Što je Active Directory shema. Proširivanje sheme Active Directory

Shema uključuje formalni opis sadržaja i strukture baze podataka Active Directory. Konkretno, sadrži sva svojstva objekata i njihovih klasa. Za svaku klasu objekata definiraju se sva moguća svojstva, dodatni parametri, kao i koja klasa objekata je i može biti predak tekuće klase.

Instalacija Active Directory, na prvom kontroleru domene kreira se standardna shema koja sadrži opis najčešće korištenih objekata i svojstava objekata. Osim toga, dijagram daje opis internih objekata i svojstava Active Directoryja.

Shema je proširiva, tako da administrator sustava može kreirati nove vrste objekata i njihova svojstva, dodavati nova svojstva za one objekte koji već postoje. Shema je ugrađena i pohranjena zajedno s Active Directoryjem u globalnom katalogu. Ažurira se automatski, tako da joj posebno kreirana aplikacija može samostalno dodavati nova svojstva i klase.
Proširivanje standardne sheme nije lako. Netočna promjena sheme može poremetiti i poslužitelj i cijelu uslugu imenika. Za rješavanje ovog problema potrebno je imati potrebno iskustvo i znanje. Dakle, prije svega, morate znati pravila imenovanja.

Pravila imenovanja

Svaki Active Directory objekt ima određeno ime. Za identifikaciju objekata u Active Directoryju koriste se različite sheme imenovanja, i to:

Istaknuta imena (DN)
Relativna istaknuta imena (RDN)
-globalni jedinstveni identifikatori (GUID-ovi);
- Primarna korisnička imena (UPN).

Svaki Active Directory objekt ima složeni naziv... Naziv je identifikator objekta i sadrži dovoljno podataka za lociranje objekta u direktoriju. Prepoznatljivo ime uključuje naziv domene koja sadrži objekt i puni put do njega. Na primjer, složeno korisničko ime Andrew Kushnir na domeni server.com moglo bi izgledati ovako:
DC = COM / DC = SERVER / CN = Korisnici / CK = Andrew Kushnir

Ako je potpuno kvalificirano ime objekta nepoznato ili promijenjeno, objekt možete pronaći po njegovim svojstvima, od kojih je jedno relativno razlikovno ime (dio razlikovnog imena). U prethodnom primjeru, relativno razlikovno ime za objekt Andrew Kushnir bilo bi CK = Andrew Kushnir, a za roditeljski objekt CN = Usere.

Uz razlikovno ime, svaki Active Directory objekt ima globalno jedinstveni identifikator (GUID), što je 128-bitni broj. Identifikator se ne mijenja čak ni nakon što je objekt premješten ili preimenovan. Globalno jedinstveni identifikator jedinstven je u svim domenama, uključujući i kada se objekt premješta s jedne domene na drugu.
Najlakši način za pamćenje je primarno ime korisnika (UPN). Osnovni naziv sastoji se od skraćenog korisničkog imena plus DNS naziva domene na kojoj se objekt nalazi. Format primarnog imena korisnika je sljedeći:

Korisničko ime, znak sufiksa DNS domene

Na primjer, primarno korisničko ime je Andrew Kushnir na poslužitelju. soja bi mogla izgledati [e-mail zaštićen] Glavno ime korisnika je neovisno o korisničkom razlikovnom imenu, tako da se korisnički objekt može premjestiti ili preimenovati bez potrebe za mijenjanjem korisničkog imena za prijavu u domeni.

07.04.2011. Brian Desmond

Događa se da su administratori Active Directory (AD) i IT menadžeri obično oprezni u pogledu proširenja AD sheme. Veliki dio straha proizlazi iz Microsoftove dokumentacije za Windows 2000, koja prikazuje proširenje sheme kao složenu operaciju koja zahtijeva izuzetan oprez. Međutim, uz razumno planiranje, proširenje sheme je potpuno bez rizika.

AD shema definira strukturu podataka pohranjenih u imeniku. AD izvorno podržava mnoge vrste objekata (na primjer, korisnike) i atributa (na primjer, ime i prezime). Ako se temeljna AD shema ne uklapa dobro s podacima koje želite pohraniti u direktorij, možete je dopuniti prilagođenim objektima i atributima.

