Questa pagina descrive come funziona l'estensione schema in Managed Service for Microsoft Active Directory.
Panoramica
Active Directory si basa sullo schema per organizzare e archiviare i dati della directory. Lo schema AD definisce le classi di oggetti e i relativi attributi utilizzati per archiviare i dati della directory.
Puoi utilizzare le estensioni dello schema per apportare modifiche allo schema e attivare il supporto per applicazioni che dipendono da classi o attributi specifici di Active Directory.
Puoi estendere lo schema AD predefinito definendo nuove classi e attributi o modificando le definizioni o le proprietà di classi e attributi esistenti. Microsoft AD gestito consente di estendere lo schema utilizzando un file LDIF (LDAP Data Interchange Format) contenente comandi per le modifiche allo schema. Per saperne di più, consulta la sezione Estensione dello schema.
Per saperne di più su LDIF, vedi LDAP Data Interchange Format (Formato di interscambio dei dati LDAP).
Come preparare il file LDIF
Un file LDIF è un formato standard di interscambio di dati in testo normale per la rappresentazione dei contenuti della directory LDAP (Lightweight Directory Access Protocol) e delle richieste di aggiornamento. Un file LDIF è costituito da una serie di record che rappresenta un insieme di richieste di aggiornamento, ad esempio di aggiunta, modifica e ridenominazione. Le righe vuote separano l'insieme di record nel file LDIF che rappresenta ogni voce della richiesta di aggiornamento. Ti consigliamo di comprendere il formato dei file LDIF prima di creare il file con le modifiche allo schema. Per ulteriori informazioni, consulta la sezione Script LDIF.
Prima di preparare il file LDIF, leggi le seguenti linee guida.
Elementi dello schema
Gli elementi dello schema, come classi, attributi e oggetti, sono i componenti di base di uno schema di Active Directory. Ti consigliamo di apprendere i concetti chiave relativi agli elementi dello schema, come gli attributi, le classi di oggetti, gli identificatori degli oggetti e gli attributi collegati. Per ulteriori informazioni, consulta la sezione Schema di Active Directory (AD DS).
Struttura del file LDIF
Devi organizzare le voci in un file LDIF utilizzando la struttura DIT (Directory Information Tree). La struttura di un file LDIF valido deve rispettare le seguenti linee guida:
- Elenca le voci principali prima di quelle secondarie.
- Separa le voci in un file LDIF con una riga vuota.
- Qualsiasi classe o attributo utilizzato in una voce deve esistere nello schema. Prima di utilizzare una classe o un attributo, assicurati di verificare se è disponibile nello schema. In caso contrario, devi aggiungere la classe o l'attributo allo schema. Ad esempio, devi creare un attributo prima di associarlo a una classe.
Formato del nome distinto
Tutte le voci in un file LDIF iniziano con un nome distinto (DN). Specifica l'oggetto AD su cui operano i record. Se la cache dello schema di aggiornamento dei record, il DN deve essere vuoto. Per le modifiche allo schema, il DN deve avere il seguente formato:
dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN
Sostituisci quanto segue:
- CLASS_OR_ATTRIBUTE: il nome di una classe o di un attributo. Ad esempio,
example-attribute. - ROOT_DOMAIN: il dominio principale del tuo nome di dominio. Ad esempio, se il tuo nome di dominio è
example.com, inserisciexample. - TOP_LEVEL_DOMAIN: il dominio di primo livello del tuo nome di dominio. Ad esempio, se il tuo nome di dominio è
example.com, inseriscicom.
Ad esempio, il DN di un attributo example-attribute per il nome di dominio example.com deve avere il seguente formato:
dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com
Changetype LDIF supportato
Microsoft AD gestito supporta i seguenti changetype LDIF per l'estensione dello schema:
| Tipo di cambiamento LDIF | Azione dell'estensione schema |
|---|---|
add |
Crea una nuova classe o un nuovo attributo nello schema. |
modify |
Aggiorna le proprietà di una classe o di un attributo nello schema. Nell'elenco seguente vengono descritti alcuni dei possibili aggiornamenti delle proprietà:
ldapDisplayName di una classe o un attributo. |
modrdn o moddn |
Rinomina il nome distinto (RDN) relativo di una classe o un attributo. |
Considerazioni
Prima di estendere lo schema, assicurati di fare riferimento alle seguenti considerazioni.
- Microsoft fornisce avvertenze dettagliate che descrivono l'impatto delle estensioni dello schema sull'ambiente Active Directory. Assicurati di esaminarli con attenzione prima di estendere lo schema. Per ulteriori informazioni, consulta la sezione Cosa devi sapere prima di estendere lo schema.
- L'aggiunta di una classe o di un attributo allo schema è definitiva. Tuttavia, puoi disattivare una classe o un attributo che non ti serve più dopo averlo aggiunto. Per ulteriori informazioni, consulta la sezione Disattivare classi e attributi esistenti.
Come funziona l'estensione schema
Quando avvii l'estensione dello schema per un dominio, Microsoft AD gestito convalida il file LDIF per struttura, formato degli elementi dello schema e modifiche o azioni supportate.
Se il file LDIF è valido, Microsoft Active Directory gestito esegue un backup del dominio prima di applicare le modifiche allo schema. Se riscontri problemi con l'applicazione dopo l'aggiornamento dello schema, puoi utilizzare questo backup per ripristinare il dominio. Quindi, Microsoft AD gestito isola uno dei controller di dominio dal dominio e applica le modifiche allo schema utilizzando lo strumento Ldifde. Mentre sono in corso le modifiche allo schema, altri controller di dominio del tuo dominio gestiscono il traffico client.
Se le modifiche allo schema hanno esito positivo, il controller di dominio isolato si connette nuovamente al dominio e replica le modifiche di schema in altri controller di dominio del dominio stesso.
Se le modifiche allo schema non vanno a buon fine, Microsoft Active Directory gestito ripristina lo stato di backup del controller di dominio.
Microsoft AD gestito non supporta l'estensione parziale dello schema su un dominio. In altre parole, se uno qualsiasi dei comandi nel file LDIF non è applicabile al dominio, la richiesta di estensione dello schema ha esito negativo. Inoltre, la versione gestita di Microsoft AD ripristina il tuo dominio allo stato precedente all'applicazione delle modifiche allo schema.
Passaggi successivi
- Scopri come estendere lo schema in Microsoft AD gestito.
- Restrizioni relative all'estensione dello schema