Šta je Active Directory shema. Proširivanje šeme Active Directory

Šema uključuje formalni opis sadržaja i strukture baze podataka Active Directory. Konkretno, navodi sva svojstva objekata i njihovih klasa. Za svaku klasu objekata definisana su sva moguća svojstva, dodatni parametri, kao i koja klasa objekata je i može biti predak tekuće klase.

Instaliranje Active Directory, standardna shema se kreira na prvom kontroleru domene koja sadrži opis najčešće korištenih objekata i svojstava objekata. Pored toga, dijagram pruža opis internih objekata i svojstava Active Directory-ja.

Shema je proširiva, tako da administrator sistema može kreirati nove tipove objekata i njihova svojstva, dodati nova svojstva za one objekte koji već postoje. Šema je ugrađena i pohranjena zajedno sa Active Directory u globalnom katalogu. Ažurira se automatski, tako da posebno kreirana aplikacija može samostalno dodavati nova svojstva i klase.
Proširivanje standardne šeme nije lako. Pogrešna promjena šeme može poremetiti i poslužitelj i cijeli servis direktorija. Za rješavanje ovog problema potrebno je imati potrebno iskustvo i znanje. Dakle, prije svega, morate znati pravila imenovanja.

Pravila imenovanja

Svaki Active Directory objekt ima određeno ime. Za identifikaciju objekata u Active Directory-u koriste se različite šeme imenovanja, i to:

Istaknuta imena (DN)
Relativna istaknuta imena (RDN)
-globalni jedinstveni identifikatori (GUID-ovi);
- Primarna korisnička imena (UPN).

Svaki Active Directory objekt ima složeno ime... Ime je identifikator objekta i sadrži dovoljno podataka za lociranje objekta u direktoriju. Prepoznatljivo ime uključuje ime domene koja sadrži objekt i punu putanju do njega. Na primjer, složeno korisničko ime Andrew Kushnir na domeni server.com može izgledati ovako:
DC = COM / DC = SERVER / CN = Korisnici / CK = Andrew Kushnir

Ako je potpuno kvalificirano ime objekta nepoznato ili promijenjeno, objekt možete pronaći po njegovim svojstvima, od kojih je jedno relativno razlikovno ime (dio razlikovnog imena). U prethodnom primjeru, relativno razlikovno ime za Andrew Kushnir objekt bi bilo CK = Andrew Kushnir, a za roditeljski objekat, CN = Usere.

Pored razlikovnog imena, svaki Active Directory objekt ima globalno jedinstveni identifikator (GUID), što je 128-bitni broj. Identifikator se ne mijenja čak ni nakon što je objekt premješten ili preimenovan. Globalno jedinstveni identifikator je jedinstven za sve domene, uključujući i kada se objekt premješta s jedne domene na drugu.
Najlakši način da zapamtite je primarno ime korisnika (UPN). Osnovno ime se sastoji od skraćenog korisničkog imena plus DNS imena domene na kojoj se objekt nalazi. Format primarnog imena korisnika je sljedeći:

Korisničko ime, znak sufiksa DNS domene

Na primjer, primarno korisničko ime je Andrew Kushnir na serveru. soja bi mogla izgledati [email protected] Glavno ime korisnika je neovisno o korisnikovom razlikovnom imenu, tako da se korisnički objekt može premjestiti ili preimenovati bez promjene korisničkog imena za prijavu u domenu.

4.7.2011. Brian Desmond

Desilo se da su administratori Active Directory (AD) i IT menadžeri obično oprezni u pogledu proširenja AD šeme. Veliki deo straha potiče od Microsoftove dokumentacije za Windows 2000, koja prikazuje proširenje šeme kao složenu operaciju koja zahteva izuzetan oprez. Međutim, uz razumno planiranje, proširenje sheme je potpuno bez rizika.

AD shema definira strukturu podataka pohranjenih u direktoriju. AD izvorno podržava mnoge tipove objekata (na primjer, korisnike) i atributa (na primjer, ime i prezime). Ako se osnovna AD shema ne uklapa dobro s podacima koje želite pohraniti u direktorij, možete je dopuniti prilagođenim objektima i atributima.

Obično se AD šema proširuje iz nekoliko razloga, od kojih je najčešći u mnogim organizacijama implementacija aplikacije koja zahtijeva proširenje sheme. Dobar primjer je Microsoft Exchange. Ponekad dobavljači softvera žele da prošire šemu kako bi bila kompatibilna sa njihovim aplikacijama. Često se šema proširuje za interne aplikacije ili zbog pogodnosti pohranjivanja podataka kompanije u AD.

Opcije skladištenja

Kada planirate proširenje šeme, posebno za interne aplikacije, prvi korak je da se utvrdi da li su podaci prikladni za skladištenje u AD. Posebno je zgodno pohraniti relativno statične (rijetko se mijenjajuće) podatke u AD koji se koriste u cijeloj kompaniji (repliciraju preko granica domena) i nisu povjerljivi (na primjer, ne preporučuje se pohranjivanje datuma rođenja, brojeva kartica socijalnog osiguranja, itd. u AD).

Ako podaci ne zadovoljavaju ove kriterije, ali još uvijek moraju biti locirani u LDAP direktoriju, druga opcija je optimalna. AD Lightweight Directory Services (AD LDS, ranije ADAM) je samostalna verzija AD koja može funkcionirati kao servis na serveru, član domene (ili kontroler domene - DC) i, poput AD, obrađivati ​​zahtjeve usmjerene na LDAP. Potreba za hostiranjem AD kontrolera domena za autentifikaciju i podršku za aplikacije nije dosadno ograničenje, već mogućnost striktne kontrole ko može čitati podatke i smjer replikacije podataka postavljanjem AD LDS instanci na odgovarajuće lokacije.

Primitivi za pohranu podataka

Dva pojma igraju ključnu ulogu u razumijevanju AD sheme: klasa i atribut. Svi AD elementi, uključujući šemu, definirani su u terminima klasa i atributa. Klase su tipovi podataka koje želite pohraniti. Na primjer, korisnik je klasa u AD, baš kao i računar. Atributi su svojstva klasa. Korisnička klasa ima atribut imena (givenName) i atributa prezimena (sn). Klasa "računar" ima atribut "operativni sistem". AD shema je definirana u terminima dvije klase: classSchema za klase i attributeSchema za atribute.

Po analogiji sa tipičnom bazom podataka, možete porediti klase sa tabelama u bazi podataka, a atribute sa kolonama unutar tabele. Ali imajte na umu da je struktura baze podataka AD Directory Information Tree (DIT) zapravo prilično drugačija.

Kada rješavate problem pohranjivanja podataka novog tipa u AD, morate razmisliti o tome kako se podaci mapiraju u klase i atribute. U najčešćim slučajevima, dovoljno je dodati atribut postojećoj klasi (na primjer, korisniku ili grupi). Ako samo želite da sačuvate novi deo podataka o objektu postojećeg tipa (kao što je korisnik), prvo pokušajte da pronađete odgovarajuće atribute među onima dostupnim u AD. Šema sadrži hiljade atributa, od kojih većina nije uključena. Stoga, na primjer, možete koristiti atribut fizičkeDeliveryOfficeName da sačuvate informacije o adresi pošte korisnika.

