Diese Seite wurde von der Cloud Translation API übersetzt.

Schemaerweiterung

Auf dieser Seite wird beschrieben, wie die Schemaerweiterung im Managed Service for Microsoft Active Directory funktioniert.

Übersicht

Active Directory verwendet ein Schema, um die Verzeichnisdaten zu organisieren und zu speichern. Das AD-Schema definiert die Objektklassen und ihre Attribute, die zum Speichern der Verzeichnisdaten verwendet werden.

Mit Schemaerweiterungen können Sie Schemaänderungen vornehmen und die Unterstützung für Anwendungen aktivieren, die von bestimmten Klassen oder Attributen in Active Directory abhängig sind.

Sie können das Standard-AD-Schema erweitern, indem Sie neue Klassen und Attribute definieren oder die Definitionen oder Eigenschaften vorhandener Klassen und Attribute ändern. Mit Managed Microsoft AD können Sie das Schema mit einer LDIF-Datei (LDAP Data Interchange Format) erweitern, die Befehle für Schemaänderungen enthält. Weitere Informationen finden Sie unter Schema erweitern.

Weitere Informationen zu LDIF finden Sie unter LDAP-Datenaustauschformat.

LDIF-Datei vorbereiten

Eine LDIF-Datei ist ein Standard-Nur-Text-Datenaustauschformat zur Darstellung von LDAP-Verzeichnisinhalten (Lightweight Directory Access Protocol) und Aktualisierungsanfragen. Eine LDIF-Datei besteht aus einer Reihe von Datensätzen, die eine Sammlung von Aktualisierungsanfragen darstellen, z. B. Hinzufügen, Ändern, Umbenennen. Durch die Leerzeilen werden die Datensätze in der LDIF-Datei getrennt, die jeden Eintrag für eine Aktualisierungsanfrage darstellen. Wir empfehlen Ihnen, sich mit dem Format von LDIF-Dateien vertraut zu machen, bevor Sie Ihre Datei mit Schemaänderungen erstellen. Weitere Informationen finden Sie unter LDIF-Skripts.

Lesen Sie vor der Vorbereitung der LDIF-Datei die folgenden Richtlinien.

Schemaelemente

Schemaelemente wie Klassen, Attribute und Objekte sind die Bausteine eines AD-Schemas. Wir empfehlen Ihnen, sich mit den wichtigsten Konzepten von Schemaelementen wie Attributen, Objektklassen, Objektkennungen und verknüpften Attributen vertraut zu machen. Weitere Informationen finden Sie unter Active Directory-Schema (AD DS).

LDIF-Dateistruktur

Sie müssen die Einträge in einer LDIF-Datei anordnen, indem Sie die Verzeichnisinformationsstruktur (DIT) verwenden. Die Struktur einer gültigen LDIF-Datei muss den folgenden Richtlinien entsprechen:

Listen Sie die übergeordneten Einträge vor den untergeordneten Einträgen auf.
Trennen Sie die Einträge in einer LDIF-Datei durch eine Leerzeile.
Jede Klasse oder jedes Attribut, das Sie in einem Eintrag verwenden, muss im Schema vorhanden sein. Bevor Sie eine Klasse oder ein Attribut verwenden, prüfen Sie, ob sie im Schema verfügbar ist. Ist das nicht der Fall, müssen Sie dem Schema die Klasse oder das Attribut hinzufügen. So müssen Sie beispielsweise ein Attribut erstellen, bevor Sie es an eine Klasse anhängen.

Distinguished Name-Format

Alle Einträge in einer LDIF-Datei beginnen mit einem Distinguished Name (DN). Gibt das AD-Objekt an, auf dem die Einträge ausgeführt werden. Wenn der Schema-Cache der Einträge aktualisiert wird, muss der DN leer sein. Für Schemaänderungen muss der DN das folgende Format haben:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Dabei gilt:

CLASS_OR_ATTRIBUTE: Der Name einer Klasse oder eines Attributs. Beispiel: example-attribute.
ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie example ein.
TOP_LEVEL_DOMAIN: Die Top-Level-Domain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie com ein.

Die DN eines Attributs example-attribute für den Domainnamen example.com muss beispielsweise das folgende Format haben:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Unterstützte LDIF-Änderungstypen

Managed Microsoft AD unterstützt die folgenden LDIF-Änderungstypen für die Schemaerweiterung:

LDIF-Änderungstyp	Aktion für Schemaerweiterung
`add`	Erstellt eine neue Klasse oder ein neues Attribut im Schema.
`modify`	Aktualisiert die Attribute einer Klasse oder eines Attributs im Schema. In der folgenden Liste werden einige mögliche Aktualisierungen von Properties beschrieben: Attribut an eine Klasse anhängen Die Eigenschaft `ldapDisplayName` einer Klasse oder eines Attributs wird aktualisiert. Klasse oder Attribut deaktivieren. Hinweis: Managed Microsoft AD unterstützt die Änderung des Attributs `defaultSecurityDescriptor` aus Sicherheitsgründen nicht.
`modrdn` oder `moddn`	Benennt den relativen Distinguished Name (RDN) für eine Klasse oder ein Attribut um.

Hinweise

Bevor Sie das Schema erweitern, sollten Sie die folgenden Punkte beachten.

Microsoft bietet detaillierte Hinweise zu den Auswirkungen von Schemaerweiterungen auf Ihre Active Directory-Umgebung. Prüfen Sie diese sorgfältig, bevor Sie das Schema erweitern. Weitere Informationen finden Sie unter Wichtige Hinweise vor der Erweiterung des Schemas.
Das Hinzufügen einer Klasse oder eines Attributs zum Schema ist endgültig. Sie können jedoch eine Klasse oder ein Attribut deaktivieren, die Sie nach dem Hinzufügen nicht mehr benötigen. Weitere Informationen finden Sie unter Bestehende Klassen und Attribute deaktivieren.

Funktionsweise der Schemaerweiterung

Wenn Sie die Schemaerweiterung für eine Domain initiieren, prüft Managed Microsoft AD die LDIF-Datei auf Struktur, Format von Schemaelementen und unterstützte Änderungstypen oder Aktionen.

Wenn die LDIF-Datei gültig ist, erstellt Managed Microsoft AD eine Sicherung der Domain, bevor die Schemaänderungen angewendet werden. Wenn nach dem Aktualisieren des Schemas Probleme mit Ihrer Anwendung auftreten, können Sie die Domain mit dieser Sicherung wiederherstellen. Anschließend verwaltet Managed Microsoft AD einen Ihrer Domaincontroller von der Domain und wendet die Schemaänderungen mit dem Ldifde-Tool an. Während Schemaänderungen ausgeführt werden, verarbeiten andere Domaincontroller in Ihrer Domain den Clienttraffic.

Wenn die Schemaänderungen erfolgreich sind, stellt der isolierte Domaincontroller eine Verbindung zur Domain her und repliziert diese Schemaänderungen auf andere Domaincontroller in der Domain.

Wenn die Schemaänderungen fehlschlagen, stellt Managed Microsoft AD den Domaincontroller auf den gesicherten Zustand zurück.

Managed Microsoft AD unterstützt keine partielle Schemaerweiterung für eine Domain. Wenn also einer der Befehle in der LDIF-Datei auf die Domain nicht angewendet werden kann, schlägt die Anfrage für die Schemaerweiterung fehl. Mit Managed Microsoft AD wird auch die Domain auf den Zustand vor der Anwendung der Schemaänderungen zurückgesetzt.