نسخه طرحواره Active Directory. طرح اکتیو دایرکتوری چیست؟

طرحواره در AD DS به مجموعه ای از تعاریف برای همه انواع شی و ویژگی های مرتبط در کاتالوگ اشاره دارد. این طرحی است که روشی را تعریف می کند که AD DS داده های مربوط به همه کاربران، رایانه ها و سایر اشیاء را ذخیره و پیکربندی می کند تا ظاهری ثابت در سراسر ساختار AD DS داشته باشد. با استفاده از فهرست‌های کنترل دسترسی اختیاری (DACL) محافظت می‌شود و مسئول ارائه ویژگی‌های ممکن برای هر شی در AD DS است. در اصل، طرح واره تعریف اساسی خود دایرکتوری است و پایه و اساس عملکرد محیط دامنه است. هنگام واگذاری کنترل طرحواره به گروه منتخبی از مدیران باید بسیار احتیاط کرد زیرا تغییرات در طرح بر کل محیط AD DS تأثیر می گذارد.

اشیاء طرحواره

مواردی که در ساختار AD DS ذخیره می شوند، مانند کاربران، چاپگرها، رایانه ها و سایت ها، اشیاء درون طرحی نامیده می شوند. هر یک از این شیء فهرستی از ویژگی های خاص خود را دارد که مشخصه های آن را تعیین می کند و می توان از آن برای یافتن آن استفاده کرد.

گسترش طرحواره

یکی از مزایای اصلی طراحی AD DS امکان تغییر و گسترش مستقیم طرحواره برای گنجاندن ویژگی های خاص است. معمولاً گسترش مجموعه ویژگی ها در هنگام نصب Microsoft Exchange Server اتفاق می افتد که در آن طرحواره به گونه ای گسترش می یابد که اندازه آن تقریباً دو برابر می شود. ارتقاء از Windows Server 2003 یا Windows Server 2008 AD به Windows Server 2008 R2 AD DS همچنین این طرح را گسترش می دهد تا ویژگی هایی را که مختص Windows Server 2008 R2 هستند در بر گیرد. بسیاری از محصولات شخص ثالث همچنین پسوندهای طرحواره ای را ارائه می دهند که آنها را قادر می سازد انواع اطلاعات کاتالوگ خود را نمایش دهند.

این طرح شامل یک توضیح رسمی از محتوا و ساختار پایگاه داده اکتیو دایرکتوری است. به طور خاص، تمام خصوصیات اشیاء و کلاس های آنها را فهرست می کند. برای هر کلاس از اشیاء، تمام خصوصیات ممکن، پارامترهای اضافی و همچنین اینکه چه کلاسی از اشیاء اجداد کلاس فعلی است و می تواند باشد، تعریف شده است.

نصب اکتیو دایرکتوری، یک طرحواره استاندارد بر روی اولین کنترل کننده دامنه ایجاد می شود که شامل توصیفی از رایج ترین اشیاء و ویژگی های شیء است. علاوه بر این، نمودار شرحی از اشیاء داخلی و خصوصیات Active Directory را ارائه می دهد.

این طرح قابل توسعه است، بنابراین مدیر سیستم می تواند انواع جدیدی از اشیاء و ویژگی های آنها را ایجاد کند، و برای آن اشیایی که از قبل وجود دارند، ویژگی های جدیدی اضافه کند. این طرح همراه با Active Directory در کاتالوگ جهانی جاسازی و ذخیره می شود. به طور خودکار به روز می شود، به طوری که یک برنامه خاص ایجاد شده می تواند به طور مستقل ویژگی ها و کلاس های جدیدی را به آن اضافه کند.
گسترش یک طرحواره استاندارد آسان نیست. تغییر نادرست طرحواره می تواند سرور و کل سرویس دایرکتوری را مختل کند. برای حل این مشکل باید تجربه و دانش لازم را داشت. بنابراین، اول از همه، شما باید قوانین نامگذاری را بدانید.

قوانین نامگذاری

هر شی اکتیو دایرکتوری یک نام خاص دارد. طرح‌های نام‌گذاری مختلفی برای شناسایی اشیاء در اکتیو دایرکتوری استفاده می‌شود، یعنی:

نام های برجسته (DN)
نام‌های متمایز نسبی (RDN)
شناسه های منحصر به فرد جهانی (GUID)؛
- نام های کاربری اصلی (UPN).

هر شی اکتیو دایرکتوری دارای نام مرکب... نام یک شناسه برای شی است و حاوی داده های کافی برای مکان یابی شی در فهرست است. نام متمایز شامل نام دامنه ای است که شامل شی و مسیر کامل آن است. برای مثال، نام کاربری ترکیبی Andrew Kushnir در دامنه server.com ممکن است به شکل زیر باشد:
DC = COM / DC = SERVER / CN = کاربران / CK = اندرو کوشنیر

اگر نام کاملاً واجد شرایط یک شی ناشناخته یا تغییر یافته باشد، می‌توانید آن شی را با ویژگی‌های آن پیدا کنید که یکی از آنها نام متمایز نسبی (بخشی از نام متمایز) است. در مثال قبلی، نام متمایز نسبی برای شی Andrew Kushnir CK = Andrew Kushnir و برای شی والد، CN = Usere خواهد بود.

علاوه بر نام متمایز، هر اکتیو دایرکتوری شی دارای یک شناسه منحصربفرد جهانی (GUID)که یک عدد 128 بیتی است. شناسه حتی پس از جابجایی یا تغییر نام شی تغییر نمی کند. یک شناسه منحصربه‌فرد جهانی در همه دامنه‌ها منحصربه‌فرد است، از جمله زمانی که یک شی از یک دامنه به دامنه دیگر منتقل می‌شود.
ساده ترین راه برای به خاطر سپردن نام اصلی کاربر (UPN) است. نام پایه شامل نام کاربری کوتاه شده به اضافه نام DNS دامنه ای است که شی در آن قرار دارد. فرمت نام اصلی کاربر به شرح زیر است:

نام کاربری، کاراکتر پسوند دامنه DNS

به عنوان مثال، نام کاربری اصلی Andrew Kushnir در سرور است. دانه های سویا می تواند شبیه باشد [ایمیل محافظت شده]نام اصلی کاربر مستقل از نام متمایز کاربر است، بنابراین شی کاربر را می توان بدون نیاز به تغییر نام ورود کاربر در دامنه، جابجا کرد یا تغییر نام داد.

همانطور که می دانید، هیچ چیز ابدی نیست، همه چیز تغییر می کند، به خصوص در صنعتی مانند IT. پس از استقرار، زیرساخت به طور مداوم در حال تکامل، گسترش، بهبود است، و زمانی فرا می رسد که باید یک کنترل کننده دامنه که نسخه بعدی سیستم عامل را اجرا می کند به Active Directory خود اضافه کنید.

