Ce document explique comment étendre le schéma dans une instance du service géré pour Microsoft Active Directory.
Avant de commencer
Avant de commencer, procédez comme suit :
- Créez un domaine Microsoft AD géré.
- Créez une VM Windows et associez-la au domaine.
- Veillez à lire À propos de l'extension de schéma et à bien comprendre ces remarques.
- Préparez le fichier LDIF avec les modifications de schéma. Pour en savoir plus, consultez Préparer votre fichier LDIF.
Assurez-vous de disposer de l'un des rôles utilisateur IAM (Identity and Access Management) suivants :
- Administrateur de domaine Google Cloud Managed Identities (
roles/managedidentities.domainAdmin) - Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin)
Pour en savoir plus, consultez Rôles Cloud Managed Identities.
- Administrateur de domaine Google Cloud Managed Identities (
Étendre le schéma
Lorsque vous lancez une extension de schéma, le service Microsoft AD géré crée automatiquement une sauvegarde d'extension de schéma avant d'appliquer les modifications de schéma. Vous pouvez utiliser cette sauvegarde pour restaurer le domaine si vous rencontrez des problèmes après l'extension du schéma. Pour identifier la sauvegarde de l'extension de schéma, vous pouvez répertorier les sauvegardes créées pour votre domaine.
Pour étendre le schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \
--description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Remplacez les éléments suivants :
- DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Exemple :
my-domain.example.com - LDIF_FILE_PATH: chemin d'accès au fichier LDIF avec les modifications de schéma. La taille maximale des fichiers est de 1 Mo.
- SCHEMA_EXTENSION_DESCRIPTION: description des modifications du schéma.
- DOMAIN_RESOURCE_PROJECT_ID : ID du projet de ressources de domaine. Exemple :
my-project
Le service Microsoft AD géré lance l'extension de schéma et répond avec un ID d'opération que vous pouvez utiliser pour suivre l'achèvement de l'extension de schéma.
Pour vérifier l'état de votre extension de schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory operations describe OPERATION_ID
Remplacez OPERATION_ID par l'ID de l'opération de votre extension de schéma. Exemple :operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2
Vérifier l'extension du schéma
Après avoir étendu le schéma de votre instance Microsoft AD gérée, il est important de vérifier les modifications de schéma avant d'intégrer vos applications à Active Directory. Vous pouvez vérifier les modifications du schéma à l'aide de différents outils et approches. Dans les sections suivantes, nous vous expliquons comment vérifier les modifications du schéma en utilisant l'une de ces approches:
- Composant logiciel enfichable schéma Active Directory
- Windows PowerShell
Active Directory Schema Snap-In
Pour vérifier les modifications apportées au schéma à l'aide du composant logiciel enfichable Active Directory Schema, procédez comme suit :
- Connectez-vous à votre VM associée au domaine en tant qu'administrateur délégué.
- Installez le Snap-In de schéma Active Directory.
- Ouvrez la console MMC (Microsoft Management Console).
- Développez l'arborescence Active Directory Schema (Schéma Active Directory) pour votre répertoire.
- Vérifiez si vous pouvez voir les modifications apportées aux classes et aux attributs du schéma.
Windows PowerShell
Pour vérifier les modifications apportées au schéma à l'aide de Windows PowerShell, utilisez la cmdlet Get-ADObject. Exécutez la commande suivante dans Windows PowerShell :
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Remplacez les éléments suivants :
- ATTRIBUTE : nom d'un attribut de votre schéma. Exemple :
example-attribute - ROOT_DOMAIN: domaine racine de votre nom de domaine Par exemple, si votre nom de domaine est
example.com, saisissezexample. - TOP_LEVEL_DOMAIN : domaine de premier niveau de votre nom de domaine. Par exemple, si votre nom de domaine est
example.com, saisissezcom.
Dans la réponse, vérifiez si vous pouvez voir les modifications des classes et des attributs du schéma.