本页面介绍架构扩展在 Managed Service for Microsoft Active Directory 中的工作原理。
概览
Active Directory 依靠架构来整理和存储目录数据。AD 架构定义了用于存储目录数据的对象类及其属性。
您可以使用架构扩展来执行架构更改,并为依赖于 Active Directory 中特定类或属性的应用启用支持。
您可以通过定义新的类和属性或者修改现有类和属性的定义或属性来扩展默认 AD 架构。借助托管式 Microsoft AD,您可以使用包含架构更改命令的 LDAP 数据交换格式 (LDIF) 文件来扩展架构。如需了解详情,请参阅扩展架构。
如需详细了解 LDIF,请参阅 LDAP 数据交换格式。
如何准备 LDIF 文件
LDIF 文件是一种标准的纯文本数据交换格式,用于表示轻量级目录访问协议 (LDAP) 目录内容和更新请求。LDIF 文件由一系列记录组成,这些记录代表一组更新请求,例如添加、修改、重命名。空白行用于分隔 LDIF 文件中表示每个更新请求条目的记录集。我们建议您先了解 LDIF 文件的格式,然后再创建包含架构更改的文件。如需了解详情,请参阅 LDIF 脚本。
在准备 LDIF 文件之前,请阅读以下准则。
架构元素
架构元素(例如类、属性、对象)是广告架构的构建块。我们建议您学习与架构元素(例如属性、对象类、对象标识符和关联属性)相关的重要概念。有关详情,请参阅 Active Directory 架构 (AD DS)。
LDIF 文件结构
您需要使用目录信息树 (DIT) 结构在 LDIF 文件中排列条目。有效 LDIF 文件的结构必须遵循以下准则:
- 在子条目之前列出父条目。
- 使用空白行分隔 LDIF 文件中的条目。
- 您在条目中使用的任何类或属性都必须存在于架构中。在使用某个类或属性之前,请务必验证它是否在架构中可用。如果没有,您需要将类或属性添加到架构中。例如,您需要先创建属性,然后才能将该属性附加到类。
标识名格式
LDIF 文件中的所有条目都以唯一名称 (DN) 开头。它指定记录要操作的 AD 对象。如果记录更新架构缓存,DN 必须为空。对于架构更改,DN 必须采用以下格式:
dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN
替换以下内容:
- CLASS_OR_ATTRIBUTE:类或属性的名称。例如
example-attribute
。 - ROOT_DOMAIN:域名的根网域。例如,如果您的域名是
example.com
,请输入example
。 - TOP_LEVEL_DOMAIN:您的域名的顶级域名。例如,如果您的域名是
example.com
,请输入com
。
例如,域名 example.com
的属性 example-attribute
的 DN 必须采用以下格式:
dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com
支持的 LDIF 更改类型
托管式 Microsoft AD 支持以下 LDIF 更改类型来扩展架构:
LDIF changetype | 架构扩展操作 |
---|---|
add |
在架构中创建新类或属性。 |
modify |
更新架构中类或属性的属性。以下列表介绍了一些可能的媒体资源更新:
ldapDisplayName 属性。 |
modrdn 或 moddn |
重命名类或属性的相对标识名 (RDN)。 |
注意事项
在扩展架构之前,请务必参阅以下注意事项。
- Microsoft 提供了详细的建议,说明了架构扩展对 Active Directory 环境的影响。请务必在扩展架构之前仔细检查这些值。如需了解详情,请参阅在扩展架构之前必须了解的事项。
- 向架构添加类或属性是永久性操作。但是,您可以在添加后停用不再需要的类或属性。如需了解详情,请参阅停用现有类和属性。
架构扩展的工作原理
当您为网域发起架构扩展时,托管式 Microsoft AD 会验证 LDIF 文件的结构、架构元素的格式以及支持的更改类型或操作。
如果 LDIF 文件有效,Managed Microsoft AD 会备份网域,然后再应用架构更改。如果您在更新架构后遇到任何应用问题,可以使用此备份恢复网域。然后,Managed Microsoft AD 会将您的其中一个网域控制器与网域隔离开来,并使用 Ldifde 工具应用架构更改。在架构更改进行期间,您网域中的其他域控制器会处理客户端流量。
如果架构更改成功,隔离的网域控制器就会重新连接到网域,并将这些架构更改复制到网域中的其他网域控制器。
如果架构更改失败,Managed Microsoft AD 会将网域控制器还原为备份状态。
代管式 Microsoft AD 不支持对网域进行部分架构扩展。换言之,如果 LDIF 文件中的任何命令无法应用于该网域,则架构扩展请求将会失败。Managed Microsoft AD 还会将您的网域还原为应用架构更改之前的状态。