به نظر می رسد - مشکل چیست؟ اما، همانطور که تمرین نشان می دهد، مشکلات از بسیاری جهات ناشی از این واقعیت است که مدیران سیستم دانش کمی از نظریه دارند و صراحتاً در این مورد سردرگم هستند. بنابراین، وقت آن است که بفهمیم چیست طرحواره ADو اینکه چگونه به پرونده ما مربوط می شود.

طرحواره ADتوصیفی از تمام اشیاء کاتالوگ و ویژگی های آنهاست. در اصل، طرح واره ساختار اصلی دایرکتوری را منعکس می کند و برای عملکرد مناسب آن از اهمیت بالایی برخوردار است.

نسخه‌های جدیدتر سیستم‌عامل حاوی اشیاء و ویژگی‌های جدیدی هستند، بنابراین برای اینکه به‌عنوان کنترل‌کننده دامنه به درستی عمل کنند، باید طرحواره را به‌روزرسانی کنیم.

به نظر می رسد قابل درک است، اما نه به طور کامل، پس بیایید به اشتباهات رایج و باورهای غلط بپردازیم.

• برای گنجاندن رایانه‌های شخصی که نسخه‌های جدیدتر ویندوز را اجرا می‌کنند، به‌روزرسانی طرح مورد نیاز است. اینطور نیست، حتی جدیدترین نسخه‌های ویندوز می‌توانند با موفقیت در دامنه ویندوز 2000 بدون به‌روزرسانی طرح اجرا شوند. اگرچه، اگر شما طرحواره را به روز کنید، هیچ چیز وحشتناکی اتفاق نخواهد افتاد.

• برای پیوستن به یک کنترل کننده دامنه که یک سیستم عامل جدیدتر را اجرا می کند، باید سطح عملکردی دامنه (جنگل) را بالا ببرید. این نیز چنین نیست، اما بر خلاف مورد قبلی، این عملیات استفاده از کنترل‌کننده‌های دامنه را که سیستم‌عاملی پایین‌تر از حالت عملکرد آن را اجرا می‌کنند، غیرممکن می‌سازد. بنابراین، در صورت بروز خطا، باید ساختار AD خود را از یک نسخه پشتیبان بازیابی کنید.

ما همچنین توجه شما را بر روی سطح عملکرد جنگل و دامنه متمرکز خواهیم کرد. دامنه های موجود در جنگل می توانند حالت های عملیاتی مختلفی داشته باشند، به عنوان مثال یکی از دامنه ها می تواند در حالت ویندوز 2008 و بقیه در حالت ویندوز 2003 کار کنند. نمودار عملکردی جنگل نمی تواند بالاتر از نمودار عملیاتی قدیمی ترین دامنه باشد. در مثال ما، سطح عملکرد جنگل نمی تواند بالاتر از ویندوز 2003 باشد.

با این حال، سطح عملکردی جنگل پایین به هیچ وجه مانع از استفاده از سطح عملکردی دامنه بالاتر نمی‌شود؛ تنها چیزی که برای این کار لازم است، به‌روزرسانی طرحواره است.

پس از آشنایی با نظریه، اجازه دهید به یک مثال عملی برویم. فرض کنید یک دامنه سطح ویندوز 2000 (حالت مختلط) - پایین ترین سطح AD - داریم که در آن یک کنترلر داریم که ویندوز 2003 را اجرا می کند، و هدف ما ایجاد یک کنترلر جدید برای جایگزینی کنترلر شکست خورده است.

سرور جدید ویندوز 2008 R2 را اجرا می کند. لطفاً توجه داشته باشید که ما هیچ مشکلی در ادغام این سرور در یک دامنه موجود نداشتیم.

با این حال، زمانی که می‌خواهیم یک کنترل‌کننده دامنه جدید اضافه کنیم، با یک خطا مواجه می‌شویم:

برای فعال کردن موفقیت‌آمیز کنترل‌کننده‌ای که یک نسخه سیستم‌عامل جدیدتر را اجرا می‌کند، باید طرح جنگل و طرح دامنه را به‌روزرسانی کنیم. استثنا ویندوز سرور 2012 است که با اضافه شدن یک کنترلر دامنه جدید، طرح را به طور خودکار به روز می کند.

برای به روز رسانی طرحواره، از ابزار Adprep استفاده می شود که در پوشه قرار دارد \ پشتیبانی \ adprepروی دیسک نصب ویندوز سرور با شروع ویندوز سرور 2008 R2، این ابزار به طور پیش فرض 64 بیتی است، اگر نیاز به استفاده از نسخه 32 بیتی دارید، باید آن را اجرا کنید. adprep32.exe.

برای به روز رسانی طرح جنگل، این ابزار باید در اجرا شود استاد طرحواره، و برای به روز رسانی طرح دامنه به مالک زیرساخت... برای اینکه بفهمیم کدام یک از کنترلرها دارای نقش های FSMO هستند، از دستور استفاده کنید:

پرس و جوی Netdom FSMO

در ویندوز 2008 و جدیدتر، این ابزار به طور پیش فرض نصب شده است و در ویندوز 2003 باید از روی دیسک از پوشه نصب شود. \ پشتیبانی \ ابزار

خروجی این دستور تمام نقش‌ها و کنترل‌کننده‌های FSMO را که دارای این نقش‌ها هستند فهرست می‌کند:

در مورد ما، همه نقش ها روی یک کنترلر هستند، بنابراین پوشه را کپی کنید \ پشتیبانی \ adprepبه هارد دیسک (در مورد ما، به ریشه درایو C :) و به روز رسانی طرح جنگل ادامه دهید. برای تکمیل موفقیت آمیز عملیات، حساب شما باید عضو گروه های زیر باشد:

• مدیران طرحواره
• مدیران سازمانی
• مدیران دامنه ای که استاد طرحواره در آن قرار دارد

برای به روز رسانی طرح جنگل دستور زیر را اجرا کنید:

ج: \ adprep \ adprep / forestprep

هشدار استاندارد را بخوانید و با کلیک کردن ادامه دهید سی، سپس وارد.

فرآیند به روز رسانی طرحواره آغاز می شود. همانطور که می بینید، نسخه آن از 30 (ویندوز 2003) به 47 (ویندوز 2008 R2) تغییر خواهد کرد.

پس از ارتقای طرح جنگل، باید طرح دامنه را ارتقا دهید. قبل از انجام این کار، باید مطمئن شوید که دامنه حداقل در حالت ویندوز 2000 (حالت بومی) اجرا می شود. همانطور که به یاد دارید، دامنه ما در حالت مختلط کار می کند، بنابراین باید سطح عملکرد دامنه را به اصلی تغییر دهیم یا آن را به ویندوز 2003 برسانیم. از آنجایی که ما کنترل کننده هایی در این دامنه نداریم که ویندوز 2000 را اجرا می کنند، منطقی تر است که حالت دامنه را بالا ببرید.

