Ekstenzija sheme Active Directory. Master sheme — Master sheme Active Directory

Teško je potcijeniti važnost "Active Directory sheme" za mreže izgrađene na bazi Active Directory domenskog okruženja. Ovo je osnova AD tehnologije i veoma je važno pravilno razumeti principe njenog rada. Većina sistemskih administratora ne obraća dužnu pažnju na šemu zbog činjenice da se rijetko moraju baviti njome. U ovom članku ću vam reći što je verzija kola, zašto je moramo znati, i što je najvažnije, kako je vidjeti trenutna verzija. Prije svega, nekoliko riječi o samoj šemi; svaki objekat kreiran u Active Directory-u, bilo da se radi o korisniku ili računaru, ima određene parametre koji se nazivaju atributi. Najviše jednostavan primjer može poslužiti kao atribut “Prezime” korisničkog objekta. Shema definira koje objekte možemo kreirati u Active Directory i koje će atribute imati.

Active Directory omogućava korištenje unutar jedne organizacije više kontrolera domena izgrađenih na bazi različite verzije Windows OS. Naime, na osnovu Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Pošto su ove verzije objavljene u različite godine, i svaki nova verzija nosi više funkcionalnosti od prethodnog, svaki ima razumijevanje kola operativni sistem tvoj. Stoga, kada dodajete novi kontroler u Windows baziran Server 2008 u organizaciji u kojoj su postojeći kontroleri izgrađeni na Windows Server 2003, morali ste pokrenuti " Adprep" Tako ste ažurirali dijagram svoje organizacije na nivo na kojem radi Windows Server 2008.

Proces ažuriranja sheme izveden je prije prve instalacije Windows kontroler Server 2008 i stvarna procedura za instaliranje novog kontrolera možda nisu obavljeni. Ako tek počinjete da radite sa organizacijom Active Directory i ne znate koje su aktivnosti sprovedene pre vašeg dolaska, da biste razumeli kompletnost strukture, moraćete da znate na kom nivou trenutno funkcioniše šema organizacije.

Moguće verzije kola:

13 – Windows 2000 Server
30 – Windows Server 2003 RTM, Windows 2003 sa Service Pack 1, Windows 2003 sa servisnim paketom 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM

Čak i ako svi kontroleri u vašoj organizaciji rade na Windows Server 2003 R2, a verzija kola pokazuje „44“, ne biste trebali biti iznenađeni, to znači da je kolo već ažurirano na Windows Server 2008 RTM nivo, ali kontroler iz nekog razloga nije bilo razloga da ga instaliram.

Postoji nekoliko načina za pregled verzije sheme. Najjednostavniji metod je korištenje uslužnog programa DSQuery. U tu svrhu u komandna linija morate unijeti naredbu sa sljedećim parametrima:

“dsquery * cn=shema,cn=konfiguracija,dc=ime domene,dc=local -scope base -attr objectVersion”

Naravno u dijelu “ dc= ime domena dc= lokalni" morate zamijeniti svoje ime domene. (Primjer: dc= microsoft, dc= com )

Rezultat unosa naredbe je dobivanje atributa " ObjectVersion", što će biti broj verzije šeme:

Rice. 1 Dobijanje verzije sheme putem uslužnog programa DSQuery.

Druga metoda je duža i uključuje korištenje “ ADSIEdit. msc» . Da biste vidjeli verziju sheme, morat ćete se povezati na particiju sheme Active Directory.

"CN=Shema,CN=Konfiguracija,DC=domena,DC=lokalno"

I pronađite vrijednost atributa " objectVersion".

Fig.2 Dobivanje verzije sheme putem uskočnog dodatka " ADSIEdit. msc».

Poznavajući verziju sheme, uvijek možete s povjerenjem reći da li shemu treba ažurirati i, ako je potrebno, na koji nivo.

Treba napomenuti da se mogu izvršiti ažuriranja šeme softverčvrsto integrisan sa aktivnim direktorijumom. Najsjajniji Microsoft primjer Exchange Server. I često je u organizaciji koja planira implementaciju Exchange Servera potrebno saznati da li je shema pripremljena? I ako jeste, koja verzija Exchange Servera. Trenutno postoje tri verzije Exchange-a koje rade sa aktivnim direktorijumom, ali postoji šest opcija za izmenu šeme.

Da shvati da li je došlo do promjene
Shema Active Directory Exchange server moguće po atributu " rasponUpper", koji podrazumeva sledeće vrijednosti:

4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 sa servisnim paketom 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 sa servisnim paketom 3
10628 – Exchange Server 2007
11116 – Exchange 2007 sa servisnim paketom 1

Kao što vidite, ažuriranje šeme se takođe dešava kada se instalira set ažuriranja SP3 za Exchange Server 2000/2003 i SP1 za Exchange 2007.