Ponovno dodjeljivanje atributa za druge svrhe osim originalne upotrebe je loš pristup. Zamislite da je atribut ponovo dodijeljen, a zatim je kupljena aplikacija koja koristi taj atribut za svoju prvobitnu svrhu. Potrebno je obaviti dvostruki posao jer trebate rekonfigurirati svoju naslijeđenu aplikaciju koristeći atribut, a zatim premjestiti podatke. Općenito, uvijek je sigurnije dodati prilagođeni atribut.

Ali ponekad je moguć samo pristup zasnovan na klasi. U dva slučaja, zgodnije je dodati novu klasu u šemu nego koristiti atribute. Prvi je potreba da se prati novi tip podataka u direktoriju. Ako, na primjer, želite pratiti automobile kompanije u AD, možete definirati novu klasu automobila u šemi. Drugi slučaj je mapiranje jedan prema više.

Microsoft Exchange Server 2010 je savršen primjer. Svaki mobilni uređaj koji sinhronizujete sa Exchange-om koristeći ActiveSync pohranjuje se kao instanca posebne klase objekta msExchActiveSyncDevice u direktoriju. Ovi mobilni uređaji se pohranjuju kao podređeni objekti korisnika, vlasnika uređaja. Ova struktura omogućava da se veliki broj atributa (za svaki uređaj) preslika na jednog korisnika.

Ulazni podaci za proširenje šeme

Da biste pripremili proširenje šeme, morate prikupiti određeni broj ulaza. Tek tada se poseban atribut ili klasa može implementirati u razvojno okruženje. Mnogi inputi moraju biti globalno jedinstveni, tako da je važno izvršiti potrebnu pripremu. Istovremeno, nemar prijeti opasnim posljedicama.

Prvo odaberite naziv klase ili atributa. Najvažniji dio imena je prefiks. Imena atributa i klasa u šemi (i u šemi kupca aplikacije treće strane) moraju biti jedinstvena, tako da će dodavanje prefiksa osigurati da nema sukoba između ID-ova atributa.

Obično se kao prefiks koristi skraćeni naziv kompanije. Na primjer, koristim bdcLLC kao prefiks za atribute naše kompanije Brian Desmond Consulting LLC. Za ABC korporaciju može se koristiti prefiks abcCorp. Obavezno vodite računa o jedinstvenosti prefiksa, jer ne postoji opći registar prefiksa. Ako kompanija ima tipičan ili skraćeni naziv, smislite kako ga učiniti jedinstvenim.

Nakon što odaberete ime, morate dodijeliti identifikator objekta (OID) atributu ili klasi. OID-ovi su opcioni i moraju biti globalno jedinstveni. AD (općenito, LDAP) nije jedini okvir koji koristi OID-ove kao identifikator, tako da Internet Assigned Numbers Authority (IANA) dodjeljuje jedinstvena OID stabla prema zahtjevima kompanija. Zahtjev za broj privatnog preduzeća, koji je dio OID stabla jedinstvenog za kompaniju, servisira se besplatno za oko 10 minuta. Morate ga nabaviti prije nego počnete kreirati prilagođene ekstenzije sheme. Možete zatražiti broj privatnog preduzeća na www.iana.org/cgi-bin/assignments.pl.

Uz privatni broj preduzeća, možete kreirati i organizirati gotovo neograničen broj jedinstvenih OID-ova. Slika prikazuje strukturu OID stabla za broj privatnog preduzeća naše kompanije. OID-ovi se grade dodavanjem grana stablu, tako da mnoge kompanije počinju kreiranjem grane AD Schema (1.3.6.1.4.1.35686.1 na slici), a zatim granu klase i granu atributa ispod toga. U okviru svake od ovih grana, OID-i su dodijeljeni svakom novom atributu ili klasi. Slika prikazuje OID (1.3.6.1.4.1.35686.1.2.1) dodijeljen prilagođenom atributu myCorpImportantAttr. Veoma je važno pripremiti interni mehanizam za praćenje (kao što je Excel tabela ili SharePoint lista) kako biste osigurali da su OID-ovi jedinstveni.

Microsoft obezbeđuje skriptu koja može da generiše OID sa nasumičnom vrednošću, ali ne postoji garancija da će biti jedinstven. Najbolji način je da zatražite jedinstvenu granu od IANA organizacije i koristite je za proširenja sheme. Proces je toliko jednostavan da ne morate koristiti skriptu za generiranje Microsoft OID-a.

Preostala dva ulazna parametra su specifična za atribute i ovise o tipu. Vezani atributi su izuzetno korisni za pohranjivanje veza između objekata u AD. Oni su pohranjeni kao pokazivači u AD bazi podataka, tako da se veze ažuriraju na vrijeme kako bi odražavale lokaciju objekta u šumi. Dva uobičajena primjera povezanih atributa su članstvo u grupi (član i memberOf) i odnos menadžer/zaposleni (menadžer/direktni izvještaji). Koncepti veza naprijed i povratne veze primjenjuju se na povezane atribute. Veza naprijed je dio odnosa između atributa koji se može uređivati. Na primjer, u slučaju članstva u grupi, atribut člana za grupu je veza naprijed; atribut memberOf za korisnika je povratna veza. Kada uređujete članstvo u grupi, promjene se vrše u atributu člana (prednja veza), a ne atributu memberOf objekta člana (povratna veza).

Da biste definirali povezane atribute u AD, morate definirati dva atributa (prednju vezu i povratnu vezu) i priložiti identifikator veze (linkID) svakom od ovih atributa. ID-ovi veza moraju biti jedinstveni unutar šume, a pošto ID-ove veze zahtijevaju druge aplikacije koje zahtijevaju ekstenzije šeme, moraju biti globalno jedinstvene. U prošlosti je Microsoft objavljivao identifikatore veza za organizacije trećih strana, ali od Windows Servera 2003, AD je umjesto toga dodat poseban pokazivač za generiranje jedinstvenih identifikatora veze kada se šema dopuni parom atributa.

AD pretpostavlja da su ID-ovi veza uzastopni brojevi. Konkretno, atribut veze naprijed je paran broj, a sljedeći broj je dodijeljen atributu povratne veze. Na primjer, za člana i memberOf (članstvo u grupi), identifikator veze za člana je 4, a identifikator veze za memberOf je 5. Ako proširena šema treba da bude kompatibilna sa šumom Windows 2000, morate definirati statičke identifikatore veze u isti put. U suprotnom, trebalo bi da koristite proces automatskog generisanja ID-a veze u Windows Serveru 2003. Da biste koristili proces automatskog generisanja ID-a veze, pratite dolenavedene smernice kada definišete proširenje šeme. U procesu proširenja šeme, kao što je opisano kasnije u članku, navedeni koraci su neophodni da se konstruišu pridruženi atributi (ako su dio proširenja).

