Čo je schéma služby Active Directory. Úvod do Active Directory

Je ťažké podceniť dôležitosť „Schémy Active Directory“ pre siete postavené na prostredí domény Active Directory. Toto je základ technológie AD a je veľmi dôležité správne pochopiť princípy jej fungovania. Väčšina systémových administrátorov nevenuje schéme dostatočnú pozornosť, pretože sa ňou musia zaoberať len zriedka. V tomto článku vám poviem, čo je to verzia schémy, prečo ju potrebujeme poznať a čo je najdôležitejšie, ako zobraziť aktuálnu verziu. Najprv pár slov o samotnej schéme, každý objekt vytvorený v Active Directory, či už je to používateľ alebo počítač, má určité parametre nazývané atribúty. Najjednoduchším príkladom je atribút „Priezvisko“ objektu používateľa. Schéma definuje, ktoré objekty môžeme vytvárať v Active Directory a aké budú mať atribúty.

Služba Active Directory umožňuje používanie viacerých radičov domény založených na rôznych verziách systému Windows v rámci jednej organizácie. Konkrétne – založené na Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Keďže tieto verzie boli vydané v rôznych rokoch a každá nová verzia obsahuje viac funkcií ako predchádzajúca, chápanie schémy je odlišné pre každý operačný systém. Preto pri pridávaní nového radiča založeného na Windows Server 2008 do organizácie, kde sú existujúce radiče založené na Windows Server 2003, ste museli spustiť pomôcku " Adprep". Týmto ste aktualizovali organizačnú schému na úroveň, s ktorou pracuje. Windows Server 2008.

Proces inovácie schémy bol vykonaný pred inštaláciou prvého radiča Windows Server 2008 a skutočný postup inštalácie nového radiča možno nebol vykonaný. Ak práve začínate pracovať s nejakou organizáciou Active Directory a neviete, aké akcie boli vykonané pred vaším vstupom, aby ste pochopili úplnosť štruktúry, musíte vedieť, na akej úrovni je schéma aktuálnej organizačné práce.

Možné verzie schémy:

13 - Windows 2000 Server
30 - Windows Server 2003 RTM, Windows 2003 s balíkom Service Pack 1, Windows 2003 s balíkom Service Pack 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Aj keď všetky radiče vo vašej organizácii bežia na Windows Server 2003 R2 a verzia schémy zobrazuje „44“, nemali by ste byť prekvapení, znamená to, že schéma už bola inovovaná na úroveň Windows Server 2008 RTM, ale samotný ovládač z nejakého dôvodu ho z nejakého dôvodu nenainštalovali.

Existuje niekoľko spôsobov, ako zobraziť verziu schémy. Najjednoduchšou metódou je použitie pomôcky „DSQuery“. Ak to chcete urobiť, do príkazového riadku zadajte príkaz s nasledujúcimi parametrami:

„Dsquery * cn = schéma, cn = konfigurácia, dc = názov domény, dc = základný rozsah lokálneho rozsahu - attr verzia objektu“

Prirodzene, v časti „ dc = doménové meno, dc = miestny" musíte nahradiť svoj vlastný názov domény. (Príklad: dc = microsoft, dc = com )

Výsledkom zadania príkazu je získanie atribútu „ ObjectVersion", Ktoré bude číslo verzie schémy:

Ryža. 1 Získanie verzie schémy pomocou pomôcky "DSQuery".

Druhá metóda je dlhšia a zahŕňa použitie snap " ADSIEdit. msc» ... Ak chcete zobraziť verziu schémy, budete sa musieť pripojiť k sekcii schémy Active Directory.

"CN = schéma, CN = konfigurácia, DC = doména, DC = lokálne"

A nájdite hodnotu atribútu " objectVersion".

Obr Získanie verzie schémy prostredníctvom modulu snap-in " ADSIEdit. msc».

Keď poznáte verziu schémy, môžete vždy s istotou povedať, či je potrebné schému aktualizovať av prípade potreby na akú úroveň.

Je potrebné poznamenať, že aktualizácie schém je možné vykonávať pomocou softvéru, ktorý je úzko integrovaný so službou Active Directory. Najvýraznejší príklad servera Microsoft Exchange Server. A často v organizácii, ktorá plánuje implementovať Exchange Server, je potrebné zistiť, či je schéma pripravená? A ak áno, akú verziu servera Exchange. V súčasnosti existujú tri verzie servera Exchange, ktoré pracujú so službou Active Directory, ale existuje šesť možností na úpravu schémy.

Zistite, či došlo k zmene
nena Schéma Active Directory serverom Exchange môže byť podľa atribútu “ rozsahHorný ", ktorý trvá nasledovné hodnoty:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 s balíkom Service Pack 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 s balíkom Service Pack 3
10628 - Exchange Server 2007
11116 - Exchange 2007 s balíkom Service Pack 1

Ako vidíte, k aktualizácii schémy dôjde aj pri inštalácii sady aktualizácií SP3 pre Exchange Server 2000/2003 a SP1 pre Exchange 2007.

Zobraziť hodnotu atribútu " rozsahHorný " môžete použiť pomôcku DSQuery:

"dsquery * CN = ms-Exch-Schema-Version-Pt, cn = schéma, cn = konfigurácia, dc = názov domény, dc = lokálny -rozsah základ -attr rozsahUpper"

Ryža. 3 Získanie atribútu " rozsahHorný " cez pomôcku DSQuery.

Ak sa po zadaní tohto príkazu vráti odpoveď označujúca absenciu atribútu „ rozsahHorný " možno konštatovať, že schéma sa nezmenila.

Proces aktualizácie schémy je veľmi dôležitý pre každú organizáciu Active Directory, preto by ste sa mali vyhýbať zbytočným a nepotrebným krokom. Pochopenie podstaty atribútov " objectVersion"a« rozsahHorný " dáva technikovi výhodu pri práci s Active Directory v neznámej organizácii a je tiež pomocným nástrojom pri riešení problémov.

Ako viete, nič nie je večné, všetko sa mení, najmä v takom odvetví, ako je IT. Po nasadení sa infraštruktúra neustále vyvíja, rozširuje, zdokonaľuje a prichádza čas, kedy je potrebné pridať do svojho Active Directory radič domény s novšou verziou operačného systému.