Pogledaj vrijednost atributa " rasponUpper" Možete koristiti uslužni program DSQuery:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=konfiguracija, dc=ime domene, dc=local -scope base -attr rangeUpper"

Rice. 3 Dobivanje atributa " rasponUpper" preko uslužnog programa DSQuery.

Ako se nakon unosa ove naredbe vrati odgovor koji ukazuje na odsustvo atributa " rasponUpper" možemo zaključiti da šema nije promijenjena.

Proces ažuriranja šeme je vrlo važna tačka za svaki Aktivne organizacije Imenik, stoga treba izbjegavati nepotrebne, neopravdane radnje. Razumijevanje suštine atributa" objectVersion" I« rasponUpper" daje prednost specijalistu pri radu sa Active Directory-om u nepoznatoj organizaciji, a ujedno je i pomoćni alat pri rješavanju problema.

Od izdavanja Active Directory sa Windows 2000, Microsoft je korisnicima pružio definiciju osnovne šeme za implementaciju Active Directory-a.

Izdavanje Active Directory® također je označilo promjenu u načinu na koji su mnoge aplikacije napisane i implementirane na Windows®. Ranije su aplikacije kao što je Microsoft® Exchange 5.5 bile izgrađene sa sopstvenom strukturom direktorijuma. Od uvođenja Active Directory-a, mnoge aplikacije (od Microsofta i drugih kompanija) počele su da iskorištavaju prednost osnovne strukture umjesto da kreiraju vlastitu shemu od nule.

U početku je korišćena osnovna arhitektura koju je obezbedio Active Directory, koja je zatim proširena po potrebi. IN Microsoft Exchange 2000. godine, na primjer, Active Directory je korišten za implementaciju sistema za razmjenu poruka, čime je definirana budućnost Microsoftove arhitekture razmjene poruka.

Danas se mnoge aplikacije napravljene za rad u okruženju Active Directory oslanjaju na osnovnu šemu, a mnoge aplikacije također definiraju vlastite promjene sheme kako bi izvršile potrebne promjene. Da biste to učinili, naravno, potreban vam je krug koji se može proširiti, o čemu će biti riječi u ovom članku. Štaviše, budući da mnoge aplikacije zavise od osnovne definicije u Active Directoryju, stalna stabilnost osnovne šeme je izuzetno važna. Budući da mnoge aplikacije moraju raditi zajedno u istom Active Directoryju, promjene jedne aplikacije ne bi trebale utjecati na druge aplikacije.

Šta je šema?

Za mnoge ljude, Active Directory shema je pomalo crna kutija, a ideja promjene same sheme može biti zastrašujuća. Naravno, ekspanzija Aktivne šeme Imenik ne treba raditi svaki dan, ali neke aplikacije ili preduzeća to zahtijevaju. Stoga je vrlo važno razumjeti prirodu šeme i njen sastav, budući da je Active Directory važna prednost za mnoge organizacije, čiji neuspjeh zbog neispravnog ažuriranja može imati ozbiljne posljedice.

Kao strategiju, mnoge organizacije koriste Active Directory Lightweight Directory Services (ADLDS) u Windows Server® 2008 (ili Active Directory Application Mode (ADAM) u Windows Server 2003) kao alternativu za testiranje ili direktnu implementaciju prilagođene definicije shema umjesto proširenja Active Directory sheme.

Shema je osnovna struktura, koji pruža format za uslugu imenika. Shema Active Directory definira atribute i klase objekata koji se koriste u usluge domena Active Directory (ADDS). Osnovna šema sadrži definicije za mnoge dobro poznate klase (kao što su korisnik, računar i organizaciona jedinica) i atribute (kao što su telefonski broj i objectSID). Objekti u definiciji glavne sheme nazivaju se objekti kategorije 1, a objekti koji se dodaju nazivaju se objekti kategorije 2.

Shema Active Directory nalazi se u kontejneru definiranom putem cn=Schema, cn=Configuration,dc=X, gdje je X imenski prostor šume Active Directory. Imajte na umu da šuma Active Directory sadrži samo jednu šemu; Izmjena definicije sheme u šumi utječe na sve domene u toj šumi. On pirinač. 1 prikazuje broj klasa i atributa dodatih šemi Active Directory u različitim verzijama Windows Servera.

Broj klasa i atributa

Ažuriranje šeme za različite verzije Windows Server je implementiran pomoću uslužnog programa Adprep. Prilikom nadogradnje na Windows Server 2003 R2, verzija šeme se ažurira na 31, a prilikom nadogradnje na Windows Server 2008 ažurira se na 44.