Prvo pripremite vezu naprijed koristeći ID veze 1.2.840.113556.1.2.50. Imajte na umu da iako je ova vrijednost ID-a veze OID, Microsoft jednostavno rezervira ovu vrijednost OID-a za generiranje Autolink ID-a.

Zatim ponovo učitajte keš šeme. Nakon toga, kreirajte atribut povratne veze koristeći ID veze imena atributa naprijed veze i ponovo učitajte keš šeme.

Drugi jedinstveni (i također opcioni) element atributa je MAPI identifikator. MAPI ID-ovi su karakteristika Exchange Servera. Ako nemate Exchange ili želite da prikažete atribut na Globalnoj listi adresa (GAL), možete preskočiti ovaj odeljak. MAPI ID-ovi se koriste za prikaz atributa na jednoj od stranica sa svojstvima u adresaru, kao što je predložak General User Details (pogledajte ekran). Na primjer, ako želite da prikažete klasifikaciju zaposlenih (osoblje ili ugovore) na GAL listi, dodijelite odgovarajući atribut kao MAPI identifikator. Nakon što se MAPI ID dodijeli atributu, možete koristiti Exchange Details Templates Editor da unesete podatke atributa u GAL prikaz unutar Office Outlook-a.

MAPI ID-ovi moraju biti jedinstveni, kao i OID-ovi i ID-ovi veze. U prošlosti nije bilo moguće generirati jedinstvene MAPI identifikatore, tako da su ti identifikatori uvijek bili slaba tačka u ekstenzijama šeme. Srećom, Windows Server 2008 uvodi način za automatsko generiranje jedinstvenih MAPI ID-ova u direktoriju kako bi se smanjio rizik od dupliranja MAPI ID-ova. Da biste koristili ovu funkciju, postavite vrijednost 1.2.840.113556.1.2.49 na MAPI ID atribut kada kreirate atribut. AD generiše jedinstveni MAPI identifikator za atribut nakon ponovnog učitavanja keša šeme. Imajte na umu da iako je ova vrijednost OID, AD je rezervirala za označavanje automatskog generiranja MAPI ID-ova, slično gore opisanom automatskom generiranju ID-ova veze.

Sažmite. Postoje tri kritična ulazna parametra koja treba uzeti u obzir kada planirate proširenje vaše sheme. Prvi je naziv klase ili atributa; drugi je jedinstveni prefiks dodijeljen svim klasama i atributima; treći je OID. Za generiranje OID-a, od IANA organizacije mora se zatražiti jedinstvena OID grana. Ako ćete kreirati povezani par atributa, potreban je jedinstveni par identifikatora veze. Ako želite da prikažete atribut u Exchange GAL-u, morate koristiti jedinstveni MAPI identifikator. Za ID-ove veze i MAPI ID-ove, korištenje procesa automatskog generiranja unutar AD-a je poželjnije od statičkih vrijednosti.

Planiranje implementacije

Kada implementirate proširenje prilagođene sheme ili proširite shemu s atributima i klasama dobavljača, morate poduzeti preliminarne korake planiranja da zaštitite integritet vaše AD šume. Prvi korak je testiranje ekstenzije šeme.

Kada pripremate proširenje prilagođene sheme, koristite privremeno razvojno okruženje. AD Lightweight Directory Service (AD LDS) je besplatno preuzimanje na radnim stanicama Windows XP i Windows 7. Sa radne stanice možete kreirati AD LDS instancu, izgraditi ekstenziju šeme u sandbox-u, a zatim izvesti ekstenziju za uvoz u AD test šuma. AD LDS šema je AD kompatibilna, tako da možete koristiti LDIFDE za izvoz. Možete uvesti gotovu ekstenziju sheme u AD testnu šumu i zatim provjeriti da li je uvoz bio uspješan i da kritične aplikacije nisu oštećene. Za AD, trebali biste planirati da testirate da li je uvoz bio uspješan i da li je replikacija bila ispravna u testnom okruženju.

Ako želite da testirate proširenje sheme u testnoj AD šumi, shema mora odgovarati proizvodnoj šumi. U ovom slučaju testiranje će biti završeno. Možete koristiti alat AD Schema Analyzer (uključen uz AD LDS) da pronađete razlike u shemi između dvije AD šume. TechNet članak "Izvoz, upoređivanje i sinhronizacija šema Active Directory" (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) opisuje kako uvesti i izvesti ekstenzije šeme i kako koristiti alat AD Schema Analyzer. Imajte na umu da može postojati neke razlike prilikom upoređivanja shema, ovisno o servisnim paketima i verzijama Windowsa, posebno u indeksiranju atributa i skladištenju oznaka za brisanje.

Za proširenja sheme dobijene iz drugih izvora (na primjer, zajedno s komercijalnom aplikacijom), morate osigurati da povezane promjene nisu rizične. Uz sve prethodno razmotrene unose, svakako obratite pažnju na niz drugih okolnosti. Ispod su ključni parametri koje treba provjeriti:

• isporučuje se u LDIF datoteci (više LDIF datoteka);
• ispravnost prefiksa atributa;
• registrovani OID-ovi;
• registrovani / automatski generisani identifikatori linkova;
• automatski generisani MAPI identifikatori.

LDIF datoteke su industrijski standard: sve ekstenzije šeme moraju biti isporučene u ovom formatu. Dozvoljeno je aplikacijama da koriste poseban mehanizam uvoza umjesto LDIFDE za proširenja sheme. Međutim, ako je proširenje isporučeno u drugom formatu, pojavljuju se sumnje u njegovu ispravnost i pouzdanost dobavljača. C prikazuje LDIF uzorak za kreiranje atributa u AD šemi za pohranjivanje informacija o veličini cipele korisnika. Obratite pažnju na sljedeće karakteristike ovog uzorka proširenja šeme.

• Atribut ima prefiks sa imenom dobavljača (Brian Desmond Consulting, LLC: bdcllc).
• Jedinstveni OID za atribut se izdaje korišćenjem broja privatnog preduzeća kako je registrovan od strane prodavca.
• Atribut je indeksiran (zastavice za pretragu: 1) i dostupan u globalnom katalogu (isMemberOfPartialAttributeSet: TRUE).

Također morate provjeriti da je atribut dostupan u globalnom katalogu Djelomični skup atributa (PAS) i da su indeksi kreirani za atribut ispravni ako će se atribut koristiti u LDAP filterima pretraživanja. Također je korisno osigurati da su podaci pohranjeni u atributu prihvatljivi za AD u kontekstu ograničenja i najboljih praksi o kojima se raspravljalo gore.