Zdalo by sa - v čom je problém? Ako však ukazuje prax, problémy vznikajú v mnohých ohľadoch zo skutočnosti, že správcovia systému majú málo vedomostí o teórii a sú v tejto veci úprimne zmätení. Preto je čas zistiť, čo to je AD schéma a ako to súvisí s naším prípadom.

AD schéma je popis všetkých objektov katalógu a ich atribútov. Schéma v podstate odráža základnú štruktúru adresára a má prvoradý význam pre jeho správne fungovanie.

Novšie verzie OS obsahujú nové objekty a atribúty, takže musíme aktualizovať schému, aby správne fungovali ako radiče domény.

Zdá sa, že je to pochopiteľné, ale nie úplne, takže prejdime k bežným chybám a mylným predstavám.

• Na zahrnutie počítačov s novšími verziami systému Windows do domény je potrebná aktualizácia schémy. Nie je to tak, dokonca aj najnovšie verzie systému Windows môžu celkom úspešne bežať na doméne systému Windows 2000 bez aktualizácie schémy. Aj keď, ak aktualizujete schému, nestane sa nič strašné.

• Ak sa chcete pripojiť k radiču domény s novším operačným systémom, musíte zvýšiť úroveň funkčnosti domény (lesu). To tiež nie je tento prípad, ale na rozdiel od predchádzajúceho prípadu táto operácia znemožní použitie radičov domény s operačným systémom nižším, ako je jeho prevádzkový režim. Preto v prípade chyby budete musieť obnoviť štruktúru AD zo zálohy.

Vašu pozornosť zameriame aj na funkčnú úroveň lesa a domény. Domény zahrnuté v lese môžu mať rôzne prevádzkové režimy, napríklad jedna z domén môže fungovať v režime Windows 2008 a ostatné v režime Windows 2003. Funkčný diagram lesa nemôže byť vyšší ako prevádzkový diagram najstaršej domény. V našom príklade nemôže byť funkčná úroveň lesa vyššia ako Windows 2003.

Nižšia funkčná úroveň lesa vám však žiadnym spôsobom nebráni v používaní vyššej funkčnej úrovne domény, na to je potrebné len aktualizovať schému.

Po oboznámení sa s teóriou prejdime k praktickému príkladu. Povedzme, že máme doménu úrovne Windows 2000 (zmiešaný režim) – najnižšiu úroveň AD – v ktorej máme radič so systémom Windows 2003 a naším cieľom je vytvoriť nový radič, ktorý nahradí ten, ktorý zlyhal.

Nový server používa Windows 2008 R2. Upozorňujeme, že pri integrácii tohto servera do existujúcej domény sme nemali žiadne problémy.

Keď sa však pokúsime pridať nový radič domény, zobrazí sa chyba:

Ak chcete úspešne povoliť radič s novšou verziou operačného systému, musíme aktualizovať schému lesa a schému domény. Výnimkou je Windows Server 2012, ktorý po pridaní nového radiča domény automaticky aktualizuje schému.

Na aktualizáciu schémy sa používa pomôcka Adprep, ktorá sa nachádza v priečinku \ podpora \ adprep na inštalačnom disku Windows Server. Počnúc systémom Windows Server 2008 R2 je tento nástroj predvolene 64-bitový, ak potrebujete použiť 32-bitovú verziu, mali by ste spustiť adprep32.exe.

Ak chcete aktualizovať schému lesa, tento pomocný program musí byť spustený Majster schémy a aktualizovať schému domény na Vlastník infraštruktúry... Ak chcete zistiť, ktorý z ovládačov má roly FSMO, ktoré potrebujeme, použite príkaz:

Netdom dotaz FSMO

Vo Windows 2008 a novšom je táto pomôcka nainštalovaná štandardne a vo Windows 2003 sa musí nainštalovať z disku z adresára \ podpora \ nástroje

Výstup tohto príkazu zobrazí zoznam všetkých rolí a radičov FSMO, ktoré majú tieto roly:

V našom prípade sú všetky roly na rovnakom ovládači, takže skopírujte priečinok \ podpora \ adprep na pevný disk (v našom prípade do koreňového adresára jednotky C :) a pokračujte v aktualizácii schémy lesa. Ak chcete úspešne dokončiť operáciu, váš účet musí byť členom skupín:

• Správcovia schém
• Enterprise Administrators
• Administrátori domény, v ktorej sa nachádza hlavný server schém

Ak chcete aktualizovať schému lesa, spustite príkaz:

C: \ adprep \ adprep / forestprep

Prečítajte si štandardné upozornenie a pokračujte kliknutím C, potom Zadajte.

Začne sa proces aktualizácie schémy. Ako vidíte, jeho verzia sa zmení z 30 (Windows 2003) na 47 (Windows 2008 R2).

Po inovácii schémy lesa by ste mali inovovať schému domény. Predtým, ako to urobíte, by ste sa mali uistiť, že doména beží aspoň v režime Windows 2000 (natívny režim). Ako si pamätáte, naša doména funguje v zmiešanom režime, takže by sme mali zmeniť funkčnú úroveň domény na hlavnú alebo ju zvýšiť na Windows 2003. Keďže v tejto doméne nemáme radiče so systémom Windows 2000, bolo by najrozumnejšie zvýšiť režim domény.

Ak chcete úspešne aktualizovať schému domény, táto operácia by sa mala vykonať na Vlastník infraštruktúry a mať práva Správca domény... Vykonáme príkaz:

C: \ adprep \ adprep / domainprep

A pozorne čítame zobrazené informácie. Pri inovácii schémy domény zo systému Windows 2000 alebo Windows 2003 musíte zmeniť povolenia systému súborov pre skupinovú politiku. Táto operácia sa vykoná raz a v budúcnosti, napríklad pri aktualizácii schémy z roku 2008 na 2008 R2, ju musíte vykonať. Ak chcete aktualizovať povolenia objektov GPO, zadajte príkaz:

C: \ adprep \ adprep / domainprep / gpprep

Vo verziách AD, počnúc Windows 2008, existuje nový typ doménového radiča: doménový radič len na čítanie (RODC), ak plánujete nasadiť takýto radič, musíte si pripraviť schému. Vo všeobecnosti odporúčame vykonať túto operáciu bez ohľadu na to, či sa v blízkej budúcnosti chystáte nainštalovať RODC alebo nie.