Možete pronaći broj verzije tako što ćete provjeriti vrijednost atributa objectVersion na cn=Schema,cn=Configuration,dc=X u Active Directoryju pomoću alata kao što je ADSIEdit. Imajte na umu da neke aplikacije, kao što je Exchange Server, Upravljanje sistemom Server (SMS) i druge aplikacije koje zavise od Active Directory mogu promijeniti šemu kako bi odgovarale zahtjevima aplikacije.

Osnovne komponente

Active Directory se sastoji od dva tipa objekata: classSchema (skraćeno klasa) i attributeSchema (skraćeno atribut). Obično se razmatra proširenje sheme Active Directory ako organizacija treba pohraniti podatke u određene atribute koji nisu dostupni u postojećoj shemi. Atribut u Shema imenika kreiran specificiranjem objekta attributeSchema u spremniku sheme i zatim definiranjem neophodna svojstva novi objekat.

Za listu svojstava i informacija objekta attributeSchema pogledajte go.microsoft.com/fwlink/?LinkId=110445. Kao što vidite, za objekte se može definirati attributeSchema veliki broj svojstva, od kojih su neka obavezna.

Pored uobičajenih atributa, shema također sadrži posebni atributi, nazivaju povezanim i implementiraju se u parovima specificiranjem veza naprijed i nazad. Kao primjer, razmotrite članstvo u grupi u Active Directory. Atribut članstva bilo koje grupe (na primjer, grupa ContosoEmployees sa članom John Doe) je veza naprijed, a odgovarajući atribut memberOf objekta člana je povratna veza (tako da kada se upita atribut memberOf člana John Doe, izračunava se razlikovno ime (DN) grupe ContosoEmployees).

Veza naprijed radi na isti način kao i svaki drugi atribut. Vrijednosti mogu biti jednovrijedne ili viševrijedne (poput atributa članstva, koji može sadržavati više objekata kao članova grupe) i pohranjuju se u direktorij zajedno s nadređenim objektom.

Povratne veze, s druge strane, održava sistem kako bi se osigurao integritet podataka. Kada se traži vrijednost atributa povratne veze, rezultat se izračunava na osnovu svih odgovarajućih vrijednosti veze naprijed. Povratne veze su uvijek dvosmislene.

Sve klase objekata u ADDS-u definirane su objektom classSchema u spremniku sheme. Za listu atributa koji su najvažniji za uspješno definiranje classSchema objekta, pogledajte go.microsoft.com/fwlink/?LinkId=110445.

Postoje tri vrste klasa koje se mogu definirati: strukturne, apstraktne i korisne. Tip klase određen je vrijednošću atributa objectClassCategory. (Četvrta kategorija, poznata kao 88, uključuje klase definirane prije standarda X.500 iz 1993. Ovaj tip klase je označen vrijednošću 0 u atributu objectClassCategory. Ovaj tip više ne treba definisati.)

Dobijanje i korištenje identifikatora

Identiteti svih objekata classSchema i attributeSchema u direktoriju definirani su korištenjem potrebnih identifikatora objekta (OID-ova), governsID-a za classSchema objekata i attributeID-a za objekte attributeSchema. Ovo je jedinstveno numeričke vrijednosti, pod uslovom određenim centrima za identifikaciju objekata. Numerisanje je u skladu sa definicijom LDAP protokola (RFC 2251). Neke identifikatore objekata u šemi Active Directory izdaju Međunarodna organizacija za standardizaciju (ISO) i Microsoft. Identifikator objekta u direktoriju mora biti jedinstven.

ID objekta je niz brojeva, na primjer 1.2.840.113556.1.y.z, kao što je prikazano u pirinač. 2. Dakle, ID korisničkog objekta classSchema je 1.2.840.113556.1.5.9.

ID objekta korisnika

Kada organizacija želi proširiti shemu, osigurava da je identifikator entiteta jedinstven tako što dobiva vlastiti korijenski OID broj, koji se koristi za kreiranje jedinstvenih identifikatora za nove atribute i klase entiteta organizacije. Korijen identifikatora objekta može se dobiti direktno od ISO nacionalnog ureda za registraciju (u SAD-u, Američki nacionalni institut za standarde (ANSI)).

Procedure i naknade za usluge za dobijanje ID-a root objekta mogu se naći na ansi.org. U drugim regijama, kontaktirajte odgovarajuću organizaciju članicu ISO, koja je navedena na iso.org/iso/about/iso_members.htm.

Ranije su organizacije primale ID objekta od Microsofta slanjem poruke Email po adresi [email protected]. Međutim, ovo sada rezultira automatskim odgovorom u kojem se od vas traži da preuzmete i pokrenete VBScript sa go.microsoft.com/fwlink/?LinkId=110453.

