Informazioni sull'estensione dello schema

Questa pagina descrive come funziona l'estensione dello schema in Managed Service for Microsoft Active Directory.

Panoramica

Active Directory si basa sullo schema per organizzare e archiviare i dati della directory. Lo schema AD definisce le classi degli oggetti e i relativi attributi utilizzati per archiviare i dati della directory.

Puoi utilizzare le estensioni dello schema per apportare modifiche allo schema e attivare il supporto per le applicazioni che dipendono da classi o attributi specifici in Active Directory.

Puoi estendere lo schema AD predefinito definendo nuove classi e attributi o modificando le definizioni o le proprietà di classi e attributi esistenti. Microsoft AD gestito ti consente di estendere lo schema utilizzando un file LDIF (LDAP Data Interchange Format) contenente i comandi per le modifiche dello schema. Per ulteriori informazioni, consulta la sezione Estensione dello schema.

Per ulteriori informazioni su LDIF, consulta LDAP Data Interchange Format.

Come preparare il file LDIF

Un file LDIF è un formato standard di interscambio di dati di testo normale per rappresentare i contenuti della directory Lightweight Directory Access Protocol (LDAP) e le richieste di aggiornamento. Un file LDIF è costituito da una serie di record che rappresenta una raccolta di richieste di aggiornamento, come aggiungere, modificare e rinominare. Le righe vuote separano l'insieme di record nel file LDIF che rappresentano ciascuna voce della richiesta di aggiornamento. Ti consigliamo di comprendere il formato dei file LDIF prima di creare il tuo file con modifiche allo schema. Per ulteriori informazioni, consulta la sezione sugli script LDIF.

Prima di preparare il file LDIF, leggi le seguenti linee guida.

Elementi dello schema

Gli elementi dello schema, come classi, attributi e oggetti, sono i componenti di base di uno schema AD. Ti consigliamo di apprendere i concetti chiave relativi agli elementi dello schema, come attributi, classi di oggetti, identificatori di oggetti e attributi collegati. Per ulteriori informazioni, consulta la sezione Schema di Active Directory (AD DS).

Struttura del file LDIF

Devi organizzare le voci in un file LDIF utilizzando la struttura Directory Information Tree (DIT). La struttura di un file LDIF valido deve rispettare le seguenti linee guida:

• Elenca le voci principali prima delle voci figlio.
• Separa le voci di un file LDIF con una riga vuota.
• Qualsiasi classe o attributo utilizzato in una voce deve esistere nello schema. Prima di utilizzare una classe o un attributo, assicurati di verificare se è disponibile nello schema. In caso contrario, devi aggiungere la classe o l'attributo allo schema. Ad esempio, devi creare un attributo prima di associarlo a un corso.

Formato del nome distinto

Tutte le voci di un file LDIF iniziano con un nome distinto (DN). Specifica l'oggetto AD su cui operano i record. Se i record aggiornano la cache dello schema, il DN deve essere vuoto. Per le modifiche allo schema, il DN deve avere il seguente formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Sostituisci quanto segue:

• CLASS_OR_ATTRIBUTE: il nome di una classe o di un attributo. Ad esempio, example-attribute.
• ROOT_DOMAIN: il dominio principale del tuo nome di dominio. Ad esempio, se il nome di dominio è example.com, inserisci example.
• TOP_LEVEL_DOMAIN: il dominio di primo livello del tuo nome di dominio. Ad esempio, se il nome di dominio è example.com, inserisci com.

Ad esempio, il DN di un attributo example-attribute per il nome di dominio example.com deve avere il seguente formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipi di modifiche LDIF supportati

Managed Microsoft AD supporta i seguenti tipi di modifica LDIF per l'estensione dello schema:

Considerazioni

Prima di estendere lo schema, assicurati di fare riferimento alle seguenti considerazioni.

• Microsoft fornisce avvisi dettagliati che descrivono l'impatto delle estensioni dello schema sull'ambiente Active Directory. Assicurati di esaminarli attentamente prima di estendere lo schema. Per ulteriori informazioni, vedi Cosa devi sapere prima di estendere lo schema.
• L'aggiunta di una classe o di un attributo allo schema è definitiva. Tuttavia, puoi disattivare una classe o un attributo che non è più necessario dopo averli aggiunti. Per ulteriori informazioni, vedi Disattivare classi e attributi esistenti.

Come funziona l'estensione dello schema

Quando avvii l'estensione dello schema per un dominio, Microsoft Active Directory gestito convalida il file LDIF per determinare la struttura, il formato degli elementi dello schema e le azioni o i tipi di modifica supportati.

Se il file LDIF è valido, Managed Microsoft AD esegue il backup del dominio prima di applicare le modifiche allo schema. Se riscontri problemi con la tua applicazione dopo l'aggiornamento dello schema, puoi utilizzare questo backup per ripristinare il dominio. Dopodiché, AD Microsoft gestito isola uno dei controller di dominio dal dominio e applica le modifiche allo schema utilizzando lo strumento Ldifde. Mentre sono in corso le modifiche allo schema, altri controller di dominio nel tuo dominio gestiscono il traffico del client.

Se le modifiche allo schema vanno a buon fine, il controller di dominio isolato si riconnette al dominio e replica queste modifiche allo schema agli altri controller di dominio nel dominio.

Se le modifiche allo schema non riescono, Managed Microsoft AD ripristina lo stato del backup del controller di dominio.

Microsoft AD gestito non supporta l'estensione parziale dello schema in un dominio. In altre parole, se uno dei comandi nel file LDIF non viene applicato al dominio, la richiesta di estensione dello schema non va a buon fine. Anche AD Microsoft gestito ripristina il dominio allo stato precedente all'applicazione delle modifiche allo schema.

Passaggi successivi

• Scopri come estendere lo schema in AD Microsoft gestito.
• Restrizioni relative all'estensione dello schema