Obično se AD shema proširuje iz nekoliko razloga, od kojih je najčešći u mnogim organizacijama implementacija aplikacije koja zahtijeva proširenje sheme. Dobar primjer je Microsoft Exchange. Ponekad dobavljači softvera žele proširiti shemu kako bi bila kompatibilna s njihovim aplikacijama. Često se shema proširuje za unutarnje aplikacije ili za praktičnost pohranjivanja podataka tvrtke u AD.

Opcije pohrane

Kada planirate proširiti shemu, posebno za interne aplikacije, prvi je korak odrediti jesu li podaci prikladni za pohranu u AD. Posebno je prikladno pohraniti relativno statične (rijetko se mijenjajuće) podatke u AD koji se koriste u cijeloj tvrtki (repliciraju se preko granica domene) i nisu povjerljivi (na primjer, ne preporučuje se pohranjivanje datuma rođenja, brojeva iskaznica socijalnog osiguranja, itd. u AD).

Ako podaci ne zadovoljavaju ove kriterije, ali se još uvijek moraju nalaziti u LDAP imeniku, druga opcija je optimalna. AD Lightweight Directory Services (AD LDS, ranije ADAM) samostalna je verzija AD-a koja može funkcionirati kao usluga na poslužitelju, članu domene (ili kontroleru domene - DC) i, poput AD, obrađivati ​​zahtjeve usmjerene na LDAP. Potreba za hostiranjem AD kontrolera domene za provjeru autentičnosti i podršku za aplikacije nije neugodno ograničenje, već mogućnost striktne kontrole tko može čitati podatke i smjer replikacije podataka postavljanjem AD LDS instanci na odgovarajuća mjesta.

Primitivi za pohranu podataka

Dva pojma igraju ključnu ulogu u razumijevanju AD sheme: klasa i atribut. Svi AD elementi, uključujući shemu, definirani su u smislu klasa i atributa. Klase su vrste podataka koje želite pohraniti. Na primjer, korisnik je klasa u AD-u, baš kao i računalo. Atributi su svojstva klasa. Korisnička klasa ima atribut imena (givenName) i atributa prezimena (sn). Klasa "računalo" ima atribut "operativni sustav". AD shema definirana je u terminima dvije klase: classSchema za klase i attributeSchema za atribute.

Po analogiji s tipičnom bazom podataka, možete usporediti klase s tablicama u bazi podataka, a atribute sa stupcima unutar tablice. Ali imajte na umu da je struktura baze podataka AD Directory Information Tree (DIT) zapravo sasvim drugačija.

Prilikom rješavanja problema pohranjivanja podataka novog tipa u AD, morate razmisliti o tome kako se podaci mapiraju u klase i atribute. U najčešćim slučajevima, dovoljno je dodati atribut postojećoj klasi (na primjer, korisnik ili grupa). Ako samo želite spremiti novi dio podataka o objektu postojećeg tipa (kao što je korisnik), prvo pokušajte pronaći odgovarajuće atribute među onima dostupnim u AD-u. Shema sadrži tisuće atributa, od kojih većina nije uključena. Stoga, na primjer, možete koristiti atribut fizičkeDeliveryOfficeName za očuvanje podataka o adresi pošte korisnika.

Ponovno dodjeljivanje atributa u svrhe koje nisu izvorne upotrebe je loš pristup. Zamislite da je atribut ponovno dodijeljen, a zatim se kupi aplikacija koja koristi taj atribut za svoju izvornu svrhu. Potrebno je obaviti dvostruki posao jer trebate rekonfigurirati svoju naslijeđenu aplikaciju pomoću atributa, a zatim premjestiti podatke. Općenito, uvijek je sigurnije dodati prilagođeni atribut.

Ali ponekad je moguć samo pristup baziran na klasi. U dva je slučaja prikladnije dodati novu klasu u shemu nego koristiti atribute. Prvi je potreba za praćenjem novog tipa podataka u imeniku. Ako, na primjer, želite pratiti automobile tvrtke u AD, možete definirati novu klasu automobila u shemi. Drugi slučaj je mapiranje jedan prema više.