Identifikatorima objekata koje izdaje Microsoft dodeljuje se broj numeričkog prostora Microsoft identifikatora objekta: 1.2.840.113556.1.8000.x, gde je x jedinstveni broj dodeljen organizaciji. Organizacija može odvojiti ove identifikatore da identifikuje objekte. Dakle, možete koristiti 1.2.840.113556.1.8000.x.1.y za nove classSchema objekte i 1.2.840.113556.1.8000.x.2.z za attributeSchema objekte (gdje je x jedinstveni organizacioni broj, a y i z dodijeljeni brojevi određene objekte classSchema i attributeSchema respektivno). Također se preporučuje da koristite jedinstveni prefiks organizacije za razlikovanje imena ovih objekata.

Definiranje pridruženih atributa

Vrijednost atributa sintakse povratne veze mora biti 2.5.5.1, što je sintaksa objekta (DS-DN). Obično se atributi povratne veze dodaju vrijednosti mayContain klase s najvećom apstrakcijom. Ovo osigurava da se atribut povratne veze može pročitati iz objekata bilo koje klase, budući da se takvi atributi ne pohranjuju u objektu već se izračunavaju na osnovu vrijednosti veze naprijed.

Windows Server 2003 predstavio je funkciju koju organizacije mogu koristiti za povezivanje dva objekta u šemi: automatsko kreiranje linkIDs. Ova funkcija osigurava da se linkID automatski generiše za novi povezani atribut ako je linkID atributa postavljen na 1.2.840.113556.1.2.50. Odgovarajuća povratna veza se kreira postavljanjem linkID-a na attributeId ili ldapDisplayName linka naprijed. Keš šema se mora ponovo učitati nakon kreiranja veze naprijed i prije kreiranja povratne veze. U suprotnom, atribut attributeId ili ldapDisplayName neće biti pronađen prilikom kreiranja povratne veze. Keš šema se ponovo učitava na zahtjev nekoliko minuta nakon promjene sheme ili kada se kontroler domene ponovo pokrene.

Ako je aktivan servis Active Directory Windows nivo 2000, morate zatražiti linkID-ove od Microsofta slanjem e-pošte na [email protected]. Automatski odgovor će sljedeći red: "E-mailovi poslani na [email protected]će se obraditi samo ako se odnose na registracije linkID-a za naslijeđena okruženja." (E-poruke poslane na [email protected], bit će obrađeni samo ako se odnose na registraciju ID-ova veze za naslijeđena okruženja.) Da biste to učinili, morate naznačiti u svojoj e-poruci sljedeće informacije: naziv kompanije, naziv kontakt osoba, email adresa, broj telefona, registrovani prefiks (ako je potrebno), ID registrovanog objekta (ako je potrebno).

Možete početi širiti shemu

Recimo da ste odlučili da proširite svoju Active Directory shemu. Rješenje može uključivati ​​prestanak korištenja alternativnog direktorija implementiranog preko ADLDS-a (ili ADAM-a u Windows Server 2003) nakon što se utvrdi da neće ispuniti zahtjeve. Sljedeći korak je definiranje novih objekata attributeSchema koje treba dodati shemi; ovo definira sve potrebne vrijednosti (kao što su cn, ldapDisplayName, itd.) koje ukazuju na ove nove objekte. Kada definirate vrijednosti atributa za objekt, također dobivate identifikator objekta od Microsofta ili drugog izvora. Gore navedene aktivnosti su dokumentovane kao poslovni zahtjevi i tehničke specifikacije. Štaviše, implementirano je eksperimentalno laboratorijsko okruženje koje simulira rad Active Directory-a i spremno je za testiranje.

Mnoge organizacije stvaraju posebne komitete da bi odobrile ili odbile takve promjene i uspostavile proces za njihovu implementaciju. Ove provjere i ravnoteže su kritične jer se Active Directory koristi kao pouzdan izvor informacija u mnogim organizacijama, što je važno održavati. u radnom stanju Jednom kada su promjene napravljene, ne može se pretjerivati.

Kada organizacija odluči da nastavi s projektom, moraju se definirati planovi za testiranje i implementaciju projekta. Možete proširiti svoju šemu dodavanjem novih objekata pomoću dodatka Active Directory Console Schema Microsoft menadžment(MMC) ili korištenjem programskih ili poluprogramskih metoda (na primjer, korištenjem LDIFDE za uvoz LDIF datoteka; korištenjem CSVDE-a za uvoz CSV fajlovi; ili korišćenjem skripti za ADSI interfejse).

Bez obzira na odabranu metodu, ova funkcija se mora izvršiti na serveru koji ima uloga FSMO(Fleksibilne pojedinačne master operacije) master sheme u šumi Active Directory ili je povezana s njom. osim toga, račun Korisnik koji se koristi za ažuriranje šeme zahtijeva dovoljna administrativna prava da izvrši ažuriranje, tako da mora biti uključen u grupu Administratori sheme. Konačno, morate omogućiti ažuriranja šeme za šumu (onemogućeno prema zadanim postavkama).