Túto operáciu je možné vykonať na ľubovoľnom radiči domény, musíte však byť členom skupiny Enterprise Administrators a Majster mien a Majster infraštruktúry by mali byť k dispozícii.

C: \ adprep \ adprep / rodcprep

Ako vidíte, aktualizácia schémy domény, ak je plánovaná správne, nespôsobuje žiadne ťažkosti, v každom prípade by ste však mali pamätať na to, že ide o nezvratnú operáciu a mať potrebné zálohy po ruke.
Zdroj http://interface31.ru/tech_it/2013/05/obnovlenie-shemy-active-directory.html

Adresárová služba sa používa na identifikáciu používateľov a prostriedkov v sieti. V porovnaní s predchádzajúcimi verziami systému Windows Microsoft Windows 2003 výrazne rozšíril možnosti služby Active Directory. Služba Active Directory poskytuje jednotný nástroj na správu siete, ktorý uľahčuje pridávanie, odstraňovanie a presúvanie používateľov a prostriedkov.

Predstavujeme službu Active Directory

Nástroje služby Active Directory vám umožňujú navrhnúť štruktúru adresárov tak, ako to vaša organizácia potrebuje. V tejto lekcii sa dozviete o používaní objektov služby Active Directory a účele ich komponentov.

Po preštudovaní materiálu v tejto lekcii budete schopní:

Vysvetlite účel atribútov objektu a schémy služby Active Directory

definovať a popísať funkčnosť komponentov Active Directory.

Objekty Active Directory

Ako všetky služby, ktoré sprístupňujú a sprístupňujú informácie, aj Active Directory ukladá informácie o sieťových zdrojoch. Tieto zdroje, ako sú používateľské údaje, popisy tlačiarní, serverov, databáz, skupín, počítačov a bezpečnostných politík, sa nazývajú objekty.

Objekt je samostatná pomenovaná množina atribútov, ktoré predstavujú sieťový zdroj. Atribúty objektu sú jeho charakteristiky v katalógu. Napríklad atribúty používateľského účtu môžu zahŕňať meno a priezvisko, oddelenie a e-mailovú adresu (obrázok 2-1)

V Active Directory môžu byť objekty organizované do tried, to znamená do logických skupín. Príkladom triedy je zoskupenie objektov, ktoré predstavujú používateľské účty, skupiny, počítače, domény alebo organizačné jednotky (OU).

Poznámka Objekty, ktoré môžu obsahovať iné objekty, sa nazývajú kontajnery. Napríklad doména je kontajnerový objekt, ktorý môže obsahovať používateľov, počítače a iné objekty.

Ktoré presne objekty môžu byť uložené v Active Directory, je určené jej schémou.

SchémaAktívneAdresár

Schéma Active Directory je zoznam definícií, ktoré definujú druhy objektov, ktoré môžu byť uložené v Active Directory, a typy informácií o nich. Tieto definície samotné sú tiež uložené ako objekty, takže Active Directory ich spravuje pomocou rovnakých operácií, aké sa používajú pre iné objekty v Active Directory.

V schéme existujú dva typy definícií: atribúty a triedy. Nazývajú sa tiež objekty schém alebo metaúdaje.

Atribúty sú definované oddelene od tried. Každý atribút je definovaný iba raz a je možné ho použiť vo viacerých triedach. Napríklad atribút Description sa používa v mnohých triedach, ale v schéme je definovaný iba raz, aby sa zabezpečila jej integrita.

Triedy, nazývané aj triedy objektov, popisujú, ktoré objekty Active Directory je možné vytvoriť. Každá trieda je zbierka atribútov. Keď je objekt vytvorený, atribúty ukladajú informácie, ktoré ho popisujú. Napríklad atribúty triedy User zahŕňajú sieťovú adresu, domovský adresár atď.. Každý objekt v službe Active Directory je inštanciou triedy objektov.

Windows 2000 Server sa dodáva so sadou základných tried a atribútov. Definovaním nových tried a nových atribútov pre existujúce triedy môžu skúsení vývojári a správcovia siete dynamicky rozširovať schému. Napríklad, ak potrebujete uložiť informácie o užívateľoch, ktoré nie sú definované v schéme, môžete schému rozšíriť pre triedu Users. Takéto rozšírenie schémy je však dosť komplikovaná operácia s možnými vážnymi následkami. Keďže schému nemožno vymazať, ale iba deaktivovať a automaticky sa replikuje, musíte sa pripraviť a naplánovať jej rozšírenie.

Schéma obsahuje formálny popis obsahu a štruktúry databázy Active Directory. Predovšetkým uvádza všetky vlastnosti objektov a ich tried. Pre každú triedu objektov sú definované všetky možné vlastnosti, dodatočné parametre a tiež aká trieda objektov je a môže byť predkom aktuálnej triedy.

Inštalácia Active Directory, na prvom radiči domény sa vytvorí štandardná schéma, ktorá obsahuje popis najčastejšie používaných objektov a vlastností objektov. Okrem toho diagram poskytuje popis interných objektov a vlastností Active Directory.

Schéma je rozšíriteľná, takže správca systému môže vytvárať nové typy objektov a ich vlastností, pridávať nové vlastnosti pre tie objekty, ktoré už existujú. Schéma je vložená a uložená spolu s Active Directory v globálnom katalógu. Aktualizuje sa automaticky, takže špeciálne vytvorená aplikácia doň môže nezávisle pridávať nové vlastnosti a triedy.
Rozšírenie štandardnej schémy nie je jednoduché. Nesprávna zmena schémy môže narušiť server aj celú adresárovú službu. Na vyriešenie tohto problému by ste mali mať potrebné skúsenosti a znalosti. Takže v prvom rade musíte poznať pravidlá pomenovania.

Pravidlá pomenovania

Každý objekt služby Active Directory má špecifický názov. Na identifikáciu objektov v Active Directory sa používajú rôzne schémy pomenovania, konkrétne:

Rozlišovacie mená (DN)
Relatívne rozlišovacie mená (RDN)
-globálne jedinečné identifikátory (GUID);
- Primárne používateľské mená (UPN).