Nakon što je proširenje šeme testirano i pripremljeno za implementaciju proizvodnje, vrijeme bi trebalo biti prikladno za ovu operaciju. To se obično može uraditi tokom radnog vremena. Opterećenje procesora će se primjetno povećati kada pokrenete čarobnjak za sheme, a neznatno - na kontrolerima domena koji repliciraju promjene. Velike kompanije mogu iskusiti pauze replikacije između kontrolera domena u periodima od četiri do šest sati ako se atributi dodaju u PAS parcijalni skup atributa. Obustave će biti popraćene porukama o greškama koje ukazuju na probleme sa objektima, ali obično se one mogu zanemariti i one će nestati same od sebe. Ako su kontroleri domena izvučeni iz replikacije duže vrijeme, trebali biste započeti rješavanje problema.

Planski pristup

Proširivanje AD sheme je sigurno ako poduzmete neke osnovne mjere opreza. Prilikom planiranja novih proširenja sheme i prilikom provjere prilagođenih atributa i klasa dobavljača trećih strana, razmotrite identifikaciju informacija koje su jedinstvene za svaku klasu ili atribut i osigurajte da su globalno jedinstvene.

Nakon provjere integriteta, prenesite novu ekstenziju u reprezentativno testno okruženje kako biste osigurali da testno okruženje i kritične aplikacije ispravno funkcionišu. Zatim možete uvesti proširenje šeme u svoje proizvodno okruženje.

Listing. Uzorak LDIF zapisa

Dn: CN = bdcllcShoeSize, CN = Shema, CN = Konfiguracija, DC = X tip promjene: dodaj objectClass: top objectClass: attributeSchema cn: sfsuLiveServiceEntitlements attributeID: 1.3.6.1.4.1.35686.1020.a25 atributa F: 1.3.6.1.4.1.35686.1020.11. showInAdvancedViewOnly: TRUE adminDisplayName: bdcllcShoeSize adminDescription: Pohranjuje veličinu cipele korisnika oMSyntax: 64 searchFlags: 1 lDAPDisplayName: bdcllcShoeSize name: bdcllcShoeSize: bdcllcShoeSize: schemaID +6

Od izdavanja Active Directory-a sa Windows-om 2000, Microsoft je korisnicima pružio osnovnu definiciju šeme za implementaciju Active Directory-a.

Izdavanje Active Directory® također je označilo promjenu u načinu na koji su mnoge aplikacije napisane i implementirane u Windows®. Ranije su aplikacije kao što je Microsoft® Exchange 5.5 bile izgrađene sa sopstvenom strukturom direktorijuma. Od pojave Active Directory-a, mnoge aplikacije (od Microsofta i drugih) iskoristile su prednosti osnovne strukture umjesto da kreiraju vlastitu shemu od nule.

U početku je korištena osnovna arhitektura koju je pružao Active Directory, a zatim proširena prema potrebi. U Microsoft Exchange 2000, na primjer, Active Directory je korišten za implementaciju sistema za razmjenu poruka, čime je definirana budućnost Microsoftove arhitekture razmjene poruka.

Danas se mnoge aplikacije napravljene za rad u okruženju Active Directory oslanjaju na njegovu osnovnu shemu, a mnoge aplikacije također definiraju vlastite promjene sheme po potrebi. Za to je, naravno, potrebna proširiva shema, o kojoj će biti riječi u ovom članku. Štaviše, budući da se mnoge aplikacije oslanjaju na osnovne definicije u Active Directory, kontinuirana stabilnost osnovne šeme je kritična. Budući da mnoge aplikacije moraju raditi zajedno u istom Active Directoryju, promjene jedne aplikacije ne bi trebale utjecati na druge aplikacije.

Šta je šema?

Za mnoge je shema Active Directory poput crne kutije, a ideja da sami promijenite shemu može ih zastrašiti. Naravno, proširenje Active Directory šeme ne mora da se radi svaki dan, ali neke aplikacije ili preduzeća rade upravo to. Stoga je vrlo važno razumjeti prirodu šeme i njen sastav, jer je Active Directory važna prednost u mnogim organizacijama, a poremećaj njegove funkcionalnosti zbog netačnih ažuriranja može imati ozbiljne posljedice.

Kao strategiju, mnoge organizacije koriste Active Directory Lightweight Directory Services (ADLDS) u Windows Server® 2008 (ili Active Directory Application Mode (ADAM) u Windows Server 2003) kao alternativu testiranju ili direktnoj implementaciji prilagođenih definicija šeme umjesto proširenja Aktivna shema Direktorij.

Šema je osnovna struktura koja pruža format za uslugu imenika. Shema Active Directory definira atribute i klase objekata koji se koriste u Active Directory domenskim uslugama (ADDS). Osnovna šema sadrži definicije za mnoge dobro poznate klase (kao što su korisnik, računar i organizaciona jedinica) i atribute (kao što su telefonski broj i objectSID). Objekti u definiciji glavne sheme nazivaju se objekti kategorije 1, a dodani objekti nazivaju se objekti kategorije 2.

Shema Active Directory nalazi se u kontejneru definiranom putem cn = Shema, cn = Konfiguracija, dc = X, gdje je X imenski prostor šume Active Directory. Imajte na umu da šuma Active Directory sadrži samo jednu šemu; Promjene u definiciji sheme u šumi utječu na sve domene u toj šumi. On pirinač. 1 prikazuje broj klasa i atributa dodatih šemi Active Directory u različitim verzijama Windows Servera.

Broj klasa i atributa

Šema se ažurira za različite verzije Windows Servera pomoću uslužnog programa Adprep. Kada izvršite nadogradnju na Windows Server 2003 R2, verzija šeme se nadogradi na 31, a kada nadogradite na Windows Server 2008, ona se nadogradi na 44.

Možete pronaći broj verzije tako što ćete provjeriti vrijednost atributa objectVersion pod cn = Schema, cn = Konfiguracija, dc = X u Active Directory pomoću alata kao što je ADSIEdit. Imajte na umu da neke aplikacije kao što su Exchange Server, Server za upravljanje sistemom (SMS) i druge aplikacije koje se oslanjaju na Active Directory mogu promijeniti šemu kako bi odgovarale zahtjevima aplikacije.

Osnovne komponente

Active Directory se sastoji od dvije vrste objekata: classSchema (skraćeno klasa) i attributeSchema (skraćeno atribut). Obično se proširenje Active Directory sheme razmatra kada organizacija treba pohraniti podatke u određene atribute koji nisu dostupni u postojećoj shemi. Atribut u shemi direktorija se kreira specificiranjem objekta attributeSchema u spremniku sheme i zatim definiranjem potrebnih svojstava za novi objekt.

Za listu svojstava i informacija objekta attributeSchema pogledajte go.microsoft.com/fwlink/?LinkId=110445. Kao što vidite, možete definirati veliki broj svojstava za objekte attributeSchema, od kojih su neka obavezna.