Microsoft Exchange Server 2010 je savršen primjer. Svaki mobilni uređaj koji sinkronizirate s Exchangeom koristeći ActiveSync pohranjen je kao instanca posebne klase objekta msExchActiveSyncDevice u direktoriju. Ovi mobilni uređaji pohranjeni su kao podređeni objekti korisnika, vlasnika uređaja. Ova struktura omogućuje da se veliki broj atributa (za svaki uređaj) preslika na jednog korisnika.

Ulazni podaci za proširenje sheme

Da biste pripremili proširenje sheme, morate prikupiti određeni broj ulaza. Tek tada se poseban atribut ili klasa može implementirati u razvojno okruženje. Mnogi inputi moraju biti globalno jedinstveni, stoga je važno napraviti potrebnu pripremu. Istodobno, nemar prijeti opasnim posljedicama.

Prvo odaberite naziv klase ili atributa. Najvažniji dio imena je prefiks. Nazivi atributa i klasa u shemi (i u shemi kupca aplikacije treće strane) moraju biti jedinstveni, pa će dodavanje prefiksa osigurati da nema sukoba između ID-ova atributa.

Obično se kao prefiks koristi skraćeni naziv tvrtke. Na primjer, koristim bdcLLC kao prefiks za atribute naše tvrtke Brian Desmond Consulting LLC. Za ABC korporaciju može se koristiti prefiks abcCorp. Svakako vodite računa o jedinstvenosti prefiksa, jer ne postoji opći registar prefiksa. Ako tvrtka ima tipičan ili skraćeni naziv, smislite kako ga učiniti jedinstvenim.

Nakon što odaberete ime, atributu ili klasi morate dodijeliti identifikator objekta (OID). OID-ovi su izborni i moraju biti globalno jedinstveni. AD (općenito, LDAP) nije jedini okvir koji koristi OID-ove kao identifikator, pa Internet Assigned Numbers Authority (IANA) dodjeljuje jedinstvena OID stabla prema zahtjevima tvrtki. Zahtjev za broj privatnog poduzeća, koji je dio OID stabla jedinstvenog za tvrtku, servisira se besplatno za oko 10 minuta. Morate ga nabaviti prije nego počnete stvarati prilagođena proširenja sheme. Možete zatražiti broj privatnog poduzeća na www.iana.org/cgi-bin/assignments.pl.

Pomoću broja privatnog poduzeća možete stvoriti i organizirati gotovo neograničen broj jedinstvenih OID-ova. Slika prikazuje strukturu OID stabla za broj privatnog poduzeća naše tvrtke. OID-ovi se grade dodavanjem grana stablu, tako da mnoge tvrtke počinju stvaranjem grane AD Schema (1.3.6.1.4.1.35686.1 na slici), a zatim granu klase i granu atributa ispod toga. U okviru svake od ovih grana, OID-ovi se dodjeljuju svakom novom atributu ili klasi. Slika prikazuje OID (1.3.6.1.4.1.35686.1.2.1) dodijeljen prilagođenom atributu myCorpImportantAttr. Vrlo je važno pripremiti interni mehanizam za praćenje (kao što je Excel proračunska tablica ili SharePoint popis) kako bi se osiguralo da su OID-ovi jedinstveni.

Microsoft nudi skriptu koja može generirati OID s nasumičnom vrijednošću, ali nema jamstva da će biti jedinstven. Najbolji način je zatražiti jedinstvenu granu od IANA organizacije i koristiti je za proširenja sheme. Proces je toliko jednostavan da ne morate koristiti skriptu za generiranje Microsoft OID-a.