Každý objekt služby Active Directory má názov zlúčeniny... Názov je identifikátorom objektu a obsahuje dostatok údajov na nájdenie objektu v adresári. Rozlišujúci názov obsahuje názov domény, ktorá obsahuje objekt, a úplnú cestu k nemu. Napríklad zložené používateľské meno Andrew Kushnir na doméne server.com môže vyzerať takto:
DC = COM / DC = SERVER / CN = Používatelia / CK = Andrew Kushnir

Ak je plne kvalifikovaný názov objektu neznámy alebo zmenený, môžete objekt nájsť podľa jeho vlastností, z ktorých jedna je relatívny charakteristický názov (časť rozlišovacieho názvu). V predchádzajúcom príklade by relatívny rozlišovací názov pre objekt Andrew Kushnir bol CK = Andrew Kushnir a pre nadradený objekt CN = Usere.

Okrem rozlišovacieho názvu každý objekt služby Active Directory má globálne jedinečný identifikátor (GUID), čo je 128-bitové číslo. Identifikátor sa nemení ani po premiestnení alebo premenovaní objektu. Globálne jedinečný identifikátor je jedinečný vo všetkých doménach, vrátane prípadu, keď sa objekt presúva z jednej domény do druhej.
Najjednoduchší spôsob zapamätania je primárne meno používateľa (UPN). Základný názov pozostáva zo skráteného používateľského mena plus názvu DNS domény, v ktorej sa objekt nachádza. Formát primárneho mena používateľa je nasledujúci:

Používateľské meno, znak prípony domény DNS

Napríklad primárne používateľské meno na serveri je Andrew Kushnir. sójové bôby môžu vyzerať [chránený e-mailom] Hlavné meno užívateľa je nezávislé od rozlišovacieho mena užívateľa, takže objekt užívateľa možno presunúť alebo premenovať bez toho, aby ste museli meniť prihlasovacie meno užívateľa v doméne.

Od vydania Active Directory s Windowsom 2000 spoločnosť Microsoft poskytuje používateľom definíciu základnej schémy na implementáciu Active Directory.

Vydanie Active Directory® tiež znamenalo zmenu v spôsobe, akým sú mnohé aplikácie napísané a implementované v systéme Windows®. Predtým boli aplikácie ako Microsoft® Exchange 5.5 zostavené s vlastnou adresárovou štruktúrou. Od nástupu služby Active Directory mnohé aplikácie (od spoločnosti Microsoft a iných) využili výhody poskytnutej základnej štruktúry namiesto vytvárania vlastnej schémy od začiatku.

Spočiatku sa používala základná architektúra poskytovaná službou Active Directory a potom sa podľa potreby rozširovala. Napríklad v Microsoft Exchange 2000 bola služba Active Directory použitá na implementáciu systémov zasielania správ, čím sa definovala budúcnosť architektúry správ spoločnosti Microsoft.

Dnes sa mnoho aplikácií vytvorených na spustenie v prostredí Active Directory spolieha na jeho základnú schému a mnohé aplikácie tiež definujú svoje vlastné zmeny schémy podľa potreby. Na to je samozrejme potrebná rozšíriteľná schéma, o ktorej sa bude diskutovať v tomto článku. Okrem toho, pretože mnohé aplikácie sa spoliehajú na základné definície v Active Directory, je kritická neustála stabilita základnej schémy. Pretože veľa aplikácií musí spolupracovať v rovnakom adresári Active Directory, zmeny v jednej aplikácii by nemali ovplyvniť ostatné aplikácie.

Čo je to schéma?

Pre mnohých je schéma Active Directory ako čierna skrinka a predstava, že by ste si schému sami zmenili, ich môže zastrašiť. Rozšírenie schémy Active Directory sa samozrejme nemusí vykonávať každý deň, ale niektoré aplikácie alebo podniky to robia. Preto je veľmi dôležité pochopiť povahu schémy a jej zloženie, pretože Active Directory je dôležitým aktívom v mnohých organizáciách a narušenie jej funkčnosti v dôsledku nesprávnych aktualizácií môže mať vážne následky.

Mnoho organizácií používa ako stratégiu Active Directory Lightweight Directory Services (ADLDS) v systéme Windows Server® 2008 (alebo Active Directory Application Mode (ADAM) v systéme Windows Server 2003) ako alternatívu k testovaniu alebo priamej implementácii vlastných definícií schém namiesto rozšírenia Aktívna schéma. Adresár.

Schéma je základná štruktúra, ktorá poskytuje formát pre adresárovú službu. Schéma Active Directory definuje atribúty a triedy objektov používané v Active Directory Domain Services (ADDS). Základná schéma obsahuje definície pre mnoho známych tried (ako je používateľ, počítač a organizačná jednotka) a atribúty (ako napríklad telefónne číslo a SID objektu). Objekty v definícii hlavnej schémy sa nazývajú objekty kategórie 1 a pridané objekty sa nazývajú objekty kategórie 2.

Schéma Active Directory sa nachádza v kontajneri definovanom cestou cn = Schema, cn = Configuration, dc = X, kde X je menný priestor lesa Active Directory. Uvedomte si, že doménová štruktúra Active Directory obsahuje iba jednu schému; Zmeny v definícii schémy v lese ovplyvňujú všetky domény v tomto lese. zapnuté ryža. 1 zobrazuje počet tried a atribútov pridaných do schémy Active Directory v rôznych verziách systému Windows Server.

Počet tried a atribútov

Schéma sa aktualizuje pre rôzne verzie systému Windows Server pomocou pomôcky Adprep. Pri inovácii na Windows Server 2003 R2 sa verzia schémy inovuje na 31 a pri inovácii na Windows Server 2008 sa inovuje na 44.

Číslo verzie môžete zistiť skontrolovaním hodnoty atribútu objectVersion pod cn = Schema, cn = Configuration, dc = X v Active Directory pomocou nástroja, akým je napríklad ADSIEdit. Upozorňujeme, že niektoré aplikácie, ako napríklad Exchange Server, System Management Server (SMS) a ďalšie aplikácie, ktoré sa spoliehajú na Active Directory, môžu zmeniť schému tak, aby vyhovovala požiadavkám aplikácie.