Pored uobičajenih atributa, shema također sadrži posebne atribute koji se nazivaju povezani i implementirani u parovima specificiranjem veza naprijed i nazad. Kao primjer, razmotrite članstvo u grupi u Active Directory. Atribut članstva bilo koje grupe (na primjer, grupa ContosoEmployees s članom John Doe) je veza naprijed, a odgovarajući atribut memberOf objekta člana je veza unatrag (tako da je razlikovno ime (DN) grupe ContosoEmployees izračunato kada se postavi upit za atribut memberOf John Doea).

Link za prosljeđivanje radi kao i svaki drugi atribut. Vrijednosti mogu biti jednovrijedne i viševrijedne (poput atributa članstva, koji može sadržavati više objekata kao članova grupe) i pohranjuju se u direktorij zajedno s nadređenim objektom.

Povratne veze, nasuprot tome, održava sistem kako bi se osigurao integritet podataka. Kada zatražite vrijednost atributa povratne veze, rezultat se izračunava na osnovu svih odgovarajućih vrijednosti veze naprijed. Povratne veze su uvijek dvosmislene.

Sve klase objekata u ADDS-u definirane su objektom classSchema u spremniku sheme. Za listu atributa koji su najvažniji za uspješno definiranje classSchema objekta, pogledajte go.microsoft.com/fwlink/?LinkId=110445.

Postoje tri vrste klasa koje se mogu definirati: strukturne, apstraktne i pomoćne. Tip klase je određen vrijednošću atributa objectClassCategory. (Četvrta kategorija, poznata kao 88, uključuje klase definirane prije standarda X.500 iz 1993. Ovaj tip klase je označen vrijednošću 0 u atributu objectClassCategory. Ovaj tip više ne bi trebao biti definiran.)

Dobijanje i korištenje identifikatora

Identitet svih objekata classSchema i attributeSchema u direktoriju je definiran korištenjem potrebnih identifikatora objekta (OID-ova), governsID-a za classSchema objekata i attributeID-a za objekte attributeSchema. To su jedinstvene numeričke vrijednosti koje daju specifični centri za identifikaciju objekata. Numeracija je u skladu sa definicijom LDAP protokola (RFC 2251). Međunarodna organizacija za standardizaciju (ISO) i Microsoft Corporation izdaju nekoliko identifikatora objekata u šemi Active Directory. Identifikator objekta u direktoriju mora biti jedinstven.

ID objekta je niz brojeva, na primjer 1.2.840.113556.1.y.z kao što je prikazano na pirinač. 2... Dakle, identifikator objekta korisnika classSchema je 1.2.840.113556.1.5.9.

Identifikator korisničkog objekta

Kada organizacija želi da proširi šemu, ona nameće jedinstvenost identifikatora objekta tako što dobija sopstveni korenski OID, koji se koristi za kreiranje jedinstvenih identifikatora za nove atribute i klase objekata organizacije. Korijen identifikatora objekta može se dobiti direktno od ISO nacionalnog matičnog ureda (Američki nacionalni institut za standarde (ANSI) u Sjedinjenim Državama).

Procedura i cene usluga za dobijanje ID-a root entiteta mogu se naći na ansi.org. U drugim regijama, kontaktirajte odgovarajuću organizaciju članicu ISO navedenu na iso.org/iso/about/iso_members.htm.

Ranije su organizacije dobijale ID objekta od Microsofta slanjem poruke e-pošte na [email protected]... Međutim, ovo sada rezultira automatskim odgovorom koji od vas traži da preuzmete i pokrenete VBScript sa go.microsoft.com/fwlink/?LinkId=110453.

Identifikatorima objekata koje je objavio Microsoft dodjeljuju se brojevi prostora za identifikaciju Microsoftovih objekata: 1.2.840.113556.1.8000.x, gdje je x jedinstveni broj dodijeljen vašoj organizaciji. Organizacija može odvojiti ove identifikatore kako bi označila objekte. Na primjer, možete koristiti 1.2.840.113556.1.8000.x.1.y za nove classSchema objekte i 1.2.840.113556.1.8000.x.2.z za attributeSchema objekte (gdje je x jedinstveni organizacioni broj, a y i z brojevi dodijeljen određenim objektima classSchema i attributeSchema). Osim toga, preporučujemo da koristite jedinstveni prefiks organizacije da biste razlikovali imena ovih objekata.

Definiranje povezanih atributa

Vrijednost atributa sintakse zadnje reference mora biti 2.5.5.1, što je sintaksa objekta (DS-DN). Tipično, atributi povratne veze se dodaju vrijednosti mayContain klase sa najviše apstrakcije. Ovo osigurava da se atribut povratne veze čita iz objekata bilo koje klase, budući da se takvi atributi ne pohranjuju u objektu, već se izračunavaju na osnovu vrijednosti veze naprijed.

Windows Server 2003 uveo je funkciju koju organizacije mogu koristiti za povezivanje dva objekta u šemi: automatsko generiranje ID-ova veze. Ova funkcija automatski generiše linkID za novi povezani atribut kada je linkID atributa postavljen na 1.2.840.113556.1.2.50. Odgovarajuća povratna veza se kreira postavljanjem linkID-a na attributeId ili ldapDisplayName linka naprijed. Keš šema se mora ponovo učitati nakon kreiranja veze naprijed i prije kreiranja povratne veze. U suprotnom, atribut attributeId ili ldapDisplayName neće biti pronađen prilikom kreiranja povratne veze. Keš šema se ponovo učitava na zahtjev nekoliko minuta nakon promjene sheme ili kada se kontroler domene ponovo pokrene.

Ako vaš Active Directory radi na nivou Windows 2000, morate zatražiti linkID-ove od Microsofta slanjem e-pošte na [email protected]... Automatski odgovor će sadržavati sljedeći red: „E-mailovi poslani na [email protected]će se obraditi samo ako se odnose na registracije linkID-a za naslijeđena okruženja." [email protected]će se obraditi samo ako se odnose na naslijeđene registracije linkID-a.). Da biste to učinili, u e-poruci se moraju navesti sljedeće informacije: naziv kompanije, ime kontakta, adresa e-pošte, broj telefona, registrovani prefiks (ako je primjenjivo), ID registrovanog objekta (ako je potrebno).

Možete početi širiti shemu

Recimo da ste odlučili da proširite svoju Active Directory shemu. Rješenje bi moglo biti da prestanete koristiti alternativni direktorij implementiran ADLDS (ili ADAM u Windows Server 2003) nakon što potvrdite da neće biti usklađen. Sljedeći korak je definiranje novih objekata attributeSchema za dodavanje shemi; ovo definira sve potrebne vrijednosti (kao što su cn, ldapDisplayName, itd.) za označavanje ovih novih objekata. Prilikom definiranja vrijednosti atributa za objekt, također ste dobili identifikator objekta od Microsofta ili drugog izvora. Gore navedene aktivnosti su dokumentovane kao poslovni zahtjevi i tehničke specifikacije. Štaviše, implementirano je eksperimentalno laboratorijsko okruženje koje simulira rad Active Directory-a i spremno je za testiranje.