Preostala dva ulazna parametra su specifična za atribut i ovise o tipu. Vezani atributi iznimno su korisni za pohranjivanje veza između objekata u AD. Oni su pohranjeni kao pokazivači u AD bazi podataka, tako da se veze ažuriraju na vrijeme kako bi odražavale lokaciju objekta u šumi. Dva uobičajena primjera povezanih atributa su članstvo u grupi (član i memberOf) i odnos menadžer/zaposlenik (menadžer/direktna izvješća). Koncepti naprijed i povratne veze primjenjuju se na povezane atribute. Veza naprijed je dio odnosa između atributa koji se može uređivati. Na primjer, u slučaju članstva u grupi, atribut člana za grupu je veza prema naprijed; atribut memberOf za korisnika je povratna veza. Kada uređujete članstvo u grupi, promjene se unose u atribut člana (prednja veza), a ne atribut memberOf objekta člana (povratna veza).

Da biste definirali povezane atribute u AD-u, morate definirati dva atributa (prednju vezu i povratnu vezu) i priložiti identifikator veze (linkID) svakom od ovih atributa. ID-ovi veza moraju biti jedinstveni unutar šume, a budući da ID-ove veze zahtijevaju druge aplikacije koje zahtijevaju proširenja sheme, moraju biti globalno jedinstvene. U prošlosti je Microsoft objavljivao identifikatore veza za organizacije trećih strana, ali od Windows Servera 2003, AD je umjesto toga dodan poseban pokazivač za generiranje jedinstvenih identifikatora veze kada se shema poveća s parom atributa.

AD pretpostavlja da su ID-ovi veze uzastopni brojevi. Konkretno, atribut veze naprijed je paran broj, a sljedeći broj je dodijeljen atributu povratne veze. Na primjer, za člana i memberOf (članstvo u grupi), identifikator veze za člana je 4, a identifikator veze za memberOf je 5. Ako proširena shema treba biti kompatibilna sa šumom Windows 2000, morate definirati statičke identifikatore veze u isti način. U suprotnom, trebali biste koristiti proces automatskog generiranja ID-a veze u sustavu Windows Server 2003. Da biste koristili proces automatskog generiranja ID-a veze, slijedite donje smjernice kada definirate proširenje sheme. U procesu proširenja sheme, kao što je opisano kasnije u članku, navedeni koraci potrebni su za izgradnju povezanih atributa (ako su dio proširenja).

Prvo pripremite vezu naprijed koristeći ID veze 1.2.840.113556.1.2.50. Imajte na umu da iako je ova vrijednost ID-a veze OID, Microsoft jednostavno rezervira ovu vrijednost OID-a za generiranje ID-a automatske veze.

Zatim ponovno učitajte predmemoriju sheme. Nakon toga stvorite atribut povratne veze koristeći ID veze imena atributa naprijed veze i ponovno učitajte predmemoriju sheme.

Drugi jedinstveni (i također izborni) element atributa je MAPI identifikator. MAPI ID-ovi su značajka Exchange Servera. Ako nemate Exchange ili želite prikazati atribut na Globalnom popisu adresa (GAL), možete preskočiti ovaj odjeljak. MAPI ID-ovi se koriste za prikaz atributa na jednoj od stranica sa svojstvima u adresaru, kao što je predložak Općih korisničkih pojedinosti (pogledajte zaslon). Na primjer, ako želite prikazati klasifikaciju zaposlenika (osoblje ili ugovorne) na popisu GAL-a, dodijelite odgovarajući atribut kao MAPI identifikator. Nakon što se MAPI ID dodijeli atributu, možete koristiti uređivač predložaka s pojedinostima Exchangea za unos podataka atributa u GAL prikaz unutar Office Outlooka.

MAPI ID-ovi moraju biti jedinstveni, kao i OID-ovi i ID-ovi veze. U prošlosti nije bilo moguće generirati jedinstvene MAPI identifikatore, tako da su ti identifikatori uvijek bili slaba točka u proširenjima sheme. Srećom, Windows Server 2008 uvodi način za automatsko generiranje jedinstvenih MAPI ID-ova u direktoriju kako bi se smanjio rizik od dupliciranih MAPI ID-ova. Da biste koristili ovu značajku, postavite vrijednost 1.2.840.113556.1.2.49 na MAPI ID atribut kada kreirate atribut. AD generira jedinstveni MAPI identifikator za atribut nakon ponovnog učitavanja predmemorije sheme. Imajte na umu da iako je ova vrijednost OID, AD je rezervirala za označavanje automatskog generiranja MAPI ID-ova, slično gore opisanom automatskom generiranju ID-ova veze.