Základné komponenty

Active Directory pozostáva z dvoch typov objektov: classSchema (skrátene trieda) a AtribútSchema (skrátene atribútu). Rozšírenie schémy Active Directory sa zvyčajne zvažuje, keď organizácia potrebuje uložiť údaje v určitých atribútoch, ktoré nie sú dostupné v existujúcej schéme. Atribút v schéme Directory sa vytvorí zadaním objektu attributeSchema v kontajneri schémy a následným definovaním požadovaných vlastností pre nový objekt.

Zoznam vlastností a informácií objektu attributeSchema nájdete na go.microsoft.com/fwlink/?LinkId=110445. Ako vidíte, môžete definovať veľké množstvo vlastností pre objekty attributeSchema, z ktorých niektoré sú povinné.

Okrem zvyčajných atribútov schéma obsahuje aj špeciálne atribúty nazývané prepojené a implementované v pároch špecifikovaním dopredných a spätných odkazov. Ako príklad zvážte členstvo v skupine v službe Active Directory. Atribút členstva akejkoľvek skupiny (napríklad skupina ContosoEmployees s členom John Doe) je priamy odkaz a zodpovedajúci atribút memberOf objektu člena je spätný odkaz (takže rozlišovací názov (DN) skupiny ContosoEmployees je vypočítané, keď je dopytovaný atribút memberOf John Doe).

Preposlať odkaz funguje ako každý iný atribút. Hodnoty môžu byť jednohodnotové a viachodnotové (ako atribút členstva, ktorý môže obsahovať viacero objektov ako členov skupiny) a sú uložené v adresári spolu s nadradeným objektom.

Spätné odkazy sú na rozdiel od toho udržiavané systémom, aby sa zabezpečila integrita údajov. Keď požadujete hodnotu atribútu spätného odkazu, výsledok sa vypočíta na základe všetkých zodpovedajúcich hodnôt spätného odkazu. Spätné odkazy sú vždy nejednoznačné.

Všetky triedy objektov v ADDS sú definované objektom classSchema v kontajneri schémy. Zoznam atribútov, ktoré sú najdôležitejšie pre úspešné definovanie objektu classSchema, nájdete na go.microsoft.com/fwlink/?LinkId=110445.

Existujú tri typy tried, ktoré možno definovať: štrukturálne, abstraktné a pomocné. Typ triedy je určený hodnotou atribútu objectClassCategory. (Štvrtá kategória, známa ako 88, zahŕňa triedy definované pred štandardmi X.500 z roku 1993. Tento typ triedy je označený hodnotou 0 v atribúte objectClassCategory. Tento typ by sa už nemal definovať.)

Získavanie a používanie identifikátorov

Identita všetkých objektov classSchema a attributeSchema v adresári je definovaná pomocou požadovaných identifikátorov objektov (OID), governsID pre objekty classSchema a AtribútID pre objekty attributeSchema. Ide o jedinečné číselné hodnoty, ktoré poskytujú špecifické centrá na identifikáciu objektov. Číslovanie je v súlade s definíciou protokolu LDAP (RFC 2251). Niekoľko identifikátorov objektov v schéme Active Directory vydáva Medzinárodná organizácia pre štandardizáciu (ISO) a spoločnosť Microsoft Corporation. Identifikátor objektu v adresári musí byť jedinečný.

ID objektu je reťazec čísel, napríklad 1.2.840.113556.1.y.z, ako je znázornené na ryža. 2... Identifikátor objektu používateľa classSchema je teda 1.2.840.113556.1.5.9.

Identifikátor objektu používateľa

Význam	Význam	Popis
1	ISO	Definuje koreňové centrum.
2	ANSI	Označenie skupiny ISO.
840	USA	Kód krajiny/regiónu pridelený organizáciou.
113556	Microsoft	Označenie krajiny/regiónu organizácie.
1	Aktívny adresár	Pridelené organizáciou (v tomto prípade Microsoft).
Y	Typ objektu	Číslo, ktoré označuje rôzne typy objektov (kategórie), ako napríklad classSchema alebo attributeSchema. Napríklad 5 znamená triedu objektu.
Z	Objekt	Číslo predstavujúce konkrétnu položku v kategórii. Napríklad triede používateľov môže byť priradené číslo 9.

Keď chce organizácia rozšíriť schému, vynúti jedinečnosť identifikátora objektu získaním vlastného koreňového OID, ktoré sa používa na vytvorenie jedinečných identifikátorov pre nové atribúty a triedy objektov organizácie. Koreň identifikátora objektu možno získať priamo z národného registra ISO (American National Standards Institute (ANSI) v Spojených štátoch).

Postup a servisné sadzby na získanie ID koreňovej entity nájdete na ansi.org. V iných regiónoch kontaktujte príslušnú členskú organizáciu ISO uvedenú na iso.org/iso/about/iso_members.htm.

Predtým organizácie získavali ID objektu od spoločnosti Microsoft odoslaním e-mailovej správy na adresu [chránený e-mailom]... To však teraz vedie k automatickej odpovedi, ktorá vás vyzve na stiahnutie a spustenie VBScript z go.microsoft.com/fwlink/?LinkId=110453.

Identifikátorom objektov vydaným spoločnosťou Microsoft sú priradené čísla priestoru čísel identifikátorov objektov spoločnosti Microsoft: 1.2.840.113556.1.8000.x, kde x je jedinečné číslo priradené vašej organizácii. Organizácia môže tieto identifikátory oddeliť na označenie objektov. Môžete napríklad použiť 1.2.840.113556.1.8000.x.1.y pre nové objekty classSchema a 1.2.840.113556.1.8000.x.2.z pre objekty atribútSchema (kde x je jedinečné číslo organizácie a y a z sú čísla priradené k určitým objektom classSchema, resp. attributeSchema). Okrem toho vám odporúčame použiť jedinečnú organizačnú predponu na rozlíšenie medzi názvami týchto objektov.