Mnoge organizacije osnivaju posebne komisije za odobravanje ili odbijanje takvih promjena i uspostavljanje procesa za njihovu implementaciju. Ovaj sistem provjere i ravnoteže je kritičan jer se Active Directory koristi kao pouzdan izvor informacija u mnogim organizacijama, a važnost njegovog održavanja i rada nakon promjena ne može se precijeniti.

Kada organizacija odluči da nastavi sa projektom, potrebno je definisati planove za testiranje i implementaciju projekta. Šemu možete proširiti dodavanjem novih objekata korištenjem dodatka sheme Active Directory za Microsoft Management Console (MMC) ili korištenjem programskih ili poluprogramskih metoda (na primjer, korištenjem LDIFDE za uvoz LDIF datoteka; korištenjem CSVDE za uvoz CSV-a datoteke ili korištenjem skripti za ADSI sučelja).

Bez obzira na odabranu metodu, ova funkcija se mora izvoditi na poslužitelju koji ima ili je povezan s ulogom glavnog šeme (Fleksibilne jednostruke glavne operacije) u šumi Active Directory. Pored toga, nalog koji se koristi za ažuriranje šeme mora imati dovoljna administratorska prava da izvrši ažuriranje, tako da mora biti uključen u grupu Administratori šeme. Konačno, morate omogućiti ažuriranja šeme za šumu (onemogućeno prema zadanim postavkama).

Osim ako promjena nije jednostavna, treba je izvršiti automatski kako bi se osigurala standardizacija između faze testiranja i implementacije i kako bi se spriječile ručne greške. Pretpostavimo da odlučite implementirati promjenu koristeći LDIFDE alat. Da biste instalirali ažuriranja prilikom proširenja šeme, trebate dodati nove atribute i klase, dodati nove atribute klasama, a zatim pokrenuti ponovno učitavanje keša. Ispod su neki primjeri.

Dodavanje atributa

Za naše svrhe, pretpostavimo da organizacija pod imenom Contoso treba da doda atribut u Active Directory koji definira veličinu cipele svih zaposlenika. U šumi Active Directory postoje dvije domene: contoso.com i employee.contoso.com. Potrebno je da svi objekti kreirani korištenjem definicije korisničke klase također sadrže ovaj novi atribut.

Važno je zapamtiti da promjena šeme utiče na oba domena jer se nalaze u istoj šumi. Pretpostavimo da ste dobili ID objekta 1.2.840.113556.8000.9999 od Microsofta, koji se dijeli kao 1.2.840.113556.8000.9999.1 za classSchema objekat i 1.2.840.113556.8090.9 atribut Contents.9999.9 Sada moramo definirati sve vrijednosti atributa za ovaj novi objekt, kao što je prikazano u pirinač. 3.

Definicija atributa contosoEmpShoe

Osim toga, iako bi atribut contosoEmpShoe trebao biti dostupan za sve objekte kreirane kao objekti korisničke klase, preporučujemo da ne mijenjate zadanu definiciju korisničke klase. Umjesto toga, definirajte pomoćnu klasu contosoUser s atributom mayContain postavljenim na contosoEmpShoe, kao što je prikazano u pirinač. 4... Zatim dodajete atribute definirane za pomoćnu klasu contosoUser u klasu korisnika.

Definicija klase contosoUser

Sada kada je analiza obavljena i vrijednosti određene, morate kreirati LDIF datoteku koja izgleda nešto poput koda u pirinač. 5... Možete kopirati kod na pirinač. 5 u beležnicu i sačuvajte datoteku kao contosoUser.ldif (uključeno u preuzimanje na technetmagazine.com).

LDIF fajl za ekstenziju šeme

#Definicija atributa za contosoEmpShoe dn: CN = contosoEmpShoe, CN = Shema, CN = Konfiguracija, DC = X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe attributeID: 1.2.8500.x. isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changetype: modify dodati: schemaUpdateNow schemaUpdate = X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governsID: 1.2.840.113556. 1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDisplayName: contosoUser adminDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClass: changetype: modify dodati: schemaUpdateNow schemaUpdateNow: 1 - DN: CN = korisnika, CN = Schema , CN = Konfiguracija, DC = X tip promjene: ntdsschemamodify a dd: auxiliaryClass auxiliaryClass: contosoUser - dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1

Nakon kreiranja LDIF datoteke, trebali biste temeljito testirati implementaciju u eksperimentalnom laboratorijskom okruženju, provjeriti replikaciju domene i šume od kraja do kraja i dozvoliti ažuriranja sheme u šumi. Sada se morate prijaviti koristeći račun koji ima administratorska prava šeme. Možda ćete morati onemogućiti izlaznu replikaciju na glavnoj shemi (gdje će se izvršiti promjene) i pokrenuti sljedeću naredbu za uvoz LDIF datoteke:

Ldifde –i –f \ contosoUser.ldif –b -k –j. –C "CN = shema, CN = Konfiguracija, DC = X" #schemaNamingContext

Nakon što izvršite promjene, omogućite izlaznu replikaciju na masteru sheme i osigurajte da je replikacija obavljena za sve kontrolere domene.

Duboko udahnite - gotovi ste! Definirali ste novi atribut u šemi koji će biti pridružen objektima kreiranim pomoću korisničke klase (to jest, s korisničkim nalozima).

Da biste testirali promjene, otvorite Active Directory Users and Computers, povežite se s domenom employees.contoso.com, odaberite korisničku organizacionu jedinicu i kreirajte novi korisnički nalog pod nazivom ContosoTestUser. Sada otvorite konzolu adsiedit.msc i povežite se na domensku particiju dc = zaposleni, dc = contoso, dc = com, proširite OU Korisnici, kliknite desnim tasterom miša na ContosoTestUser, a zatim otvorite stranicu Svojstva. Pronađite atribut contosoEmpShoe. Možete promijeniti ovaj atribut da unesete vrijednost. Također možete koristiti Ldp.exe uslužni program za provjeru i izmjenu atributa.

Sada, pogledajmo primjer kako su dva atributa definirana i povezana, i pretpostavimo da je Contoso veoma zabrinut veličinom cipela zaposlenika i želi pratiti godišnji učinak ljudi koji mjere veličinu cipela zaposlenika. Iako ovo može zvučati smiješno, pretpostavimo i da Contoso treba da prati ne samo ljude odgovorne za mjerenje veličine obuće zaposlenih, već i zaposlenike čija je veličina izmjerena i njihov broj - sve upitom za jedan atribut. (Iako možda mislite da su tabele baze podataka prikladnije za pohranjivanje ove vrste podataka, u ovom slučaju jednostavno pokušavamo objasniti kako veze naprijed-nazad funkcionišu.)