Osim ako promjena nije jednostavna, treba je izvršiti automatski kako bi se osigurala standardizacija između faza testiranja i implementacije i spriječile greške koje se mogu pojaviti pri ručnim koracima. Recimo da ste odlučili implementirati promjenu koristeći LDIFDE alat. Da biste instalirali ažuriranja prilikom proširenja sheme, morate dodati nove atribute i klase, dodati nove atribute klasama, a zatim pokrenuti ponovno učitavanje keša. Ispod su neki primjeri.

Dodavanje atributa

Radi ove rasprave, pretpostavimo da organizacija koja se zove Contoso treba da doda atribut u Active Directory koji identifikuje veličinu cipele svih zaposlenih. IN šuma Active Direktorij dva domena: contoso.com i zaposleni.contoso.com. Svi objekti kreirani korištenjem definicije korisničke klase također moraju sadržavati ovaj novi atribut.

Važno je zapamtiti da promjena šeme utječe na oba domena jer se nalaze u istoj šumi. Recimo da dobijete ID objekta 1.2.840.113556.8000.9999 od Microsofta, koji se dijeli na 1.2.840.113556.8000.9999.1 za classSchema objekt i 1.2.840.113556.9tosma's.2 atributa Sada morate definirati sve vrijednosti atributa za ovaj novi objekt, kao što je prikazano u pirinač. 3.

Definiranje atributa contosoEmpShoe

Dodatno, iako bi atribut contosoEmpShoe trebao biti dostupan svim objektima kreiranim kao objekti korisničke klase, ne preporučuje se mijenjanje definicije default korisničke klase. Umjesto toga, trebali biste definirati pomoćnu klasu contosoUser s njenim mayContain atributom postavljenim na contosoEmpShoe, kao što je prikazano u pirinač. 4. Zatim morate dodati atribute definirane za pomoćnu klasu contosoUser u klasu korisnika.

Definiranje klase contosoUser

Sada kada je analiza obavljena i vrijednosti određene, morate kreirati LDIF datoteku koja će izgledati nešto poput koda u pirinač. 5. Možete kopirati kod na pirinač. 5 u Notepad i sačuvajte datoteku kao contosoUser.ldif (uključeno u preuzimanje na technetmagazine.com).

LDIF fajl za ekstenziju šeme

#Definicija atributa za contosoEmpShoe dn: CN=contosoEmpShoe,CN=Shema,CN=Konfiguracija,DC=X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe attributeID: 1.2.840.119. 2.5.5 12 isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changeschetype: changeschey: changeschey: modify Classow: modifyUpma add: dn: CN=contosoUser,CN=Shema,CN=Konfiguracija uration,DC =X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governsID: 1.2.840.113556.1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttIDs: contosoEmpShoe rDNAttIDs: contosoEmpShoe rDNAttIDs: contosoEmpShoe rDNAttIDs: contosoUser governsID: cn lassCategory: 3 l DAPDisplayName: contosoUser name: contosoUser systemOnly: FALSE dn : changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=Korisnik,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: auxiliaryClass auxiliaryClass - ddn:tep changeUserma: contosop changeUserma schemaUpdateNow: 1

Nakon što kreirate LDIF datoteku, morate temeljito testirati svoju implementaciju u pilot laboratorijskom okruženju, provjeriti end-to-end domenu i replikaciju šume i omogućiti ažuriranja sheme u šumi. Sada se morate prijaviti koristeći račun koji ima prava administratora sheme. Možda ćete morati onemogućiti izlaznu replikaciju na glavnoj shemi (gdje će se izvršiti promjene) i pokrenuti sljedeću naredbu za uvoz LDIF datoteke:

Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=shema,CN=Konfiguracija,DC=X" #schemaNamingContext

Nakon što izvršite promjene, omogućite izlaznu replikaciju na masteru sheme i osigurajte da je replikacija dovršena za sve kontrolere domene.

Duboko udahnite - gotovi ste! Definirali ste novi atribut u šemi koji će biti pridružen objektima kreiranim pomoću korisničke klase (tj. korisničkih naloga).

Da biste testirali promjene, otvorite Active Directory Users and Computers, povežite se s domenom employee.contoso.com, odaberite organizacionu jedinicu korisnika i kreirajte novi korisnički nalog pod nazivom ContosoTestUser. Sada otvorite konzolu adsiedit.msc i povežite se na particiju domene dc=employees,dc=contoso,dc=com, proširite particiju Korisnici, kliknite desnim tasterom miša na ContosoTestUser, a zatim otvorite stranicu Svojstva. Pronađite atribut contosoEmpShoe. Možete promijeniti ovaj atribut da unesete vrijednost. Također možete koristiti uslužni program Ldp.exe za provjeru i promjenu atributa.