Definovanie súvisiacich atribútov

Hodnota atribútu syntax spätného odkazu musí byť 2.5.5.1, čo je syntax objektu (DS-DN). Atribúty spätného odkazu sa zvyčajne pridávajú k hodnote mayContain triedy s najväčšou abstrakciou. To zaisťuje, že atribút spätného odkazu sa číta z objektov akejkoľvek triedy, pretože takéto atribúty nie sú uložené v objekte, ale sú vypočítané na základe hodnôt priameho odkazu.

Windows Server 2003 zaviedol funkciu, ktorú môžu organizácie použiť na prepojenie dvoch objektov v schéme: automatické generovanie identifikátorov prepojenia. Táto funkcia automaticky generuje linkID pre nový prepojený atribút, keď je linkID atribútu nastavený na 1.2.840.113556.1.2.50. Zodpovedajúci spätný odkaz sa vytvorí nastavením linkID na atribút attributeId alebo ldapDisplayName priameho odkazu. Po vytvorení priameho prepojenia a pred vytvorením spätného prepojenia je potrebné znova načítať vyrovnávaciu pamäť schém. V opačnom prípade sa atribút atribútId alebo ldapDisplayName pri vytváraní spätného prepojenia nenájde. Vyrovnávacia pamäť schémy sa znova načíta na požiadanie niekoľko minút po zmene schémy alebo pri reštartovaní radiča domény.

Ak váš Active Directory beží na úrovni Windows 2000, musíte si vyžiadať linkID od spoločnosti Microsoft odoslaním e-mailu na [chránený e-mailom]... Automatická odpoveď bude obsahovať nasledujúci riadok: „E-maily odoslané na [chránený e-mailom] budú spracované iba vtedy, ak súvisia s registráciami linkID pre staršie prostredia." [chránený e-mailom] budú spracované iba vtedy, ak sa týkajú starších registrácií linkID.). Na tento účel musia byť v e-maile uvedené nasledujúce informácie: názov spoločnosti, kontaktné meno, e-mailová adresa, telefónne číslo, registrovaná predvoľba (ak je k dispozícii), registrované ID objektu (ak sa vyžaduje).

Môžete začať rozširovať schému

Povedzme, že ste sa rozhodli rozšíriť svoju schému Active Directory. Riešením môže byť prestať používať alternatívny adresár implementovaný ADLDS (alebo ADAM v systéme Windows Server 2003) po potvrdení, že nebude vyhovovať. Ďalším krokom je zadefinovanie nových objektov attributeSchema, ktoré sa majú pridať do schémy; toto definuje všetky potrebné hodnoty (ako napríklad cn, ldapDisplayName atď.) na označenie týchto nových objektov. Pri definovaní hodnôt atribútov pre objekt ste získali aj identifikátor objektu od spoločnosti Microsoft alebo iného zdroja. Vyššie uvedené činnosti sú zdokumentované ako obchodné požiadavky a technické špecifikácie. Okrem toho bolo implementované experimentálne laboratórne prostredie, ktoré simuluje prevádzku Active Directory a je pripravené na testovanie.

Mnohé organizácie zriaďujú špeciálne komisie na schválenie alebo zamietnutie takýchto zmien a stanovujú proces ich implementácie. Tento systém bŕzd a protiváh je kritický, pretože Active Directory sa používa ako dôveryhodný zdroj informácií v mnohých organizáciách a dôležitosť jeho udržiavania a prevádzky po zmenách sa nedá preceňovať.

Keď sa organizácia rozhodne pokračovať v projekte, je potrebné definovať plány testovania a implementácie projektu. Schému môžete rozšíriť pridaním nových objektov pomocou modulu Microsoft Management Console (MMC) Active Directory Schema alebo pomocou programových alebo poloprogramových metód (napríklad pomocou LDIFDE na import súborov LDIF; pomocou CSVDE na import CSV súbory alebo pomocou skriptovania pre rozhrania ADSI).

Bez ohľadu na zvolenú metódu sa táto funkcia musí vykonať na serveri, ktorý má alebo je pripojený k úlohe hlavného servera schém (Flexible Single Master Operations) v doméne Active Directory. Okrem toho musí mať účet použitý na aktualizáciu schémy dostatočné administrátorské práva na vykonanie aktualizácie, preto musí byť zaradený do skupiny Schema Administrators. Nakoniec musíte povoliť aktualizácie schém pre les (v predvolenom nastavení vypnuté).

Pokiaľ zmena nie je priamočiara, mala by sa vykonať automaticky, aby sa zabezpečila štandardizácia medzi fázou testovania a implementácie a aby sa zabránilo výskytu manuálnych chýb. Predpokladajme, že sa rozhodnete implementovať zmenu pomocou nástroja LDIFDE. Ak chcete nainštalovať aktualizácie pri rozširovaní schémy, musíte pridať nové atribúty a triedy, pridať nové atribúty do tried a potom spustiť opätovné načítanie vyrovnávacej pamäte. Nižšie uvádzame niekoľko príkladov.

Pridávanie atribútov

Pre naše účely predpokladajme, že organizácia s názvom Contoso potrebuje pridať atribút do Active Directory, ktorý definuje veľkosť topánok všetkých zamestnancov. V doméne Active Directory sú dve domény: contoso.com a zamestnanci.contoso.com. Vyžaduje sa, aby všetky objekty vytvorené pomocou definície užívateľskej triedy obsahovali aj tento nový atribút.

Je dôležité si zapamätať, že zmena schémy ovplyvní obe domény, pretože sa nachádzajú v rovnakom lese. Predpokladajme, že ste získali ID objektu 1.2.840.113556.8000.9999 od spoločnosti Microsoft, ktoré sa delí ako 1.2.840.113556.8000.9999.1 pre objekt classSchema a atribút 1.2.840.113556.89020.99 Teraz musíme definovať všetky hodnoty atribútov pre tento nový objekt, ako je znázornené na obrázku ryža. 3.

