架构扩展简介

本页面介绍架构扩展程序在 Managed Service for Microsoft Active Directory 中的工作原理。

概览

Active Directory 依靠架构来整理和存储目录数据。AD 架构定义了用于存储目录数据的对象类及其属性。

您可以使用架构扩展程序执行架构更改,并为依赖于 Active Directory 中的特定类或属性的应用启用支持。

您可以通过定义新的类和属性或者修改现有类和属性的定义或属性来扩展默认 AD 架构。借助 Managed Microsoft AD,您可以使用包含架构更改命令的 LDAP 数据交换格式 (LDIF) 文件扩展架构。如需了解详情,请参阅扩展架构

如要详细了解 LDIF,请参阅 LDAP 数据交换格式

如何准备 LDIF 文件

LDIF 文件是一种标准的纯文本数据交换格式,用于表示轻量级目录访问协议 (LDAP) 目录内容和更新请求。LDIF 文件由一系列记录组成,记录表示一系列更新请求,例如添加、修改和重命名。空白行用于分隔 LDIF 文件中的各组记录集,这些文件表示更新请求的每个条目。在创建包含架构更改的文件之前,建议您先了解 LDIF 文件的格式。如需了解详情,请参阅 LDIF 脚本

在准备 LDIF 文件之前,请阅读以下准则。

架构元素

架构元素(例如类、属性、对象)是 AD 架构的构建块。我们建议您学习与架构元素(例如属性、对象类、对象标识符和关联的属性)相关的关键概念。如需了解详情,请参阅 Active Directory 架构 (AD DS)

LDIF 文件结构

您需要使用目录信息树 (DIT) 结构来排列 LDIF 文件中的条目。有效 LDIF 文件的结构必须遵循以下准则:

  • 先列出父条目,再列出子条目。
  • 使用空白行分隔 LDIF 文件中的条目。
  • 您在条目中使用的任何类或属性都必须存在于架构中。在使用某个类或属性之前,请确保验证其在架构中是否可用。否则,您需要将该类或属性添加到架构中。例如,您需要先创建属性,然后才能将属性附加到类中。

标识名格式

LDIF 文件中的所有条目都以标识名 (DN) 开头。它指定执行记录的 AD 对象。如果记录更新架构缓存,DN 必须为空。对于架构更改,DN 必须采用以下格式:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

替换以下内容:

  • CLASS_OR_ATTRIBUTE:类或属性的名称。例如 example-attribute
  • ROOT_DOMAIN:您的域名的根域名。例如,如果您的域名是 example.com,请输入 example
  • TOP_LEVEL_DOMAIN:您的域名的顶级域名。例如,如果您的域名是 example.com,请输入 com

例如,域名 example.com 的属性 example-attribute 的 DN 必须采用以下格式:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

支持的 LDIF 更改类型

Managed Microsoft AD 支持以下架构扩展 LDIF 更改类型:

LDIF 更改类型 架构扩展操作
add 在架构中创建新的类或属性。
modify 更新架构中类或属性的属性。以下列表介绍了一些可能的属性更新:
  • 将属性附加到类。
  • 更新类或属性的 ldapDisplayName 属性。
  • 停用类或属性。
    		•
    modrdnmoddn 重命名类或属性的相对标识名 (RDN)。

    注意事项

    在扩展架构之前,请务必参阅以下注意事项。

    • Microsoft 提供了详细的建议,说明了架构扩展程序对 Active Directory 环境的影响。在扩展架构之前,请务必仔细查看这些条件。如需了解详情,请参阅扩展架构之前须知
    • 向架构中添加类或属性是永久性操作。不过,您可以在添加某个类或属性后将其停用。如需了解详情,请参阅停用现有的类和属性

    架构扩展的运作方式

    为网域启动架构扩展程序时,Managed Microsoft AD 会验证 LDIF 文件的结构、架构元素格式以及支持的更改类型或操作。

    如果 LDIF 文件有效,Managed Microsoft AD 会在应用架构更改之前备份网域。如果在更新架构后应用遇到任何问题,可以使用此备份来恢复域。然后,Managed Microsoft AD 会将您的某个网域控制器与网域隔离,并使用 Ldifde 工具应用架构更改。在架构更改期间,您网域中的其他网域控制器负责处理客户端流量。

    如果架构更改成功,则隔离的网域控制器会重新连接到网域,并将这些架构更改复制到网域中的其他网域控制器。

    如果架构更改失败,Managed Microsoft AD 会将网域控制器还原为备份状态。

    代管式 Microsoft AD 不支持网域中的部分架构扩展。也就是说,如果 LDIF 文件中的任何命令未能应用于网域,架构扩展请求就会失败。Managed Microsoft AD 还会将您的网域还原到应用架构更改之前的状态。

    后续步骤