關於結構定義擴充功能

本頁說明 Managed Service for Microsoft Active Directory 中的結構定義擴充功能運作方式。

總覽

Active Directory 會使用結構定義來整理及儲存目錄資料。AD 結構定義了用於儲存目錄資料的物件類別及其屬性。

您可以使用結構定義擴充功能執行結構定義變更,並啟用對依賴 Active Directory 中特定類別或屬性的應用程式提供支援。

您可以定義新的類別和屬性,或是修改現有類別和屬性的定義或屬性,藉此擴充預設的 AD 結構定義。受管理的 Microsoft AD 可讓您使用 LDAP 資料交換格式 (LDIF) 檔案擴充結構定義,該檔案包含結構定義變更的指令。詳情請參閱「擴充結構定義」。

如要進一步瞭解 LDIF,請參閱「LDAP 資料交換格式」。

如何準備 LDIF 檔案

LDIF 檔案是標準的純文字資料交換格式,用於表示輕量型目錄存取協定 (LDAP) 目錄內容和更新要求。LDIF 檔案包含一系列記錄,代表一組更新要求,例如新增、修改、重新命名。LDIF 檔案中的記錄組合會以空白行分隔,代表更新要求的每個項目。建議您先瞭解 LDIF 檔案的格式,再建立包含結構定義變更的檔案。詳情請參閱「LDIF 指令碼」。

準備 LDIF 檔案前,請先詳閱下列規範。

結構定義元素

結構定義元素 (例如類別、屬性、物件) 是廣告結構定義的構成要素。建議您瞭解結構定義元素的相關重要概念,例如屬性、物件類別、物件 ID 和連結屬性。詳情請參閱「Active Directory 結構定義 (AD DS)」。

LDIF 檔案結構

您必須使用目錄資訊樹狀結構 (DIT) 結構,安排 LDIF 檔案中的項目。有效 LDIF 檔案的結構必須遵循下列規範:

  • 請將父項項目列在子項項目之前。
  • 請以空白行分隔 LDIF 檔案中的項目。
  • 您在項目中使用的任何類別或屬性,都必須存在於結構定義中。使用類別或屬性前,請務必確認該類別或屬性是否可用於結構定義。如未加入,您需要將類別或屬性加入結構定義。舉例來說,您必須先建立屬性,才能將屬性附加至類別。

辨別名稱格式

LDIF 檔案中的所有項目開頭都會是別名 (DN)。它會指定記錄運作時所依據的 AD 物件。如果記錄更新結構定義快取,DN 必須為空白。如要變更結構定義,DN 必須採用下列格式:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

更改下列內容:

  • CLASS_OR_ATTRIBUTE:類別或屬性的名稱。例如:example-attribute
  • ROOT_DOMAIN:網域名稱的根網域。舉例來說,如果您的網域名稱是 example.com,請輸入 example
  • TOP_LEVEL_DOMAIN:網域名稱的頂層網域。舉例來說,如果您的網域名稱是 example.com,請輸入 com

舉例來說,網域名稱 example.com 的屬性 example-attribute 的 DN 必須採用以下格式:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

支援的 LDIF 變更類型

Managed Microsoft AD 支援下列 LDIF 變更類型,用於結構定義擴充功能:

LDIF changetype 結構定義擴充功能動作
add 在結構定義中建立新類別或屬性。
modify 更新結構定義中的類別或屬性屬性。以下清單說明部分可能的房源更新:
  • 將屬性附加至類別。
  • 更新類別或屬性的 ldapDisplayName 屬性。
  • 停用類別或屬性。
    		•
    modrdnmoddn 重新命名類別或屬性的相對識別名稱 (RDN)。

    注意事項

    擴充結構定義前,請務必參考下列注意事項。

    • Microsoft 提供詳細的安全性警示,說明結構定義擴充功能對 Active Directory 環境的影響。請務必仔細檢查這些項目,再擴充結構定義。詳情請參閱「擴充結構定義前必須瞭解的事項」。
    • 將類別或屬性新增至結構定義後,就無法再變更。不過,您可以停用已新增但不再需要的類別或屬性。詳情請參閱「停用現有類別和屬性」。

    結構定義擴充功能的運作方式

    當您為網域啟動結構定義擴充功能時,受管理的 Microsoft AD 會驗證 LDIF 檔案的結構、結構定義元素的格式,以及支援的變更類型或動作。

    如果 LDIF 檔案有效,Managed Microsoft AD 會先備份網域,再套用結構定義變更。如果在更新結構定義後遇到任何應用程式問題,您可以使用這個備份來還原網域。然後,受管理的 Microsoft AD 會將網域中的其中一個網域控制站隔離,並使用 Ldifde 工具套用結構定義變更。在結構定義變更期間,網域中的其他網域控制器會為用戶端流量提供服務。

    如果結構定義變更成功,隔離的網域控制器就會重新連線至網域,並將這些結構定義變更複製到網域中的其他網域控制器。

    如果結構定義變更失敗,Managed Microsoft AD 會將網域控制站還原為備份狀態。

    Managed Microsoft AD 不支援在網域上使用部分結構定義擴充功能。換言之,如果 LDIF 檔案中的任何指令無法套用至網域,結構定義擴充要求就會失敗。受管理的 Microsoft AD 也會將網域還原為套用結構定義變更前的狀態。

    後續步驟