برای به روز رسانی موفقیت آمیز طرح دامنه، این عملیات باید در انجام شود مالک زیرساختو حقوق دارند مدیر دامنه... دستور را اجرا می کنیم:

ج: \ adprep \ adprep / domainprep

و اطلاعات نمایش داده شده را با دقت مطالعه می کنیم. هنگام ارتقاء طرح دامنه از ویندوز 2000 یا ویندوز 2003، باید مجوزهای سیستم فایل را برای Group Policy تغییر دهید. این عملیات یک بار انجام می شود و در آینده، به عنوان مثال، هنگام به روز رسانی طرحواره از 2008 به 2008 R2، باید آن را انجام دهید. برای به روز رسانی مجوزهای GPO ها، دستور زیر را وارد کنید:

ج: \ adprep \ adprep / domainprep / gpprep

در نسخه‌های AD، با شروع ویندوز 2008، نوع جدیدی از کنترل‌کننده دامنه وجود دارد: کنترل‌کننده دامنه فقط خواندنی (RODC)، اگر قصد دارید چنین کنترل‌کننده‌ای را مستقر کنید، باید طرح واره را آماده کنید. به طور کلی توصیه می کنیم این عمل را صرف نظر از اینکه در آینده نزدیک قصد نصب RODC را دارید یا خیر، انجام دهید.

این عملیات را می توان بر روی هر کنترل کننده دامنه انجام داد، اما شما باید عضو گروه باشید مدیران سازمانیو نامگذاری استادو استاد زیرساختباید در دسترس باشد.

ج: \ adprep \ adprep / rodcprep

همانطور که می بینید، به روز رسانی طرح دامنه، در صورت برنامه ریزی صحیح، مشکلی ایجاد نمی کند، با این حال، در هر صورت، باید به یاد داشته باشید که این یک عملیات غیرقابل برگشت است و بک آپ های لازم را در اختیار داشته باشید.
منبع http://interface31.ru/tech_it/2013/05/obnovlenie-shemy-active-directory.html

همانطور که می دانید، هیچ چیز ابدی نیست، همه چیز تغییر می کند، به خصوص در صنعتی مانند IT. پس از استقرار، زیرساخت به طور مداوم در حال تکامل، گسترش، بهبود است، و زمانی فرا می رسد که باید یک کنترل کننده دامنه که نسخه بعدی سیستم عامل را اجرا می کند به Active Directory خود اضافه کنید.

به نظر می رسد - مشکل چیست؟ اما، همانطور که تمرین نشان می دهد، مشکلات از بسیاری جهات ناشی از این واقعیت است که مدیران سیستم دانش کمی از نظریه دارند و صراحتاً در این مورد سردرگم هستند. بنابراین، وقت آن است که بفهمیم چیست طرحواره ADو اینکه چگونه به پرونده ما مربوط می شود.

طرحواره ADتوصیفی از تمام اشیاء کاتالوگ و ویژگی های آنهاست. در اصل، طرح واره ساختار اصلی دایرکتوری را منعکس می کند و برای عملکرد مناسب آن از اهمیت بالایی برخوردار است.

نسخه‌های جدیدتر سیستم‌عامل حاوی اشیاء و ویژگی‌های جدیدی هستند، بنابراین برای اینکه به‌عنوان کنترل‌کننده دامنه به درستی عمل کنند، باید طرحواره را به‌روزرسانی کنیم.

به نظر می رسد قابل درک است، اما نه به طور کامل، پس بیایید به اشتباهات رایج و باورهای غلط بپردازیم.

• برای گنجاندن رایانه‌های شخصی که نسخه‌های جدیدتر ویندوز را اجرا می‌کنند، به‌روزرسانی طرح مورد نیاز است. اینطور نیست، حتی جدیدترین نسخه‌های ویندوز می‌توانند با موفقیت در دامنه سطح Windows 2000 بدون به‌روزرسانی طرحواره اجرا شوند. اگرچه، اگر شما طرحواره را به روز کنید، هیچ چیز وحشتناکی اتفاق نخواهد افتاد.

• برای پیوستن به یک کنترل کننده دامنه که یک سیستم عامل جدیدتر را اجرا می کند، باید سطح عملکردی دامنه (جنگل) را بالا ببرید. این نیز چنین نیست، اما بر خلاف مورد قبلی، این عملیات استفاده از کنترل‌کننده‌های دامنه را که سیستم‌عاملی پایین‌تر از حالت عملکرد آن را اجرا می‌کنند، غیرممکن می‌سازد. بنابراین، در صورت بروز خطا، باید ساختار AD خود را از یک نسخه پشتیبان بازیابی کنید.

ما همچنین توجه شما را بر روی سطح عملکرد جنگل و دامنه متمرکز خواهیم کرد. دامنه های موجود در جنگل می توانند حالت های عملیاتی مختلفی داشته باشند، به عنوان مثال یکی از دامنه ها می تواند در حالت ویندوز 2008 و بقیه در حالت ویندوز 2003 کار کنند. نمودار عملکردی جنگل نمی تواند بالاتر از نمودار عملیاتی قدیمی ترین دامنه باشد. در مثال ما، سطح عملکرد جنگل نمی تواند بالاتر از ویندوز 2003 باشد.

با این حال، سطح عملکردی جنگل پایین به هیچ وجه مانع از استفاده از سطح عملکردی دامنه بالاتر نمی‌شود؛ تنها چیزی که برای این کار لازم است، به‌روزرسانی طرحواره است.

پس از آشنایی با نظریه، اجازه دهید به یک مثال عملی برویم. فرض کنید یک دامنه ویندوز 2000 (مخلوط) داریم - پایین ترین سطح AD - که در آن یک کنترلر داریم که ویندوز 2003 را اجرا می کند، و هدف ما ایجاد یک کنترلر جدید برای جایگزینی کنترلر ناموفق است.

سرور جدید ویندوز 2008 R2 را اجرا می کند. لطفاً توجه داشته باشید که ما هیچ مشکلی در ادغام این سرور در یک دامنه موجود نداشتیم.

در مورد ما، همه نقش ها روی یک کنترلر هستند، بنابراین پوشه را کپی کنید \ پشتیبانی \ adprepبه هارد دیسک (در مورد ما، به ریشه درایو C :) و به روز رسانی طرح جنگل ادامه دهید. برای تکمیل موفقیت آمیز عملیات، حساب شما باید عضو گروه های زیر باشد:

• مدیران طرحواره
• مدیران سازمانی
• مدیران دامنه ای که استاد طرحواره در آن قرار دارد

برای به روز رسانی طرح جنگل دستور زیر را اجرا کنید:

ج: \ adprep \ adprep / forestprep

هشدار استاندارد را بخوانید و با کلیک کردن ادامه دهید سی، سپس وارد.

فرآیند به روز رسانی طرحواره آغاز می شود. همانطور که می بینید، نسخه آن از 30 (ویندوز 2003) به 47 (ویندوز 2008 R2) تغییر خواهد کرد.