Definícia atribútu contosoEmpShoe

Atribút	Význam	Poznámky (upraviť)
Cn	contosoEmpShoe
lDAPDdisplayName	contosoEmpShoe
adminDisplayName	contosoEmpShoe
atribútSyntax	2.5.5.12	Definuje reťazec unicode.
oMSyntax	64	Určuje reťazec unicode.
objectClass	top, atribútSchema
AtribútID	1.2.840.113556.8000.9999.2.1	Určené organizáciou.
isSingleValued	PRAVDA	Ukladá sa iba jedna hodnota veľkosti obuvi.
searchFlags	1	Analýza ukazuje potrebu indexovať tento atribút. Poznámka. Stresová analýza bude vykonaná v laboratórnom prostredí.
isMemberOfPartialAttributeSet	PRAVDA	Tento atribút musí byť dostupný v globálnom katalógu.

Okrem toho, hoci atribút contosoEmpShoe by mal byť dostupný pre všetky objekty vytvorené ako objekty triedy používateľov, odporúčame, aby ste nemenili predvolenú definíciu triedy používateľov. Namiesto toho definujte pomocnú triedu contosoUser s atribútom mayContain nastaveným na contosoEmpShoe, ako je znázornené na ryža. 4... Ďalej pridáte atribúty definované pre pomocnú triedu contosoUser do triedy užívateľov.

Definícia triedy contosoUser

Teraz, keď je analýza hotová a hodnoty sú určené, musíte vytvoriť súbor LDIF, ktorý vyzerá ako kód v ryža. 5... Kód môžete skopírovať do ryža. 5 do poznámkového bloku a uložte súbor ako contosoUser.ldif (súčasť súboru na stiahnutie na technetmagazine.com).

LDIF súbor pre rozšírenie schémy

#Definícia atribútu pre contosoEmpShoe dn: CN = contosoEmpShoe, CN = Schéma, CN = Konfigurácia, DC = X changetype: ntdsschemaadd objectClass: top objectClass: atribútSchema cn: contosoEmpShoe atribútID: 1.2.895610.11 atribút ID: 1.2.895690.11.5 isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64: 1 searchFlags lDAPDisplayName: contosoEmpShoe systemOnly: FALSE DN: changetype: Upraviť Vložiť: schemaUpdateNow schemaUpdate = X changetype: ntdsschemaadd objectClass: top objectClass: classSchema CN: contosoUser governsID: 1.2.840.113556. 1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDisplayName: contosoUser adminDescription: contosoUser objectClame: contosoUser nameDescription: sCNaContosoUser objectClame: contosoUser name:1Zmena používateľaPopisCchemddate contosoU =N SchemUpdate modifikácia objektu:User: schemUpdate contosoU =N , CN = konfigurácia, DC = typ zmeny X: ntdsschemamodify a dd: pomocná trieda pomocná trieda: contosoUser - dn: changetype: upraviť pridať: schemaUpdateNow schemaUpdateNow: 1

Po vytvorení súboru LDIF by ste mali dôkladne otestovať implementáciu v experimentálnom prostredí laboratória, overiť komplexnú replikáciu domény a lesa a povoliť aktualizácie schém v lese. Teraz sa musíte prihlásiť pomocou účtu, ktorý má práva správcu schémy. Možno budete musieť vypnúť odchádzajúce replikácie na hlavnom serveri schém (kde sa vykonajú zmeny) a spustiť nasledujúci príkaz na importovanie súboru LDIF:

Ldifde –i –f \ contosoUser.ldif –b -k –j. –C "CN = schéma, CN = konfigurácia, DC = X" #schemaNamingContext

Po vykonaní zmien povoľte odchádzajúcu replikáciu na hlavnom serveri schém a zabezpečte, aby sa replikácia vykonala pre všetky radiče domény.

Zhlboka sa nadýchnite – hotovo! V schéme ste definovali nový atribút, ktorý bude priradený k objektom vytvoreným pomocou užívateľskej triedy (to znamená k užívateľským účtom).

Ak chcete otestovať zmeny, otvorte modul Active Directory Users and Computers, pripojte sa k doméne Staff.contoso.com, vyberte organizačnú jednotku používateľov a vytvorte nové používateľské konto s názvom ContosoTestUser. Teraz otvorte konzolu adsiedit.msc a pripojte sa k oddielu domény dc = zamestnanci, dc = contoso, dc = com, rozbaľte OU používateľov, kliknite pravým tlačidlom myši na ContosoTestUser a potom otvorte stránku Vlastnosti. Nájdite atribút contosoEmpShoe. Tento atribút môžete zmeniť a zadať hodnotu. Na kontrolu a úpravu atribútov môžete použiť aj pomôcku Ldp.exe.

Teraz sa pozrime na príklad definovania a prepojenia dvoch atribútov a predstavme si, že Contoso sa veľmi zaujíma o veľkosť topánok zamestnancov a chce sledovať ročný výkon ľudí, ktorí merajú veľkosť topánok zamestnancov. Aj keď to môže znieť smiešne, predpokladajme tiež, že spoločnosť Contoso potrebuje sledovať nielen ľudí zodpovedných za meranie veľkosti topánok zamestnancov, ale aj zamestnancov, ktorých veľkosť bola meraná a ich počet – a to všetko dopytovaním jediného atribútu. (Aj keď si možno myslíte, že databázové tabuľky sú vhodnejšie na ukladanie tohto druhu údajov, v tomto prípade sa jednoducho snažíme vysvetliť, ako fungujú prepojenia tam a späť.)

Samozrejme, najskôr urobíte rozbor podobný tomu, ktorý som spomenul v predchádzajúcom príklade. Teraz však poďme ďalej a vytvorte súbory LDIF (linkids1.ldif a linkids2.ldif), ako je znázornené na ryža. 6... Potom spustite nasledujúci príkaz na import súborov LDIF:

Prepojte súbory LDIF dopredu a dozadu

# linkids1.ldif #Definícia atribútu pre dopredný odkaz Atribút dn: CN = ContosoShoeSizeTaker, CN = Schéma, CN = Konfigurácia, DC = X changetype: ntdsschemaadd objectClass: top objectClass: atribútSchema cn: ContosoShoeSize19980.0 atribút. 2 LinkId: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax: 64: 1 searchFlags lDAPDisplayName: ContosoShoeShoeSizeTaker systém schémy # linkids2.ldif definície #Attribute pre spätnú Link atribút dn: CN = ContosoShoeSizesTakenByMe, CN = Schema, CN = Configuration, DC = X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema CN :. ContosoShoeSizesTakenByMe1355.2 0,3 LinkId: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescript ion: ContosoShoeSizesTakenByMe oMSyntax: 64: 1 searchFlags LDAPDisplayName: ContosoShoeSizesTakenByMe systemOnly: FALSE Dn changetype: Zmena doplnku: schemaUpdateNow schemaUpdateNow: 1 - #add ContosoShoeShoeSizeNow: 1 - #add ContosoShoeShoeShoen = konfigurácia, DC = X changetype: ntdsschemamodify doplnok: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe dn: changetype: upraviť pridať: schemaUpdateNow schemaUpdateNow: 1 - #Add Atribút spätného odkazu = MayContain = Top = Konfigurácia, DC = X changetype: ntdsschemamodify add: mayContainContain sChemaUpraviť:B changeow 1 ldifde –i –f \ linkedids.ldif –b -k –j. –C "CN = schéma, CN = konfigurácia, DC = X" #schemaNamingContext

Teraz, keď je objekt používateľa vytvorený, bude mať aj atribúty ContosoShoeSizeTaker a ContosoShoeSizesTakenByMe. Keď sa vytvorí objekt používateľa, napríklad pre Johna, atribút ContosoShoeSizeTaker sa vyplní charakteristickým menom osoby, ktorá meria veľkosť topánky, Frank. Ak teraz prejdete na vlastnosti objektu používateľa Frank a požiadate o atribút ContosoShoeSizesTakenByMe, výsledok bude obsahovať charakteristické meno Frank a ostatných, ktorých veľkosť topánok Frank meral. Na dokončenie nášho prípadu môže vedenie odmeniť Franka na základe počtu charakteristických mien, ktoré existujú v atribúte ContosoShoeSizesTakenByMe jeho používateľského účtu.

Systém bŕzd a protiváh

Kritická aktualizácia, ktorá je zmenou schémy, sa nedá vykonať bez kontroly súladu architektúry. Tieto kontroly zabezpečenia a konzistencie používa služba Active Directory na potvrdenie, že zmeny nespôsobujú nezrovnalosti alebo iné problémy pri rozšírení alebo zmene schémy služby Active Directory.

Po prvé, hodnota governsID pre každú triedu musí byť v schéme jedinečná. Pri definovaní objektu schemaClass už musia existovať všetky atribúty definované v zoznamoch systemMayContain, mayContain, systemMustContain a mustContain. Zároveň už musia existovať všetky triedy definované v zoznamoch subClassOf, systemAuxiliaryClass, aidClass, systemPossSuperiors a possSuperiors.

Okrem toho atribút objectClassCategory všetkých tried v zoznamoch systemAuxiliaryClass aauxClass musí byť trieda 88 alebo pomocná trieda. Podobne atribút objectClassCategory všetkých tried v zoznamoch systemPossSuperiors a possSuperiors musí byť definovaný ako trieda 88 alebo štrukturálna trieda.

Pri definovaní rôznych tried možno abstraktné triedy odvodiť len z iných abstraktných tried, pomocné triedy nemožno odvodiť zo štruktúrnych tried a štruktúrované triedy nemožno odvodiť z pomocných tried. Okrem toho atribút špecifikovaný v rDNAttID musí byť jednoznačný a syntaxovaný ako reťazec unicode.

Toto sú niektoré z pravidiel, ktoré platia pre objekty classSchema. A čo pravidlá pre objekty attributeSchema? Podobne ako hodnota governsID pre triedy, aj hodnota AtribútID musí byť jedinečná. Okrem toho hodnota mAPIID (ak existuje) musí byť jedinečná. Ďalej, ak sú uvedené rozsahy nižšie a rozsah vyššie, rozsah nižší musí byť menší ako rozsah horný. AttributeSyntax a oMSyntax sa musia zhodovať. Ak je syntaxou atribútu syntax objektu (oMSyntax = 127), musí mať správnu triedu oMObjectClass. LinkID, ak existuje, musí byť jedinečné. Okrem toho musí mať spätný odkaz zodpovedajúci dopredný odkaz.

Čo ak sa vyskytne chyba?

Po rozšírení schémy a pridaní nových objektov (tried a atribútov) do nej nie je možné ich vymazať. Triedy a atribúty však možno deaktivovať nastavením atribútu isDefunct objektu schémy na hodnotu TRUE. Nemôžete deaktivovať objekty schémy, ktoré sú súčasťou predvolenej schémy dodávanej so službou Active Directory (objekty kategórie 1). Deaktivovať môžete len objekty pridané do schémy štandardne, t.j. Objekty kategórie 2, a to až po overení, že trieda sa nepoužíva v zoznamoch subClassOf, aidClass alebo possSuperiors žiadnej existujúcej triedy.

Keď sa pokúsite zakázať akýkoľvek atribút, Active Directory skontroluje, či sa používa v zoznamoch mustContain a mayContain akejkoľvek existujúcej efektívnej triedy. Zakázané objekty možno znova povoliť nastavením atribútu isDefunct na hodnotu FALSE. Ak je služba Active Directory spustená na úrovni Windows Server 2003, môžete znova použiť hodnoty ldapDisplayName, schemaIdGuid, OID a mapiID zakázaných objektov.

Záver.

Pridanie alebo úprava definície triedy alebo atribútu v schéme tiež pridá alebo upraví zodpovedajúci objekt classSchema alebo attributeSchema. Tento proces je podobný pridávaniu alebo úprave ľubovoľného objektu v Active Directory, s výnimkou toho, že sa vykonávajú dodatočné kontroly, aby sa zabezpečilo, že zmeny nespôsobia nezrovnalosti a v budúcnosti nespôsobia problémy so schémou.

Hoci zmena schémy Active Directory nie je náročná, je dôležité pochopiť štruktúru schémy a proces implementácie týchto zmien. Všetky zmeny v schéme Active Directory musia byť starostlivo naplánované a vykonané s veľkou starostlivosťou. Je dôležité definovať obchodné požiadavky a technické špecifikácie pre nové zariadenia a vykonať rozsiahle testovanie. Pretože zmeny môžu mať významný vplyv, odporúčame, aby ste schému služby Active Directory rozširovali iba v nevyhnutných prípadoch.