Pogledajmo sada primjer definiranja i povezivanja dva atributa i zamislimo da je kompanija Contoso veoma važna za veličinu obuće svojih zaposlenika i da treba da prati godišnju produktivnost stručnjaka koji mjere veličinu cipela zaposlenih u kompaniji. Iako ovo može izgledati smiješno, pretpostavimo i da Contoso mora pratiti ne samo ko je odgovoran za mjerenje veličina cipela zaposlenih, već i zaposlenike čije su veličine cipela izmjerene i njihov broj, sve upitom za jedan atribut. (Iako biste mogli pomisliti da bi tabele baze podataka bile prikladnije za pohranjivanje ove vrste podataka, ovdje je svrha jednostavno objasniti kako veze naprijed i nazad funkcionišu.)

Naravno, prvo ćete uraditi analizu sličnu onoj koju sam spomenuo u prethodnom primjeru. Međutim, krenimo sada i kreirajmo LDIF datoteke (linkids1.ldif i linkids2.ldif) kao što je prikazano u pirinač. 6. Zatim ćemo pokrenuti sljedeću naredbu za uvoz LDIF datoteka:

LDIF fajlovi veza za naprijed i nazad

#linkids1.ldif #Definicija atributa za atribut prosljeđivanja veze dn: CN=ContosoShoeSizeTaker,CN=Shema,CN=Konfiguracija,DC=X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker2 attributeID.139.901. .2. 2 ID veze: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax:issoplayName search: 64 systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Definicija atributa za atribut povratne veze dn: CN=ContosoShoeSizesTakenByMe,CN=Shema,CN=Konfiguracija,DC=X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoTakenBy61.atributs1. 1.8000.9 999.2 .3 ID veze: 1.2.840.113556.8000.9999.2.2 attributeSintaksa: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminSokenDescription:ContosoShoeSizesTakenByMe adminShoeSogsFogstooken: ContosoShoeSizesTakenByMe : 1 lDAPDisplay Name: ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - # Dodaj ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe atribut kao MayContain u #contosoUser klasi dn: CN= contosoUser,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosokerShoeShoen: ContosokerShoenShoe dn type: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Attribute as MayContain u Top dn: CN=Top,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe dn: changeschema: modify add: modifyUpmaUpNteNow ldifde – i –f \linkedids.ldif –b -k –j. –c "CN=shema,CN=Konfiguracija,DC=X" #schemaNamingContext

Sada kada kreirate korisnički objekt, on će također imati atribute ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe. Kada kreirate korisnički objekt za Johna, na primjer, atribut ContosoShoeSizeTaker se popunjava prepoznatljivim imenom osobe koja je mjerila veličinu cipele, Frank. Ako sada odete na svojstva Frankovog korisničkog objekta i postavite upit za atribut ContosoShoeSizesTakenByMe, rezultat će sadržavati prepoznatljivo ime Franka i ostalih čiju je veličinu cipele Frank mjerio. Kako bismo dovršili naš slučaj, uprava bi mogla nagraditi Franka na osnovu broja istaknutih imena koja postoje u atributu ContosoShoeSizesTakenByMe njegovog korisničkog računa.

Sistem provjere i ravnoteže

Kritično ažuriranje, kao što je promjena sheme, ne može se izvesti bez provjere usklađenosti s arhitektonskim zahtjevima. Ove provjere sigurnosti i konzistentnosti koristi Active Directory kako bi osigurao da promjene ne uzrokuju nedosljednosti ili druge probleme prilikom proširenja ili mijenjanja šeme Active Directory.

Prije svega, vrijednost governsID za svaku klasu mora biti jedinstvena u šemi. Prilikom definiranja schemaClass objekta, svi atributi definirani na listama systemMayContain, mayContain, systemMustContain i mustContain moraju već postojati. U isto vrijeme, sve klase definirane na listama subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors i possSuperiors također moraju već postojati.

Dodatno, atribut objectClassCategory svih klasa na listama systemAuxiliaryClass i auxiliaryClass mora biti klasa 88 ili pomoćna klasa. Isto tako, atribut objectClassCategory svih klasa na listama systemPossSuperiors i possSuperiors mora biti definiran kao klasa 88 ili strukturna klasa.

Kada se definišu različite klase, apstraktne klase mogu biti izvedene samo iz drugih apstraktnih klasa, pomoćne klase ne mogu biti izvedene iz strukturnih klasa, a strukturne klase ne mogu biti izvedene iz pomoćnih klasa. Dodatno, atribut naveden u rDNAttID mora biti nedvosmislen i imati Unicode sintaksu niza.