پس از ارتقای طرح جنگل، باید طرح دامنه را ارتقا دهید. قبل از انجام این کار، باید مطمئن شوید که دامنه حداقل در حالت ویندوز 2000 (حالت بومی) اجرا می شود. همانطور که به یاد دارید، دامنه ما در حالت مختلط کار می کند، بنابراین باید سطح عملکرد دامنه را به اصلی تغییر دهیم یا آن را به ویندوز 2003 برسانیم. از آنجایی که ما کنترل کننده هایی در این دامنه نداریم که ویندوز 2000 را اجرا می کنند، منطقی تر است که حالت دامنه را بالا ببرید.

برای به روز رسانی موفقیت آمیز طرح دامنه، این عملیات باید در انجام شود مالک زیرساختو حقوق دارند مدیر دامنه... دستور را اجرا می کنیم:

ج: \ adprep \ adprep / domainprep

و اطلاعات نمایش داده شده را با دقت مطالعه می کنیم. هنگام ارتقاء طرح دامنه از ویندوز 2000 یا ویندوز 2003، باید مجوزهای سیستم فایل را برای Group Policy تغییر دهید. این عملیات یک بار انجام می شود و در آینده مثلاً هنگام به روز رسانی طرحواره از 2008 تا 2008 R2 باید انجام شود. برای به روز رسانی مجوزهای GPO ها، دستور زیر را وارد کنید:

ج: \ adprep \ adprep / domainprep / gpprep

در نسخه‌های AD، با شروع ویندوز 2008، نوع جدیدی از کنترل‌کننده دامنه وجود دارد: کنترل‌کننده دامنه فقط خواندنی (RODC)، اگر قصد دارید چنین کنترل‌کننده‌ای را مستقر کنید، باید طرح واره را آماده کنید. به طور کلی توصیه می کنیم بدون توجه به اینکه در آینده نزدیک قصد نصب RODC را دارید یا خیر این عمل را انجام دهید.

این عملیات را می توان بر روی هر کنترل کننده دامنه انجام داد، اما شما باید عضو گروه باشید مدیران سازمانیو نامگذاری استادو استاد زیرساختباید در دسترس باشد.

ج: \ adprep \ adprep / rodcprep

همانطور که می بینید، به روز رسانی طرح دامنه، در صورت برنامه ریزی صحیح، مشکلی ایجاد نمی کند، با این حال، در هر صورت، باید به یاد داشته باشید که این یک عملیات غیرقابل برگشت است و بک آپ های لازم را در اختیار داشته باشید.

از زمان انتشار اکتیو دایرکتوری با ویندوز 2000، مایکروسافت برای پیاده‌سازی اکتیو دایرکتوری، یک طرح اساسی برای کاربران ارائه کرده است.

انتشار Active Directory® همچنین تغییری را در نحوه نوشتن و پیاده سازی بسیاری از برنامه ها در Windows® نشان داد. پیش از این، برنامه هایی مانند Microsoft® Exchange 5.5 با ساختار فهرست راهنمای خود ساخته می شدند. از زمان ظهور اکتیو دایرکتوری، بسیاری از برنامه‌های کاربردی (از مایکروسافت و دیگران) به جای ایجاد طرحواره‌های خود از ابتدا، از ساختار زیربنایی ارائه شده استفاده کرده‌اند.

در ابتدا، معماری زیربنایی ارائه شده توسط Active Directory مورد استفاده قرار گرفت و سپس در صورت نیاز گسترش یافت. به عنوان مثال، در Microsoft Exchange 2000، Active Directory برای پیاده سازی سیستم های پیام رسانی استفاده شد و بدین ترتیب آینده معماری پیام رسانی مایکروسافت را مشخص کرد.

امروزه، بسیاری از برنامه‌های کاربردی که برای اجرا در یک محیط اکتیو دایرکتوری ساخته شده‌اند، به طرح اولیه آن متکی هستند و بسیاری از برنامه‌ها نیز در صورت نیاز تغییرات طرح‌واره خود را تعریف می‌کنند. برای این، البته، یک طرح توسعه پذیر مورد نیاز است که در این مقاله مورد بحث قرار خواهد گرفت. علاوه بر این، از آنجایی که بسیاری از برنامه‌ها به تعاریف زیربنایی در اکتیو دایرکتوری متکی هستند، پایداری مداوم طرحواره اساسی بسیار مهم است. از آنجایی که بسیاری از برنامه ها باید در یک اکتیو دایرکتوری با هم کار کنند، تغییرات در یک برنامه نباید روی برنامه های دیگر تأثیر بگذارد.

طرحواره چیست؟

برای بسیاری، طرح اکتیو دایرکتوری مانند یک جعبه سیاه است، و ایده تغییر طرح خود می تواند برای آنها ترسناک باشد. البته، نیازی به گسترش طرح اکتیو دایرکتوری نیست که هر روز انجام شود، اما برخی از برنامه ها یا شرکت ها این کار را انجام می دهند. بنابراین، درک ماهیت طرحواره و ترکیب آن بسیار مهم است، زیرا اکتیو دایرکتوری یک دارایی مهم در بسیاری از سازمان ها است و اختلال در عملکرد آن به دلیل به روز رسانی نادرست می تواند عواقب جدی داشته باشد.

به عنوان یک استراتژی، بسیاری از سازمان ها از Active Directory Lightweight Directory Services (ADLDS) در Windows Server® 2008 (یا Active Directory Application Mode (ADAM) در Windows Server 2003) به عنوان جایگزینی برای آزمایش یا اجرای مستقیم تعاریف طرحواره سفارشی استفاده می کنند. طرحواره فعال. دایرکتوری.

طرحواره یک ساختار اساسی است که قالبی را برای یک سرویس دایرکتوری ارائه می کند. طرح اکتیو دایرکتوری ویژگی ها و کلاس های شی مورد استفاده در خدمات دامنه دایرکتوری فعال (ADDS) را تعریف می کند. طرح اصلی شامل تعاریف بسیاری از کلاس های شناخته شده (مانند کاربر، کامپیوتر و سازمانی) و ویژگی ها (مانند شماره تلفن و شیء SID) است. اشیا در تعریف طرحواره اصلی اشیاء دسته 1 و اشیاء اضافه شده اشیاء دسته 2 نامیده می شوند.

طرح اکتیو دایرکتوری در محفظه ای قرار دارد که با مسیر cn = Schema، cn = پیکربندی، dc = X تعریف شده است، جایی که X فضای نام جنگل اکتیو دایرکتوری است. توجه داشته باشید که جنگل اکتیو دایرکتوری فقط شامل یک طرح است. تغییرات در تعریف طرحواره در یک جنگل بر همه دامنه‌های آن جنگل تأثیر می‌گذارد. در برنج. یکیتعداد کلاس ها و ویژگی های اضافه شده به طرح اکتیو دایرکتوری در نسخه های مختلف ویندوز سرور را نشان می دهد.