Naravno, prvo ćete napraviti analizu sličnu onoj koju sam spomenuo u prethodnom primjeru. Međutim, za sada idemo naprijed i kreiramo LDIF datoteke (linkids1.ldif i linkids2.ldif) kao što je prikazano u pirinač. 6... Zatim pokrenite sljedeću naredbu za uvoz LDIF datoteka:

Povežite naprijed i nazad LDIF datoteke

# linkids1.ldif #Definicija atributa za atribut prosljeđivanja veze dn: CN = ContosoShoeSizeTaker, CN = Shema, CN = Konfiguracija, DC = X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker. 2 linkid: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeShoeSizeTaker sistem shemu # linkids2.ldif definicija #Attribute za Unatrag Link Atributi dn: CN = ContosoShoeSizesTakenByMe, CN = Schema, CN = Konfiguracija, DC = X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn:. ContosoShoeSizesTakenByMe1355.2 .3 linkid: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescript ion: ContosoShoeSizesTakenByMe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modify dodati: schemaUpdateNow schemaUpdateNow: 1 - #Dodaj ContosoShoeShoeSizeNow: 1 - #Dodaj ContosoShoeShoeShoen = Konfiguracija, DC = X changetype: ntdsschemamodify dodati: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Attribute = MayContain = Top = Konfiguracija, DC = X changetype: ntdsschemamodify X changetype: ntdsschemamodify može dodati: ContosoShoeSizesTakenByMe: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Attribute = MayContain = Top = Configuration, DC = X changetype: ntdsschemamodify type: ntdsschemamodify add: ContosoShoeSizesTakenByMe mayContain: ntdsschemamodify add: ContosoShoeSizeTaker 1 ldifde –i –f \ linkedids.ldif –b -k –j. –C "CN = shema, CN = Konfiguracija, DC = X" #schemaNamingContext

Sada, kada je korisnički objekt kreiran, on će također imati atribute ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe. Kada se kreira korisnički objekt, na primjer za Johna, atribut ContosoShoeSizeTaker se popunjava prepoznatljivim imenom osobe koja mjeri veličinu cipele, Frank. Ako sada dođete do svojstava Frankovog korisničkog objekta i upitate za atribut ContosoShoeSizesTakenByMe, rezultat će sadržavati prepoznatljivo ime Franka i ostalih čiju je veličinu cipele Frank mjerio. Kako bismo dovršili naš slučaj, uprava može nagraditi Franka na osnovu broja istaknutih imena koja postoje u atributu ContosoShoeSizesTakenByMe njegovog korisničkog računa.

Sistem provjere i ravnoteže

Kritično ažuriranje, koje je promjena sheme, ne može se izvesti bez provjere usklađenosti arhitekture. Ove provjere sigurnosti i konzistentnosti koristi Active Directory da potvrdi da promjene ne uzrokuju nedosljednosti ili druge probleme kada se šema Active Directory proširi ili promijeni.

Prije svega, vrijednost governsID za svaku klasu mora biti jedinstvena u šemi. Prilikom definiranja objekta schemaClass, svi atributi definirani na listama systemMayContain, mayContain, systemMustContain i mustContain moraju već postojati. U isto vrijeme, sve klase definirane na listama subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors i possSuperiors moraju već postojati.

Dodatno, atribut objectClassCategory svih klasa na listama systemAuxiliaryClass i auxiliaryClass mora biti klasa 88 ili pomoćna klasa. Slično, atribut objectClassCategory svih klasa na listama systemPossSuperiors i possSuperiors mora biti definiran kao klasa 88 ili strukturna klasa.

Kada se definiraju različite klase, apstraktne klase mogu biti izvedene samo iz drugih apstraktnih klasa, pomoćne klase ne mogu biti izvedene iz strukturnih klasa, a strukturirane klase ne mogu biti izvedene iz pomoćnih klasa. Dodatno, atribut specificiran u rDNAttID mora biti nedvosmislen i sintaksiran kao unikod niz.

Ovo su neka od pravila koja se primjenjuju na classSchema objekte. Šta kažete na pravila za objekte attributeSchema? Kao i vrijednost governsID za klase, vrijednost attributeID mora biti jedinstvena. Osim toga, mAPIID vrijednost (ako postoji) mora biti jedinstvena. Nadalje, ako su rangeLower i rangeUpper prisutni, rangeLower mora biti manji od rangeUpper. Sintaksa atributa i sintaksa oMS moraju se podudarati. Ako je sintaksa atributa sintaksa objekta (oMSyntax = 127), mora imati ispravnu oMObjectClass. LinkID, ako postoji, mora biti jedinstven. Uz to, zadnja veza mora imati odgovarajuću vezu naprijed.

Šta ako dođe do greške?

Nakon proširenja šeme i dodavanja novih objekata (klasa i atributa) u nju, oni se ne mogu izbrisati. Međutim, klase i atributi se mogu onemogućiti postavljanjem isDefunct atributa objekta sheme na TRUE. Ne možete deaktivirati objekte sheme koji su dio zadane sheme isporučene s Active Directory (objekti kategorije 1). Možete deaktivirati samo objekte dodane shemi prema zadanim postavkama, tj. Objekti kategorije 2, i to tek nakon provjere da se klasa ne koristi na listama subClassOf, auxiliaryClass ili possSuperiors bilo koje postojeće klase.

Kada pokušate da onemogućite bilo koji atribut, Active Directory provjerava da li se koristi u mustContain i mayContain listama bilo koje postojeće efektivne klase. Onemogućeni objekti se mogu ponovo omogućiti postavljanjem isDefunct atributa na FALSE. Ako Active Directory radi na nivou Windows Server 2003, možete ponovo koristiti ldapDisplayName, schemaIdGuid, OID i mapiID vrijednosti onemogućenih objekata.

Zaključak.

Dodavanje ili modificiranje definicije klase ili atributa u shemi također dodaje ili modificira odgovarajući objekt classSchema ili attributeSchema. Ovaj proces je sličan dodavanju ili izmjeni bilo kojeg objekta u Active Directory, osim što se vrše dodatne provjere kako bi se osiguralo da promjene ne uzrokuju nedosljednosti i da možda neće uzrokovati buduće probleme sa šemom.

Iako promjena sheme Active Directory nije teška, važno je razumjeti strukturu šeme i proces implementacije tih promjena. Sve promjene u shemi Active Directory moraju biti pažljivo planirane i izvršene s velikom pažnjom. Važno je definirati poslovne zahtjeve i tehničke specifikacije za nove objekte i izvršiti opsežna ispitivanja. Budući da promjene mogu imati značajan učinak, preporučujemo da proširite Active Directory shemu samo ako je to apsolutno neophodno.

Teško je potcijeniti važnost "Active Directory sheme" za mreže izgrađene na vrhu okruženja domene Active Directory. Ovo je temelj AD tehnologije i veoma je važno pravilno razumeti principe njenog rada. Većina sistemskih administratora ne obraća dovoljno pažnje na šemu zbog činjenice da se rijetko moraju baviti njome. U ovom članku ću vam reći što je verzija sheme, zašto je trebamo znati i, što je najvažnije, kako pogledati trenutnu verziju.