Ovo su neka od pravila koja se odnose na classSchema objekte. Što je s pravilima za objekte attributeSchema? Baš kao i governsID vrijednost za klase, vrijednost attributeID mora biti jedinstvena. Osim toga, mAPIID vrijednost (ako postoji) mora biti jedinstvena. Zatim, ako su prisutni rangeLower i rangeUpper, vrijednost rangeLower mora biti manja od vrijednosti rangeUpper. Vrijednosti attributeSyntax i oMSyntax moraju se podudarati. Ako je sintaksa atributa sintaksa objekta (oMSyntax =127), mora imati ispravnu oMObjectClass. LinkID, ako postoji, mora biti jedinstven. Dodatno, povratna veza mora imati odgovarajuću vezu naprijed.

Šta ako je došlo do greške?

Jednom kada se shema proširi i dodaju joj se novi objekti (klase i atributi), oni se ne mogu izbrisati. Međutim, klase i atributi se mogu onemogućiti postavljanjem isDefunct atributa objekta sheme na TRUE. Ne možete deaktivirati objekte sheme koji su dio zadane sheme koja dolazi s Active Directoryjem (objekti kategorije 1). Samo objekti dodani u zadanu šemu mogu se deaktivirati, tj. Objekti kategorije 2, i to tek nakon provjere da se klasa ne koristi na listama subClassOf, auxiliaryClass ili possSuperiors bilo koje postojeće efektivne klase.

Kada pokušate da onemogućite bilo koji atribut, Active Directory provjerava da li se koristi u mustContain i mayContain listama bilo koje postojeće važeće klase. Onemogućeni objekti se mogu ponovo omogućiti postavljanjem isDefunct atributa na FALSE. Ako Active Directory radi na nivou Windows Server 2003, možete ponovo koristiti ldapDisplayName, schemaIdGuid, OID i mapiID vrijednosti onemogućenih objekata.

Zaključak.

Kada dodate ili promijenite definicije klase ili atributa u shemi, također dodajete ili mijenjate odgovarajući objekt classSchema ili attributeSchema. Ovaj proces je sličan dodavanju ili mijenjanju bilo kojeg objekta u Active Directory, osim toga dodatne provjere da promjene ne uzrokuju nekonzistentnost i ne mogu uzrokovati probleme u krugu u budućnosti.

Iako promjena šeme Active Directory nije komplikovan proces, važno je razumjeti strukturu sheme i proces implementacije ovih promjena. Sve promjene u shemi Active Directory moraju biti pažljivo planirane i vrlo pažljivo sprovedene. Važno je definisati poslovne zahtjeve i tehničke specifikacije za nove objekte i izvršiti sveobuhvatna ispitivanja. Budući da promjene mogu imati značajan utjecaj, preporučuje se proširenje Active Directory sheme samo kada je to apsolutno neophodno.

Usluga imenika se koristi za identifikaciju korisnika i resursa na mreži. U poređenju sa prethodnim verzijama Windows-a Microsoft Windows U 2003. godini, mogućnosti Active Directory su značajno proširene. Active Directory pruža jedinstveno iskustvo upravljanja mrežom koje olakšava dodavanje, uklanjanje i premještanje korisnika i resursa.

Predstavljamo Active Directory

Alati Active Directory vam omogućavaju da dizajnirate strukturu direktorija koja odgovara vašoj organizaciji. U ovoj lekciji ćete se upoznati sa upotrebom Active Directory objekata i svrhom njegovih komponenti.

Nakon proučavanja materijala u ovoj lekciji, moći ćete:

objasni svrhu Active Directory objekata i atributa sheme;

Definirajte i opišite funkcije komponenti Active Directory.

Objekti Active Directory

Kao i sve usluge koje informacije čine dostupnim i korisnim, Active Directory pohranjuje informacije o mrežni resursi. Ovi resursi, kao što su korisnički podaci, opisi štampača, servera, baza podataka, grupa, računara i bezbednosnih politika, nazivaju se objekti.

Objekt je jedan imenovani skup atributa koji predstavljaju mrežni resurs. Atributi objekta su njegove karakteristike u direktoriju. Na primjer, atributi korisničkog naloga mogu uključivati ​​ime i prezime, odjeljenje i adresu e-pošte (Slika 2-1).

U aktivnom Objekti direktorija mogu se organizovati u klase, odnosno u logičke grupe. Primjer klase je kolekcija objekata koji predstavljaju korisničke naloge, grupe, računare, domene ili organizacione jedinice (OU).

Napomena Objekti koji mogu sadržavati druge objekte nazivaju se kontejneri. Na primjer, domena je objekt kontejner koji može sadržavati korisnike, računare i druge objekte.

Koji se objekti mogu pohraniti u Active Directory određuje njegova šema.

ŠemaAktivanImenik

Shema Active Directory je lista definicija koje definiraju tipove objekata koji se mogu pohraniti u Active Directory i tipove informacija o njima. Ove definicije su također pohranjene kao objekti, tako da Active Directory upravlja njima koristeći iste operacije koje se koriste za druge objekte u Active Directoryju.