تعداد کلاس ها و ویژگی ها

این طرح برای نسخه های مختلف ویندوز سرور با استفاده از ابزار Adprep به روز می شود. هنگامی که به ویندوز سرور 2003 R2 ارتقا می دهید، نسخه طرحواره به 31 ارتقا می یابد و هنگامی که به ویندوز سرور 2008 ارتقا می دهید، به 44 ارتقا می یابد.

می توانید با بررسی مقدار ویژگی objectVersion در زیر cn = Schema، cn = پیکربندی، dc = X در اکتیو دایرکتوری با استفاده از ابزاری مانند ADSIEdit، شماره نسخه را پیدا کنید. توجه داشته باشید که برخی از برنامه‌ها مانند Exchange Server، System Management Server (SMS) و سایر برنامه‌هایی که به Active Directory متکی هستند، ممکن است این طرح را مطابق با نیازهای برنامه تغییر دهند.

اجزای اساسی

اکتیو دایرکتوری از دو نوع شی تشکیل شده است: classSchema (به اختصار کلاس) و ویژگیSchema (به اختصار ویژگی). به طور معمول، توسعه طرح اکتیو دایرکتوری زمانی در نظر گرفته می شود که یک سازمان نیاز دارد داده ها را در ویژگی های خاصی ذخیره کند که در طرح موجود موجود نیستند. یک ویژگی در طرح Directory با مشخص کردن یک شی featuresSchema در ظرف طرح و سپس تعریف ویژگی های مورد نیاز برای شی جدید ایجاد می شود.

برای لیستی از ویژگی ها و اطلاعات شیء attributeSchema، به go.microsoft.com/fwlink/?LinkId=110445 مراجعه کنید. همانطور که می بینید، می توانید تعداد زیادی ویژگی برای اشیاء ویژگیSchema تعریف کنید که برخی از آنها مورد نیاز است.

علاوه بر ویژگی‌های معمول، طرحواره دارای ویژگی‌های ویژه‌ای است که پیوند داده می‌شوند و با تعیین پیوندهای جلو و عقب به صورت جفتی پیاده‌سازی می‌شوند. به عنوان مثال عضویت گروهی در اکتیو دایرکتوری را در نظر بگیرید. ویژگی عضویت هر گروه (به عنوان مثال، گروه ContosoEmployees با عضو John Doe) یک پیوند رو به جلو است، و ویژگی MemberOf متناظر شی عضو یک پیوند به عقب است (به طوری که نام متمایز (DN) گروه ContosoEmployees است. زمانی محاسبه می شود که ویژگی MemberOf جان دو مورد پرسش قرار گیرد).

پیوند فوروارد مانند هر ویژگی دیگر کار می کند. مقادیر می توانند تک ارزشی و چند ارزشی باشند (مانند ویژگی عضویت که می تواند چندین شی به عنوان اعضای گروه داشته باشد) و همراه با شی والد در دایرکتوری ذخیره می شوند.

در مقابل، بک لینک ها توسط سیستم برای اطمینان از یکپارچگی داده ها نگهداری می شوند. هنگامی که مقدار مشخصه پیوند برگشتی را درخواست می کنید، نتیجه بر اساس تمام مقادیر مرتبط با پیوند به جلو محاسبه می شود. لینک های برگشتی همیشه مبهم هستند.

تمام کلاس های شی در ADDS توسط یک شی classSchema در ظرف طرح تعریف می شوند. برای فهرستی از مشخصه‌های حیاتی برای تعریف موفقیت‌آمیز یک شی classSchema، به go.microsoft.com/fwlink/?LinkId=110445 مراجعه کنید.

سه نوع کلاس وجود دارد که می توان تعریف کرد: ساختاری، انتزاعی و کمکی. نوع کلاس با مقدار ویژگی objectClassCategory تعیین می شود. (دسته چهارم که با نام 88 شناخته می شود شامل کلاس هایی است که قبل از استانداردهای X.500 1993 تعریف شده اند. این نوع کلاس با مقدار 0 در ویژگی objectClassCategory نشان داده می شود. این نوع دیگر نباید تعریف شود.)

دریافت و استفاده از شناسه ها

هویت تمام اشیاء classSchema و attributeSchema در دایرکتوری با استفاده از شناسه‌های شی مورد نیاز (OID)، rulesID برای اشیاء classSchema و ویژگی ID برای اشیاء ویژگیSchema تعریف می‌شود. اینها مقادیر عددی منحصر به فردی هستند که توسط مراکز خاصی برای شناسایی اشیا ارائه می شوند. شماره گذاری مطابق با تعریف پروتکل LDAP (RFC 2251) است. چندین شناسه شی در طرح اکتیو دایرکتوری توسط سازمان بین المللی استاندارد (ISO) و شرکت مایکروسافت صادر شده است. شناسه شی در فهرست باید منحصر به فرد باشد.

شناسه شی یک رشته از اعداد است، به عنوان مثال 1.2.840.113556.1.y.z همانطور که در نشان داده شده است. برنج. 2... بنابراین، شناسه شی کاربر classSchema 1.2.840.113556.1.5.9 است.

شناسه شی کاربر

هنگامی که یک سازمان می خواهد طرحواره را گسترش دهد، با به دست آوردن OID ریشه خود، منحصر به فرد بودن شناسه شی را اعمال می کند، که برای ایجاد شناسه های منحصر به فرد برای صفات و کلاس های شی جدید سازمان استفاده می شود. ریشه شناسه شی را می توان مستقیماً از اداره ثبت ملی ISO (موسسه استانداردهای ملی آمریکا (ANSI) در ایالات متحده آمریکا) دریافت کرد.

روش و نرخ خدمات برای دریافت شناسه موجودیت ریشه را می توان در ansi.org یافت. در مناطق دیگر، با سازمان مربوطه عضو ISO که در iso.org/iso/about/iso_members.htm فهرست شده است تماس بگیرید.

پیش از این، سازمان‌ها با ارسال یک پیام ایمیل به مایکروسافت، یک شناسه شیء را از مایکروسافت دریافت می‌کردند [ایمیل محافظت شده]... با این حال، اکنون به یک پاسخ خودکار منجر می شود که از شما می خواهد VBScript را از go.microsoft.com/fwlink/?LinkId=110453 دانلود و اجرا کنید.

شناسه‌های شی منتشر شده توسط مایکروسافت به شماره‌های فضایی شناسه شی مایکروسافت اختصاص داده می‌شوند: 1.2.840.113556.1.8000.x، که در آن x یک شماره منحصر به فرد است که به سازمان شما اختصاص داده شده است. یک سازمان می تواند این شناسه ها را برای نشان دادن اشیاء جدا کند. به عنوان مثال، می توانید از 1.2.840.113556.1.8000.x.1.y برای اشیاء جدید classSchema و 1.2.840.113556.1.8000.x.2.z برای اشیاء ویژگیSchema استفاده کنید (که در آن x یک شماره سازمان منحصر به فرد و y و z اعداد هستند. به ترتیب به اشیاء خاص classSchema و ویژگیSchema اختصاص داده می شود). علاوه بر این، توصیه می کنیم از یک پیشوند سازمانی منحصر به فرد برای تشخیص نام این اشیا استفاده کنید.