Rezimirati. Postoje tri kritična ulazna parametra koja treba uzeti u obzir pri planiranju proširenja sheme. Prvi je naziv klase ili atributa; drugi je jedinstveni prefiks dodijeljen svim klasama i atributima; treći je OID. Za generiranje OID-a potrebno je zatražiti jedinstvenu OID granu od IANA organizacije. Ako namjeravate stvoriti povezani par atributa, potreban je jedinstveni par identifikatora veze. Ako želite prikazati atribut u Exchange GAL-u, morate koristiti jedinstveni MAPI identifikator. Za ID-ove veze i MAPI ID-ove, korištenje procesa automatskog generiranja unutar AD-a je poželjnije od statičkih vrijednosti.

Planiranje provedbe

Kada implementirate proširenje prilagođene sheme ili proširite shemu s atributima i klasama dobavljača, morate poduzeti preliminarne korake planiranja kako biste zaštitili integritet vaše AD šume. Prvi korak je testiranje proširenja sheme.

Kada pripremate proširenje prilagođene sheme, koristite privremeno razvojno okruženje. AD Lightweight Directory Service (AD LDS) besplatno je preuzimanje na radnim stanicama sa sustavom Windows XP i Windows 7. S radne stanice možete stvoriti AD LDS instancu, izgraditi proširenje sheme u sandboxu, a zatim eksportirati proširenje za uvoz u AD ispitna šuma. AD LDS shema je AD kompatibilna, tako da možete koristiti LDIFDE za izvoz. Možete uvesti gotovu ekstenziju sheme u AD testnu šumu i zatim provjeriti je li uvoz bio uspješan i da kritične aplikacije nisu oštećene. Za AD, trebali biste planirati testirati je li uvoz bio uspješan i je li replikacija bila ispravna u testnom okruženju.

Ako želite testirati proširenje sheme u testnoj AD šumi, shema mora odgovarati proizvodnoj šumi. U tom slučaju testiranje će biti završeno. Možete koristiti alat AD Schema Analyzer (uključen uz AD LDS) da pronađete razlike u shemi između dvije AD šume. TechNet članak "Izvoz, usporedba i sinkronizacija shema Active Directory" (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) opisuje kako uvesti i izvesti proširenja sheme i kako koristiti alat AD Schema Analyzer. Imajte na umu da može postojati neke razlike pri usporedbi shema, ovisno o servisnim paketima i verzijama Windowsa, posebno u indeksiranju atributa i pohranjivanju oznaka za brisanje.

Za proširenja sheme dobivena iz drugih izvora (na primjer, zajedno s komercijalnom aplikacijom), morate osigurati da povezane promjene nisu rizične. Uz sve prethodno razmotrene unose, svakako obratite pozornost na niz drugih okolnosti. U nastavku su ključni parametri koje treba provjeriti:

• isporučuje se u LDIF datoteci (više LDIF datoteka);
• ispravnost prefiksa atributa;
• registrirani OID-ovi;
• registrirani / automatski generirani identifikatori poveznica;
• automatski generirani MAPI identifikatori.

LDIF datoteke su industrijski standard: sva proširenja sheme moraju biti isporučena u ovom formatu. Aplikacijama je dopušteno koristiti poseban mehanizam uvoza umjesto LDIFDE za proširenja sheme. Međutim, ako je proširenje isporučeno u drugom formatu, pojavljuju se sumnje u njegovu ispravnost i pouzdanost dobavljača. C prikazuje LDIF uzorak za stvaranje atributa u AD shemi za pohranjivanje informacija o veličini cipele korisnika. Obratite pažnju na sljedeće značajke ovog uzorka proširenja sheme.

• Atribut ima prefiks s imenom dobavljača (Brian Desmond Consulting, LLC: bdcllc).
• Jedinstveni OID za atribut se izdaje pomoću broja privatnog poduzeća kako ga je registrirao dobavljač.
• Atribut je indeksiran (zastavice za pretraživanje: 1) i dostupan u globalnom katalogu (isMemberOfPartialAttributeSet: TRUE).