Postoje dvije vrste definicija u šemi: atributi i klase. Nazivaju se i objekti šeme ili metapodaci.

Atributi se definiraju odvojeno od klasa. Svaki atribut je definiran samo jednom i može se koristiti u više klasa. Na primjer, atribut Description se koristi u mnogim klasama, ali je definiran samo jednom u šemi, što osigurava njen integritet.

Klase, koje se nazivaju i klase objekata, opisuju koji se objekti Active Directory mogu kreirati. Svaka klasa je zbirka atributa. Kada se objekt kreira, atributi pohranjuju informacije koje ga opisuju. Na primjer, atributi klase User uključuju mrežnu adresu, kućni imenik itd. Svaki objekt u Active Directory je instanca klase objekata.

Windows 2000 Server ima ugrađeni skup osnovnih klasa i atributa. Definiranjem novih klasa i novih atributa za postojeće klase, iskusni programeri i mrežni administratori mogu dinamički proširiti shemu. Na primjer, ako trebate pohraniti informacije o korisnicima koje nisu definirane u shemi, možete proširiti shemu za klasu Korisnici. Međutim, takvo proširenje sheme je prilično složena operacija s mogućim ozbiljnim posljedicama. Budući da se shema ne može izbrisati, već samo deaktivirati i automatski se replicira, morate pripremiti i planirati njeno proširenje.

Dijagram uključuje formalni opis sadržaja i strukture baze podataka Podaci aktivni Imenik. Posebno ukazuje na sva svojstva objekata i njihovih klasa. Za svaku klasu objekata definisana su sva moguća svojstva, Dodatne opcije, kao i koja klasa objekata je i može biti predak trenutne klase.

Instaliranje Active Directory, standardna shema se kreira na prvom kontroleru domene koja sadrži opis najčešće korištenih objekata i svojstava objekata. Pored toga, dijagram pruža opis internih objekata i svojstava Active Directory.

Shema je proširiva, dakle Administrator sistema može kreirati nove tipove objekata i njihova svojstva, dodati nova svojstva za one objekte koji već postoje. Shema je implementirana i pohranjena s Active Directory u globalnom katalogu. Ažurira se automatski, tako da posebno kreirana aplikacija može samostalno dodavati nova svojstva i klase.
Proširenje standardne šeme nije lako. Neispravna promjena šeme može poremetiti i poslužitelj i cijeli servis direktorija. Za rješavanje ovog problema potrebno vam je potrebno iskustvo i znanje. Dakle, prije svega morate znati pravila imenovanja.

Pravila imenovanja

Svaki Active Directory objekt ima određeno ime. Za identifikaciju objekata u Active Directory, oni se koriste razne šeme imenovanje, odnosno:

Imena složenica (DN);
-relativna složena imena (RDN);
-globalno jedinstveni identifikatori (GUID);
- Primarna imena korisnika (UPN).

Svaki Active Directory objekt ima složeni naziv. Ime je identifikator objekta i sadrži podatke dovoljne za lociranje objekta u direktoriju. Kvalificirano ime uključuje ime domene koja sadrži objekt i punu putanju do njega. Na primjer, korisničko ime Andrew Kushnir u domeni server.com može izgledati ovako:
DC=COM/DC=SERVER/CN=Korisnici/CK=Andrew Kushnir

Ako je puno kvalificirano ime objekta nepoznato ili promijenjeno, objekt možete pronaći po njegovim svojstvima, od kojih je jedno relativno kvalificirano ime (dio kvalificiranog imena). U prethodnom primjeru, relativno kvalificirano ime za Andrew Kushnir objekt bi bilo CK=Andrew Kushnir, a za roditeljski objekt bi bilo CN=Usere.

Osim kvalificiranog imena, svaki Active Directory objekt ima globalno jedinstveni identifikator (GUID), što je 128-bitni broj. ID se ne mijenja čak ni nakon premještanja ili preimenovanja objekta. Globalno jedinstveni identifikator je jedinstven za sve domene, uključujući i kada se objekt premješta s jedne domene na drugu domenu.
Najlakši način za pamćenje je korisničko ime (UPN). Primarno ime se sastoji od skraćenog imena korisnika plus DNS imena domene na kojoj se objekt nalazi. Format primarnog korisničkog imena je sljedeći:

Korisničko ime, znak sufiksa DNS domene

Na primjer, glavno korisničko ime je Andrew Kushnir u domeni servera. soja bi mogla izgledati [email protected]. Primarno ime korisnika je nezavisno od njegovog zadnjeg imena, tako da se korisnički objekt može premjestiti ili preimenovati bez potrebe za promjenom korisničkog imena za prijavu na domenu.