تعریف ویژگی های مرتبط

مقدار attributeSyntax مرجع برگشتی باید 2.5.5.1 باشد که عبارت Object Syntax (DS-DN) است. به طور معمول، صفات پیوند برگشتی به مقدار mayContain کلاس با بیشترین انتزاع اضافه می شود. این تضمین می‌کند که ویژگی back link از اشیاء هر کلاس خوانده می‌شود، زیرا چنین ویژگی‌هایی در شی ذخیره نمی‌شوند، بلکه بر اساس مقادیر پیوند فوروارد محاسبه می‌شوند.

Windows Server 2003 ویژگی‌ای را معرفی کرد که سازمان‌ها می‌توانند از آن برای پیوند دادن دو شی در یک طرح استفاده کنند: تولید خودکار پیوند ID. هنگامی که شناسه پیوند مشخصه روی 1.2.840.113556.1.2.50 تنظیم شود، این ویژگی به طور خودکار یک linkID برای یک ویژگی پیوندی جدید ایجاد می کند. پیوند برگشتی مربوطه با تنظیم linkID به ویژگیId یا ldapDisplayName پیوند رو به جلو ایجاد می شود. کش طرحواره باید پس از ایجاد پیوند رو به جلو و قبل از ایجاد پیوند برگشت مجدداً بارگیری شود. در غیر این صورت، ویژگی ویژگیId یا ldapDisplayName هنگام ایجاد پیوند برگشت یافت نمی شود. حافظه نهان طرحواره در صورت تقاضا، چند دقیقه پس از تغییر طرح یا زمانی که کنترل کننده دامنه راه اندازی مجدد می شود، بارگذاری مجدد می شود.

اگر اکتیو دایرکتوری شما در سطح ویندوز 2000 اجرا می شود، باید با ارسال ایمیل به مایکروسافت، شناسه پیوندها را از مایکروسافت درخواست کنید. [ایمیل محافظت شده]... پاسخ خودکار حاوی خط زیر خواهد بود: "ایمیل های ارسال شده به [ایمیل محافظت شده]فقط در صورتی پردازش خواهند شد که به ثبت‌های شناسه پیوند برای محیط‌های قدیمی مرتبط باشند." [ایمیل محافظت شده]فقط در صورتی پردازش خواهند شد که مربوط به ثبت شناسه پیوند قدیمی باشد.). برای انجام این کار، اطلاعات زیر باید در ایمیل ارائه شود: نام شرکت، نام تماس، آدرس ایمیل، شماره تلفن، پیش شماره ثبت شده (در صورت وجود)، شناسه شی ثبت شده (در صورت نیاز).

می توانید شروع به گسترش طرح کنید

فرض کنید تصمیم دارید طرح اکتیو دایرکتوری خود را گسترش دهید. راه حل ممکن است توقف استفاده از دایرکتوری جایگزین پیاده سازی شده توسط ADLDS (یا ADAM در ویندوز سرور 2003) پس از تأیید عدم انطباق آن باشد. گام بعدی این است که اشیاء ویژگیSchema جدید را برای اضافه کردن به طرح تعریف کنیم. این هر مقدار لازم (مانند cn، ldapDisplayName و غیره) را برای نشان دادن این اشیاء جدید تعریف می کند. هنگام تعریف مقادیر مشخصه برای یک شی، شناسه شی را نیز از مایکروسافت یا منبع دیگری دریافت کردید. فعالیت های فوق به عنوان الزامات تجاری و مشخصات فنی مستند شده است. علاوه بر این، یک محیط آزمایشگاهی آزمایشی پیاده‌سازی شده است که عملکرد Active Directory را شبیه‌سازی می‌کند و آماده آزمایش است.

بسیاری از سازمان ها کمیسیون های ویژه ای را برای تصویب یا رد چنین تغییراتی تشکیل می دهند و فرآیندی برای اجرای آنها ایجاد می کنند. این سیستم چک و تعادل بسیار مهم است زیرا اکتیو دایرکتوری به عنوان منبع اطلاعاتی قابل اعتماد در بسیاری از سازمان ها استفاده می شود و اهمیت حفظ و اجرای آن پس از تغییرات نمی تواند اغراق آمیز باشد.

زمانی که سازمان تصمیم به ادامه پروژه گرفت، باید برنامه های آزمایش و اجرای پروژه تعریف شود. شما می‌توانید با افزودن اشیاء جدید با استفاده از طرحواره Active Directory Console مدیریت مایکروسافت (MMC)، یا با استفاده از روش‌های برنامه‌ای یا نیمه برنامه‌ای (به عنوان مثال، استفاده از LDIFDE برای وارد کردن فایل‌های LDIF، استفاده از CSVDE برای وارد کردن CSV، طرح را گسترش دهید. فایل ها؛ یا استفاده از اسکریپت برای رابط های ADSI).

صرف نظر از روش انتخاب شده، این تابع باید بر روی سروری انجام شود که نقش اصلی طرحواره (عملیات تک استاد منعطف) در جنگل Active Directory را دارد یا به آن متصل است. علاوه بر این، حساب مورد استفاده برای به روز رسانی طرحواره باید دارای حقوق مدیر کافی برای انجام به روز رسانی باشد، بنابراین باید در گروه مدیران طرحواره قرار گیرد. در نهایت، باید به روز رسانی طرحواره را برای جنگل فعال کنید (به طور پیش فرض غیرفعال است).

مگر اینکه تغییر ساده باشد، باید به طور خودکار انجام شود تا از استانداردسازی بین مراحل آزمایش و اجرا اطمینان حاصل شود و از بروز خطاهای دستی جلوگیری شود. فرض کنید تصمیم دارید با استفاده از ابزار LDIFDE تغییر را پیاده سازی کنید. برای نصب به‌روزرسانی‌ها هنگام گسترش طرح، باید ویژگی‌ها و کلاس‌های جدیدی اضافه کنید، ویژگی‌های جدیدی را به کلاس‌ها اضافه کنید و سپس بارگذاری مجدد کش را راه‌اندازی کنید. در زیر چند نمونه آورده شده است.

افزودن صفات

برای اهداف ما، فرض کنید سازمانی به نام Contoso باید یک ویژگی به Active Directory اضافه کند که اندازه کفش همه کارمندان را مشخص کند. در جنگل Active Directory دو دامنه وجود دارد: contoso.com و staffs.contoso.com. لازم است که تمام اشیاء ایجاد شده با استفاده از تعریف کلاس کاربر نیز حاوی این ویژگی جدید باشند.

مهم است که به یاد داشته باشید که تغییر طرح بر هر دو دامنه تأثیر می گذارد زیرا آنها در یک جنگل هستند. فرض کنید شناسه شی 1.2.840.113556.8000.9999 را از مایکروسافت دریافت کرده اید که به صورت 1.2.840.113556.8000.9999.1 برای شی classSchema و 1.2.840.113556.8009.2 برای ویژگی Console. اکنون باید تمام مقادیر ویژگی را برای این شی جدید تعریف کنیم، همانطور که در نشان داده شده است برنج. 3.

