximale des fichiers est de 1 Mo.
- SCHEMA_EXTENSION_DESCRIPTION: description des modifications du schéma.
- DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple,
my-project.
Le service Microsoft AD géré lance l'extension de schéma et répond avec un ID d'opération que vous pouvez utiliser pour suivre la réalisation de l'extension de schéma.
Pour vérifier l'état de votre extension de schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory operations describe OPERATION_ID
Remplacez OPERATION_ID par l'ID d'opération de votre extension de schéma. Par exemple, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.
Valider l'extension de schéma
Après avoir étendu le schéma de votre instance Microsoft AD gérée, vous devez vérifier les modifications de schéma avant d'intégrer vos applications à Active Directory. Vous pouvez vérifier les modifications de schéma à l'aide de différents outils et approches. Dans les sections suivantes, nous expliquons comment vérifier les modifications de schéma en utilisant l'une de ces approches:
- Snap-In du schéma Active Directory
- Windows PowerShell
Snap-In du schéma Active Directory
Pour vérifier les modifications de schéma à l'aide de l'ancrage de schéma Active Directory, procédez comme suit:
- Connectez-vous à la VM associée à votre domaine en tant qu'administrateur délégué.
- Installez l'ancrage du schéma Active Directory.
- Ouvrez la console de gestion Microsoft (MMC).
- Développez l'arborescence Schéma Active Directory de votre répertoire.
- Vérifiez si vous pouvez voir les modifications apportées aux classes et aux attributs du schéma.
Windows PowerShell
Pour vérifier les modifications de schéma à l'aide de Windows PowerShell, utilisez le cmdlet Get-ADObject. Exécutez la commande suivante dans Windows PowerShell:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Remplacez les éléments suivants :
- ATTRIBUTE: nom d'un attribut de votre schéma. Par exemple,
example-attribute. - ROOT_DOMAIN: domaine racine de votre nom de domaine Par exemple, si votre nom de domaine est
example.com, saisissezexample. - TOP_LEVEL_DOMAIN: domaine de premier niveau de votre nom de domaine. Par exemple, si votre nom de domaine est
example.com, saisissezcom.
Dans la réponse, vérifiez si vous pouvez voir les modifications apportées aux classes et aux attributs du schéma.