Estender esquema

Este documento explica como estender o esquema em uma instância do serviço gerenciado para o Microsoft Active Directory.

Antes de começar

Antes de começar, faça o seguinte:

  1. Crie um domínio do Managed Microsoft AD.
  2. Crie e associe uma VM do Windows ao domínio.
  3. Leia o artigo Sobre a extensão de esquema e entenda estas considerações.
  4. Preparar o arquivo LDIF com as alterações de esquema. Para mais informações, consulte Como preparar seu arquivo LDIF.

  5. Verifique se você tem um dos seguintes papéis de usuário do Identity and Access Management (IAM):

    • Administrador de domínio das identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)
    • Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)

    Para mais informações, consulte Papéis do Cloud Managed Identities.

Estender o esquema

Quando você inicia a extensão de esquema, o Microsoft AD gerenciado cria um backup de extensão de esquema automaticamente antes de aplicar as alterações de esquema. É possível usar este backup para restaurar o domínio se você encontrar problemas após a extensão do esquema. Para identificar o backup da extensão do esquema, liste os backups criados para seu domínio.

Para ampliar o esquema, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

Substitua:

  • DOMAIN_NAME: o nome do seu domínio do Microsoft AD gerenciado. Por exemplo, my-domain.example.com.
  • LDIF_FILE_PATH: o caminho do arquivo LDIF com as mudanças de esquema. O tamanho máximo do arquivo é de 1 MB.
  • SCHEMA_EXTENSION_DESCRIPTION: a descrição das mudanças do esquema.
  • DOMAIN_RESOURCE_PROJECT_ID: o ID do projeto de recurso do domínio. Por exemplo, my-project.

O Microsoft AD gerenciado inicia a extensão do esquema e responde com um ID de operação que pode ser usado para rastrear a conclusão da extensão do esquema.

Para verificar o status da extensão do esquema, execute o seguinte comando da CLI gcloud:

gcloud active-directory operations describe OPERATION_ID

Substitua OPERATION_ID pelo ID da operação da extensão do esquema. Por exemplo, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.

Verificar a extensão do esquema

Depois de estender o esquema da instância do Microsoft AD gerenciado, é importante verificar as alterações no esquema antes de integrar seus aplicativos ao Active Directory. É possível verificar as mudanças no esquema usando diferentes ferramentas e abordagens. Nas seções a seguir, vamos explicar como verificar as alterações no esquema usando uma destas abordagens:

  1. Snap-In de esquema do Active Directory
  2. Windows PowerShell

Snap-In de esquema do Active Directory

Para verificar as alterações no esquema usando o Snap-In de esquema do Active Directory, faça o seguinte:

  1. Faça login na VM associada ao domínio como um administrador delegado.
  2. Instale o Snap-In de esquema do Active Directory.
  3. Abra o Console de Gerenciamento Microsoft (MMC, na sigla em inglês).
  4. Expanda a árvore Active Directory Schema do seu diretório.
  5. Verifique se as alterações nas classes e nos atributos do esquema aparecem.

Windows PowerShell

Para verificar as alterações no esquema com o Windows PowerShell, use o submenu Get-ADObject. Execute o seguinte comando no Windows PowerShell:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

Substitua:

  • ATTRIBUTE: o nome de um atributo no esquema. Por exemplo, example-attribute.
  • ROOT_DOMAIN: o domínio raiz do nome de domínio. Por exemplo, se o nome de domínio for example.com, digite example.
  • TOP_LEVEL_DOMAIN: o domínio de nível superior do nome de domínio. Por exemplo, se o nome de domínio for example.com, digite com.

Na resposta, verifique se as alterações nas classes e nos atributos do esquema aparecem.

A seguir