Također morate provjeriti je li atribut dostupan u globalnom katalogu Djelomični skup atributa (PAS) i jesu li indeksi kreirani za atribut ispravni ako će se atribut koristiti u LDAP filterima pretraživanja. Također je korisno osigurati da su podaci pohranjeni u atributu prihvatljivi za AD u kontekstu ograničenja i najboljih praksi o kojima smo gore raspravljali.

Nakon što je proširenje sheme testirano i pripremljeno za implementaciju proizvodnje, vrijeme bi trebalo biti prikladno za ovu operaciju. To se obično može učiniti tijekom radnog vremena. Opterećenje procesora osjetno će se povećati kada pokrenete čarobnjak za sheme, a malo - i na kontrolerima domene koji repliciraju promjene. Velike tvrtke mogu doživjeti pauze replikacije između kontrolera domene u razdobljima u rasponu od četiri do šest sati ako se atributi dodaju u PAS djelomični skup atributa. Obustave će biti popraćene porukama o pogrešci koje ukazuju na probleme s objektima, no obično se one mogu zanemariti i one će nestati same od sebe. Ako su kontroleri domene izvučeni iz replikacije dulje vrijeme, trebali biste početi rješavati probleme.

Planski pristup

Proširivanje AD sheme sigurno je ako poduzmete neke osnovne mjere opreza. Prilikom planiranja novih proširenja sheme i prilikom provjere prilagođenih atributa i klasa dobavljača trećih strana, razmislite o identifikaciji informacija koje su jedinstvene za svaku klasu ili atribut i osigurajte da su globalno jedinstvene.

Nakon provjere integriteta, prenesite novo proširenje u reprezentativno testno okruženje kako biste osigurali da testno okruženje i kritične aplikacije ispravno funkcioniraju. Zatim možete uvesti proširenje sheme u svoje proizvodno okruženje.

Oglas. Uzorak LDIF zapisa

Dn: CN = bdcllcShoeSize, CN = Schema, CN = Konfiguracija, DC = X tip promjene: dodaj objectClass: top objectClass: attributeSchema cn: sfsuLiveServiceEntitlements attributeID: 1.3.6.1.4.1.35686.1020.a5. showInAdvancedViewOnly: TRUE adminDisplayName: bdcllcShoeSize adminDescription: Pohranjuje veličinu cipele korisnika oMSyntax: 64 searchFlags: 1 lDAPDisplayName: bdcllcShoeSize name: bdcllcShoeSize: bdcllcShoeSize :: Etts schemaID +6

Od izdavanja Active Directory sa sustavom Windows 2000, Microsoft je korisnicima pružio definiciju osnovne sheme za implementaciju Active Directoryja.

Izdanje Active Directory® također je označilo promjenu u načinu na koji su mnoge aplikacije napisane i implementirane u Windows®. Prije su se aplikacije kao što je Microsoft® Exchange 5.5 gradile s vlastitom strukturom direktorija. Od pojave Active Directoryja, mnoge su aplikacije (od Microsofta i drugih) iskoristile prednost temeljne strukture umjesto da stvaraju vlastitu shemu od nule.

U početku je korištena temeljna arhitektura koju pruža Active Directory, a zatim je proširena prema potrebi. U Microsoft Exchangeu 2000, na primjer, Active Directory je korišten za implementaciju sustava za razmjenu poruka, čime je definirana budućnost Microsoftove arhitekture razmjene poruka.

Danas se mnoge aplikacije izgrađene za rad u okruženju Active Directory oslanjaju na njegovu osnovnu shemu, a mnoge aplikacije također definiraju vlastite promjene sheme prema potrebi. Za to je, naravno, potrebna proširiva shema, o kojoj će biti riječi u ovom članku. Štoviše, budući da se mnoge aplikacije oslanjaju na temeljne definicije u Active Directoryju, kontinuirana stabilnost temeljne sheme je kritična. Budući da mnoge aplikacije moraju raditi zajedno u istom Active Directoryju, promjene jedne aplikacije ne bi trebale utjecati na druge aplikacije.