تعریف ویژگی contosoEmpShoe

علاوه بر این، اگرچه ویژگی contosoEmpShoe باید برای تمام اشیاء ایجاد شده به عنوان اشیاء کلاس کاربر در دسترس باشد، توصیه می کنیم تعریف کلاس کاربر پیش فرض را تغییر ندهید. در عوض، کلاس کمکی contosoUser را با ویژگی mayContain به contosoEmpShoe تعریف کنید، همانطور که در نشان داده شده است. برنج. 4... در مرحله بعد، ویژگی های تعریف شده برای کلاس کمکی contosoUser را به کلاس کاربر اضافه می کنید.

تعریف کلاس contosoUser

اکنون که تجزیه و تحلیل انجام شد و مقادیر مشخص شدند، باید یک فایل LDIF ایجاد کنید که چیزی شبیه به کد موجود در برنج. 5... می توانید کد را در آن کپی کنید برنج. 5به دفترچه یادداشت و فایل را به عنوان contosoUser.ldif (در دانلود در technetmagazine.com) ذخیره کنید.

فایل LDIF برای پسوند طرحواره

تعریف #ویژگی برای contosoEmpShoe dn: CN = contosoEmpShoe، CN = طرحواره، CN = پیکربندی، نوع تغییر DC = X: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe شناسه ویژگی: 1.2.850.29.29.2.1.2.50.1.1. isSingleValued: adminDisplayName TRUE: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: DN FALSE: changetype: اضافه کردن تغییر دهید: schemaUpdateNow schemaUpdate = X changetype: ntdsschemaadd objectClass: بالا objectClass: classSchema CN: contosoUser governsID: 1.2.840.113556. 1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: CN adminDisplayName: contosoUser adminDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClass: changetype: اضافه کردن تغییر دهید: schemaUpdateNow schemaUpdateNow: 1 - DN: CN = کاربر، CN = طرحواره ، CN = پیکربندی، نوع تغییر DC = X: ntdsschemamodify a dd: auxiliaryClass auxiliaryClass: contosoUser - dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1

پس از ایجاد فایل LDIF، باید پیاده سازی را به طور کامل در یک محیط آزمایشگاهی آزمایشی آزمایش کنید، تکرار دامنه و جنگل را از انتها به انتها تأیید کنید، و اجازه به روز رسانی طرحواره را در جنگل بدهید. اکنون باید با استفاده از حسابی که دارای حقوق مدیر طرحواره است وارد شوید. ممکن است لازم باشد Replication outbound را در schema master (جایی که تغییرات ایجاد می شود) غیرفعال کنید و دستور زیر را برای وارد کردن فایل LDIF اجرا کنید:

Ldifde –i –f \ contosoUser.ldif –b -k –j. –C "CN = طرحواره، CN = پیکربندی، DC = X" #schemaNamingContext

پس از انجام تغییرات، Replication outbound را در schema master فعال کنید و اطمینان حاصل کنید که Replication برای همه کنترلرهای دامنه انجام می شود.

نفس عمیق بکش - کار تمام شد! شما یک ویژگی جدید در طرح تعریف کرده اید که با اشیاء ایجاد شده با استفاده از کلاس کاربر (یعنی با حساب های کاربری) مرتبط می شود.

برای آزمایش تغییرات، snap-in Active Directory Users and Computers را باز کنید، به دامنه staffs.contoso.com متصل شوید، واحد سازمانی کاربران را انتخاب کنید و یک حساب کاربری جدید به نام ContosoTestUser ایجاد کنید. حالا کنسول adsiedit.msc را باز کنید و به پارتیشن دامنه dc = کارمندان، dc = contoso، dc = com متصل شوید، Users OU را گسترش دهید، روی ContosoTestUser کلیک راست کنید، سپس صفحه Properties را باز کنید. مشخصه contosoEmpShoe را پیدا کنید. شما می توانید این ویژگی را برای وارد کردن یک مقدار تغییر دهید. همچنین می توانید از ابزار Ldp.exe برای بررسی و اصلاح ویژگی ها استفاده کنید.

حال، بیایید به مثالی از تعریف و پیوند دو ویژگی نگاه کنیم و تصور کنیم که Contoso به اندازه کفش کارمندان اهمیت زیادی می‌دهد و می‌خواهد عملکرد سالانه افرادی را که اندازه کفش کارکنان را اندازه‌گیری می‌کنند، ردیابی کند. اگرچه این ممکن است مضحک به نظر برسد، همچنین فرض کنید که Contoso باید نه تنها افرادی که مسئول اندازه‌گیری سایز کفش کارمندان هستند، بلکه کارمندانی را که اندازه کفش‌هایشان اندازه‌گیری شده و تعداد آنها را نیز ردیابی کند - همه این‌ها با جستجو در یک ویژگی واحد. (در حالی که ممکن است فکر کنید جداول پایگاه داده برای ذخیره این نوع داده‌ها مناسب‌تر هستند، در این مورد ما به سادگی سعی می‌کنیم نحوه عملکرد پیوندهای رفت و برگشت را توضیح دهیم.)

البته ابتدا تحلیلی مشابه آنچه که در مثال قبل ذکر کردم انجام خواهید داد. با این حال، در حال حاضر اجازه دهید به پیش برویم و فایل های LDIF (linkids1.ldif و linkids2.ldif) را همانطور که در نشان داده شده است ایجاد کنیم. برنج. 6... سپس دستور زیر را برای وارد کردن فایل های LDIF اجرا کنید:

فایل های LDIF به جلو و عقب را پیوند دهید

#linkids1.ldif #تعریف ویژگی برای Forward Link Attribute dn: CN = ContosoShoeSizeTaker، CN = طرحواره، CN = پیکربندی، DC = X نوع تغییر: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ویژگی ContosoShoeSizeTaker.40.501.201.50.10.10.1. 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: adminDisplayName TRUE: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeShoeSizeTaker سیستم طرح # linkids2.ldif تعریف #Attribute برای لینک به عقب DN ویژگی: CN = ContosoShoeSizesTakenByMe، CN = طرحواره، CN = پیکربندی، DC = X changetype: ntdsschemaadd objectClass: بالا objectClass: attributeSchema CN: ContosoShoeSizesTakenByMe1355.2 0.3 LinkID: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: adminDisplayName FALSE: ContosoShoeSizesTakenByMe adminDescript یون: ContosoShoeSizesTakenByMe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeSizesTakenByMe systemOnly: DN FALSE: changetype: اضافه کردن تغییر دهید: schemaUpdateNow schemaUpdateNow: 1 - #Add ContosoShoeShoeSizeNow: 1 - #Add ContosoShoeShoeShoen = پیکربندی، DC = X changetype: اضافه کردن ntdsschemamodify: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe DN: changetype: اضافه کردن تغییر دهید: schemaUpdateNow schemaUpdateNow: 1 - #Add عقب ویژگی لینک = mayContain = بالا = پیکربندی، DC = X changetype: اضافه کردن ntdsschemamodify: mayContain mayContain: ContosoShoeSizesTakenByMe DN: changetype: اضافه کردن تغییر دهید: schemaUpdateNow schemaUpdateNow: 1 ldifde –i –f \ linkedids.ldif –b -k –j. –C "CN = طرحواره، CN = پیکربندی، DC = X" #schemaNamingContext