Prije svega, nekoliko riječi o samoj šemi, svaki objekat kreiran u Active Directory-u, bilo da se radi o korisniku ili računaru, ima određene parametre koji se nazivaju atributi. Najjednostavniji primjer je atribut "Prezime" korisničkog objekta. Shema definira koje objekte možemo kreirati u Active Directoryju i koje će atribute imati.

Active Directory omogućava korištenje više kontrolera domena zasnovanih na različitim verzijama Windowsa unutar iste organizacije. Naime, na osnovu Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Budući da su ove verzije izlazile u različitim godinama, a svaka nova verzija nosi više funkcionalnosti od prethodne, razumijevanje šeme je drugačije za svaki operativni sistem. Stoga, kada dodajete novi kontroler baziran na Windows Server 2008 organizaciji u kojoj su postojeći kontroleri bazirani na Windows Server 2003, morali ste pokrenuti uslužni program " Adprep". Čineći ovo, ažurirali ste svoju organizacionu shemu na nivo na kojem radi. Windows Server 2008.

Proces nadogradnje šeme je obavljen prije instaliranja prvog Windows Server 2008 kontrolera, a stvarna procedura za instaliranje novog kontrolera možda nije izvršena. Ako tek počinjete raditi s nekom vrstom Active Directory organizacije i ne znate koje su radnje provedene prije vašeg dolaska, da biste razumjeli kompletnost strukture, morat ćete znati na kojem nivou radi Trenutna organizacijska shema .

Moguće verzije sheme:

13 - Windows 2000 Server
30 - Windows Server 2003 RTM, Windows 2003 sa servisnim paketom 1, Windows 2003 sa servisnim paketom 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Čak i ako svi kontroleri u vašoj organizaciji rade na Windows Server 2003 R2, a verzija sheme pokazuje "44", ne biste se trebali iznenaditi, to znači da je shema već nadograđena na Windows Server 2008 RTM nivo, ali sam kontroler iz nekog razloga ga nisu instalirali s razlogom.

Verziju šeme možete pogledati na nekoliko načina, a najjednostavniji je način pomoću uslužnog programa "DSQuery". Da biste to učinili, u komandnu liniju unesite naredbu sa sljedećim parametrima:

“Dsquery * cn = shema, cn = konfiguracija, dc = ime domene, dc = baza lokalnog opsega -attr objectVersion”

Naravno, u dijelu “ dc = ime domene, dc = lokalni " morate zamijeniti svoje ime domene. (Primjer: dc = microsoft, dc = com )

Rezultat unosa naredbe je dobivanje atributa “ ObjectVersion", koji će biti broj verzije sheme:

Rice. 1 Dobivanje verzije sheme putem uslužnog programa "DSQuery".

Druga metoda je duža i uključuje korištenje kopča " ADSIEdit.msc "... Da biste vidjeli verziju sheme, morat ćete se povezati na odjeljak Active Directory sheme.

"CN = Shema, CN = Konfiguracija, DC = domena, DC = lokalno"

I pronađite vrijednost atributa " objectVersion".

sl. 2 Dobivanje verzije sheme kroz utičnicu " ADSIEdit.msc».

Poznavajući verziju sheme, uvijek možete sa sigurnošću reći da li shemu treba ažurirati i, ako je potrebno, do kojeg nivoa.

Treba napomenuti da se ažuriranja šeme mogu izvršiti pomoću softvera koji je usko integriran sa Active Directoryjem. Najupečatljiviji primjer Microsoft Exchange Servera. I često je u organizaciji koja planira implementaciju Exchange Servera potrebno otkriti da li je shema pripremljena? I ako jeste, koja verzija Exchange Servera. Trenutno postoje tri verzije Exchange-a koje rade sa aktivnim direktorijumom, ali postoji šest opcija za izmenu šeme. Možete razumjeti da li je server promijenio shemu Exchange Active Directory pomoću atributa “ rasponUpper ", koji uzima sljedeće vrijednosti:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 sa servisnim paketom 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 sa servisnim paketom 3
10628 - Exchange Server 2007
11116 - Exchange 2007 sa servisnim paketom 1

Kao što vidite, ažuriranje šeme se takođe dešava kada instalirate set ažuriranja SP3 za Exchange Server 2000/2003 i SP1 za Exchange 2007.

Pogledajte vrijednost atributa " rasponUpper " možete koristiti uslužni program DSQuery:

"dsquery * CN = ms-Exch-Schema-Version-Pt, cn = shema, cn = konfiguracija, dc = ime domene, dc = lokalni -scope base -attr rangeUpper"

Rice. 3 Dobivanje atributa " rasponUpper " preko uslužnog programa DSQuery.

Ako se nakon unosa ove naredbe vrati odgovor koji ukazuje na odsustvo atributa “ rasponUpper " može se zaključiti da šema nije promijenjena.

Proces ažuriranja šeme je veoma važan za svaku organizaciju Active Directory, tako da treba izbegavati nepotrebne, nepotrebne korake. Razumijevanje suštine atributa" objectVersion "i« rasponUpper " daje tehničaru prednost pri radu sa Active Directory-om u nepoznatoj organizaciji, a ujedno je i pomoćni alat u rješavanju problema.

Materijal koji pruža resurs

Šema u AD DS-u se odnosi na skup definicija za sve tipove objekata i povezane atribute u katalogu. To je šema koja definira način na koji AD DS pohranjuje i konfigurira podatke o svim korisnicima, računalima i drugim objektima tako da imaju dosljedan izgled kroz AD DS strukturu. Zaštićen je upotrebom Diskrecionih lista za kontrolu pristupa (DACL) i odgovoran je za obezbeđivanje mogućih atributa za svaki objekat u AD DS-u. U suštini, shema je osnovna definicija samog direktorija i temelj je funkcionalnosti okruženja domene. Morate biti izuzetno oprezni pri delegiranju kontrole šeme odabranoj grupi administratora jer promjene u šemi utiču na cijelo AD DS okruženje.

Objekti sheme

Stavke pohranjene unutar AD DS strukture, kao što su korisnici, štampači, računari i lokacije, nazivaju se objektima unutar šeme. Svaki takav objekt ima svoju listu atributa koji određuju njegove karakteristike i mogu se koristiti za njegovo pronalaženje.

Proširivanje šeme

Jedna od glavnih prednosti AD DS dizajna je mogućnost direktne modifikacije i proširenja šeme kako bi uključila posebne atribute. Obično se proširenje skupa atributa dešava tokom instalacije Microsoft Exchange Servera, pri čemu se šema proširuje na takav način da se skoro udvostruči. Nadogradnja sa Windows Server 2003 ili Windows Server 2008 AD na Windows Server 2008 R2 AD DS takođe proširuje šemu tako da uključuje atribute koji su specifični za Windows Server 2008 R2. Mnogi proizvodi trećih strana također pružaju proširenja sheme koja im omogućavaju da prikažu svoje tipove kataloških informacija.