Što je shema?

Za mnoge je shema Active Directory poput crne kutije, a ideja da sami promijenite shemu može ih zastrašiti. Naravno, proširenje sheme Active Directory ne treba raditi svaki dan, ali neke aplikacije ili poduzeća čine upravo to. Stoga je vrlo važno razumjeti prirodu sheme i njezin sastav, jer je Active Directory važna prednost u mnogim organizacijama, a poremećaj njegove funkcionalnosti zbog netočnih ažuriranja može imati ozbiljne posljedice.

Kao strategiju, mnoge organizacije koriste Active Directory Lightweight Directory Services (ADLDS) u Windows Server® 2008 (ili Active Directory Application Mode (ADAM) u Windows Server 2003) kao alternativu testiranju ili izravnoj implementaciji prilagođenih definicija sheme umjesto proširenja Aktivna shema. Imenik.

Shema je osnovna struktura koja osigurava format za uslugu imenika. Shema Active Directory definira atribute i klase objekata koji se koriste u domenskim uslugama Active Directory (ADDS). Osnovna shema sadrži definicije za mnoge dobro poznate klase (kao što su korisnik, računalo i organizacijska jedinica) i atribute (kao što su telefonski broj i objectSID). Objekti u definiciji glavne sheme nazivaju se objekti kategorije 1, a dodani objekti nazivaju se objekti kategorije 2.

Shema Active Directory nalazi se u spremniku definiranom putem cn = Shema, cn = Konfiguracija, dc = X, gdje je X imenski prostor šume Active Directory. Imajte na umu da šuma Active Directory sadrži samo jednu shemu; Promjene definicije sheme u šumi utječu na sve domene u toj šumi. Na riža. jedan prikazuje broj klasa i atributa koji su dodani shemi Active Directory u različitim verzijama Windows Servera.

Broj klasa i atributa

Shema se ažurira za različite verzije Windows Servera pomoću uslužnog programa Adprep. Kada nadogradite na Windows Server 2003 R2, verzija sheme se nadogradi na 31, a kada nadogradite na Windows Server 2008, ona se nadogradi na 44.

Možete pronaći broj verzije provjerom vrijednosti atributa objectVersion pod cn = Schema, cn = Konfiguracija, dc = X u Active Directoryju pomoću alata kao što je ADSIEdit. Imajte na umu da neke aplikacije kao što su Exchange Server, Server za upravljanje sustavom (SMS) i druge aplikacije koje se oslanjaju na Active Directory mogu promijeniti shemu kako bi odgovarale zahtjevima aplikacije.

Osnovne komponente

Active Directory se sastoji od dvije vrste objekata: classSchema (kratko klasa) i attributeSchema (kratko atribut). Obično se proširenje sheme Active Directory razmatra kada organizacija treba pohraniti podatke u određene atribute koji nisu dostupni u postojećoj shemi. Atribut u shemi direktorija kreira se specificiranjem objekta attributeSchema u spremniku sheme i zatim definiranjem potrebnih svojstava za novi objekt.

Za popis svojstava i informacija objekta attributeSchema pogledajte go.microsoft.com/fwlink/?LinkId=110445. Kao što možete vidjeti, možete definirati veliki broj svojstava za objekte attributeSchema, od kojih su neka obavezna.

Osim uobičajenih atributa, shema također sadrži posebne atribute koji se nazivaju povezani i implementirani u parovima specificirajući veze naprijed i nazad. Kao primjer, razmotrite članstvo u grupi u Active Directoryju. Atribut članstva bilo koje grupe (na primjer, grupa ContosoEmployees s članom John Doe) je veza naprijed, a odgovarajući atribut memberOf objekta člana je veza unatrag (tako da je razlikovni naziv (DN) grupe ContosoEmployees izračunato kada se upita atribut memberOf John Doea).

Veza naprijed radi kao i svaki drugi atribut. Vrijednosti mogu biti jednovrijedne i viševrijedne (poput atributa članstva, koji može sadržavati više objekata kao članova grupe) i pohranjene su u direktoriju zajedno s nadređenim objektom.