اکنون، هنگامی که شی کاربر ایجاد می شود، دارای ویژگی های ContosoShoeSizeTaker و ContosoShoeSizesTakenByMe نیز خواهد بود. هنگامی که یک شی کاربر ایجاد می شود، به عنوان مثال برای جان، ویژگی ContosoShoeSizeTaker با نام متمایز شخصی که اندازه کفش را اندازه می گیرد، Frank پر می شود. اگر اکنون به ویژگی های شی کاربر فرانک و پرس و جو برای ویژگی ContosoShoeSizesTakenByMe بروید، نتیجه شامل نام متمایز فرانک و سایرینی است که سایز کفش آنها توسط فرانک اندازه گیری شده است. برای تکمیل پرونده ما، مدیریت می تواند به فرانک بر اساس تعداد نام های متمایز موجود در ویژگی ContosoShoeSizesTakenByMe حساب کاربری او پاداش دهد.

سیستم کنترل و تعادل

یک به روز رسانی حیاتی، که یک تغییر طرح واره است، نمی تواند بدون بررسی انطباق با معماری انجام شود. این بررسی‌های امنیتی و سازگاری توسط اکتیو دایرکتوری استفاده می‌شود تا تأیید کند که تغییرات هنگام گسترش یا تغییر طرح اکتیو دایرکتوری، ناسازگاری یا مشکلات دیگری ایجاد نمی‌کنند.

اول از همه، مقدار rulesID برای هر کلاس باید در طرح منحصر به فرد باشد. هنگام تعریف شی schemaClass، تمام ویژگی های تعریف شده در لیست های systemMayContain، mayContain، systemMustContain و mustContain باید از قبل وجود داشته باشند. در همان زمان، تمام کلاس های تعریف شده در لیست های subClassOf، systemAuxiliaryClass، auxiliaryClass، systemPossSuperiors و possSuperiors باید از قبل وجود داشته باشند.

علاوه بر این، ویژگی objectClassCategory همه کلاس‌ها در لیست‌های systemAuxiliaryClass و auxiliaryClass باید کلاس 88 یا یک کلاس کمکی باشد. به همین ترتیب، ویژگی objectClassCategory همه کلاس‌ها در لیست‌های systemPossSuperiors و possSuperiors باید به عنوان کلاس 88 یا یک کلاس ساختاری تعریف شود.

هنگام تعریف کلاس‌های مختلف، کلاس‌های انتزاعی را فقط می‌توان از کلاس‌های انتزاعی دیگر مشتق کرد، کلاس‌های کمکی را نمی‌توان از کلاس‌های ساختاری و کلاس‌های ساخت‌یافته را نمی‌توان از کلاس‌های کمکی مشتق کرد. علاوه بر این، ویژگی مشخص شده در rDNAttID باید بدون ابهام باشد و به عنوان یک رشته یونیکد سینتکس شود.

اینها برخی از قوانینی هستند که برای اشیاء classSchema اعمال می شوند. در مورد قوانین برای اشیاء featuresSchema چطور؟ مانند مقدار rulesID برای کلاس ها، مقدار ویژگی ID باید منحصر به فرد باشد. علاوه بر این، مقدار mAPIID (در صورت وجود) باید منحصر به فرد باشد. علاوه بر این، اگر rangeLower و rangeUpper وجود داشته باشند، rangeLower باید کمتر از rangeUpper باشد. AttributeSyntax و oMSyntax باید مطابقت داشته باشند. اگر نحو مشخصه، نحو شی باشد (oMSyntax = 127)، باید oMObjectClass صحیح را داشته باشد. شناسه پیوند، در صورت وجود، باید منحصر به فرد باشد. علاوه بر این، لینک برگشتی باید یک لینک رو به جلو مربوطه داشته باشد.

اگر خطایی رخ دهد چه؟

پس از گسترش طرح و اضافه کردن اشیاء جدید (کلاس ها و ویژگی ها) به آن، نمی توان آنها را حذف کرد. با این حال، کلاس ها و ویژگی ها را می توان با تنظیم ویژگی isDefunct شی طرح روی TRUE غیرفعال کرد. شما نمی توانید اشیاء طرحواره را که بخشی از طرحواره پیش فرض ارائه شده با Active Directory هستند (اشیاء دسته 1) غیرفعال کنید. شما فقط می توانید اشیاء اضافه شده به طرحواره را به طور پیش فرض غیرفعال کنید، یعنی. اشیاء دسته 2، و تنها پس از تأیید اینکه کلاس در فهرست‌های subClassOf، auxiliaryClass، یا possSuperiors هیچ یک از کلاس‌های فعال موجود استفاده نمی‌شود.

هنگامی که سعی می کنید هر ویژگی را غیرفعال کنید، اکتیو دایرکتوری بررسی می کند که آیا در لیست های mustContain و mayContain هر کلاس موثر موجود استفاده می شود یا خیر. با تنظیم ویژگی isDefunct روی FALSE می توان اشیاء غیرفعال را دوباره فعال کرد. اگر Active Directory در سطح Windows Server 2003 اجرا می شود، می توانید از مقادیر ldapDisplayName، schemaIdGuid، OID و mapiID اشیاء غیرفعال استفاده مجدد کنید.

نتیجه.

افزودن یا تغییر تعریف کلاس یا ویژگی در یک طرحواره، شی classSchema یا ویژگیSchema مربوطه را اضافه یا تغییر می دهد. این فرآیند شبیه به افزودن یا اصلاح هر شیء در اکتیو دایرکتوری است، با این تفاوت که بررسی‌های اضافی برای اطمینان از اینکه تغییرات باعث ناسازگاری نمی‌شوند و ممکن است باعث ایجاد مشکلاتی در طرحواره در آینده نشود، انجام می‌شود.

در حالی که تغییر طرح اکتیو دایرکتوری دشوار نیست، درک ساختار طرح و فرآیند اجرای آن تغییرات مهم است. همه تغییرات در طرح اکتیو دایرکتوری باید با دقت برنامه ریزی و با دقت زیادی اجرا شوند. تعریف الزامات تجاری و مشخصات فنی برای امکانات جدید و انجام آزمایشات گسترده بسیار مهم است. از آنجایی که تغییرات می توانند تأثیر قابل توجهی داشته باشند، توصیه می کنیم فقط در صورت لزوم، طرح Active Directory را گسترش دهید.