Za razliku od toga, sustav održava povratne veze kako bi se osigurao integritet podataka. Kada zatražite vrijednost atributa povratne veze, rezultat se izračunava na temelju svih odgovarajućih vrijednosti veze naprijed. Povratne veze su uvijek dvosmislene.

Sve klase objekata u ADDS-u definirane su objektom classSchema u spremniku sheme. Za popis atributa koji su najvažniji za uspješno definiranje objekta classSchema, pogledajte go.microsoft.com/fwlink/?LinkId=110445.

Postoje tri vrste klasa koje se mogu definirati: strukturne, apstraktne i pomoćne. Vrsta klase određena je vrijednošću atributa objectClassCategory. (Četvrta kategorija, poznata kao 88, uključuje klase definirane prije standarda X.500 iz 1993. Ovaj tip klase označen je vrijednošću 0 u atributu objectClassCategory. Ovaj tip više ne bi trebao biti definiran.)

Dobivanje i korištenje identifikatora

Identitet svih objekata classSchema i attributeSchema u direktoriju definiran je korištenjem potrebnih identifikatora objekta (OID-ova), governsID-a za classSchema objekata i attributeID-a za objekte attributeSchema. To su jedinstvene numeričke vrijednosti koje daju posebni centri za identifikaciju objekata. Numeracija je u skladu s definicijom LDAP protokola (RFC 2251). Međunarodna organizacija za standardizaciju (ISO) i Microsoft Corporation izdaju nekoliko identifikatora objekata u shemi Active Directory. Identifikator objekta u direktoriju mora biti jedinstven.

ID objekta je niz brojeva, na primjer 1.2.840.113556.1.y.z kao što je prikazano u riža. 2... Dakle, identifikator korisničkog objekta classSchema je 1.2.840.113556.1.5.9.

Identifikator korisničkog objekta

Kada organizacija želi proširiti shemu, ona provodi jedinstvenost identifikatora objekta dobivanjem vlastitog korijenskog OID-a, koji se koristi za stvaranje jedinstvenih identifikatora za nove atribute i klase objekata organizacije. Korijen identifikatora objekta može se dobiti izravno od ISO nacionalnog ureda za registraciju (American National Standards Institute (ANSI) u Sjedinjenim Državama).

Postupak i cijene usluga za dobivanje ID-a korijenskog entiteta mogu se pronaći na ansi.org. U drugim regijama kontaktirajte odgovarajuću organizaciju članicu ISO-a navedenu na iso.org/iso/about/iso_members.htm.

Prije su organizacije dobivale Object ID od Microsofta slanjem poruke e-pošte na [e-mail zaštićen]... Međutim, to sada rezultira automatskim odgovorom koji od vas traži da preuzmete i pokrenete VBScript s go.microsoft.com/fwlink/?LinkId=110453.

Identifikatorima objekata koje je objavio Microsoft dodjeljuju se prostorni brojevi identifikatora Microsoftovih objekata: 1.2.840.113556.1.8000.x, gdje je x jedinstveni broj dodijeljen vašoj organizaciji. Organizacija može odvojiti ove identifikatore kako bi označila objekte. Na primjer, možete koristiti 1.2.840.113556.1.8000.x.1.y za nove objekte classSchema i 1.2.840.113556.1.8000.x.2.z za attributeSchema objekte (gdje je x jedinstveni organizacijski broj, a y i z brojevi dodijeljen određenim objektima classSchema i attributeSchema). Osim toga, preporučujemo da koristite jedinstveni organizacijski prefiks kako biste razlikovali nazive ovih objekata.

Definiranje povezanih atributa

Vrijednost atributa sintakse stražnje reference mora biti 2.5.5.1, što je sintaksa objekta (DS-DN). Obično se atributi povratne veze dodaju vrijednosti mayContain klase s najviše apstrakcije. To osigurava da se atribut povratne veze čita iz objekata bilo koje klase, budući da se takvi atributi ne pohranjuju u objektu, već se izračunavaju na temelju vrijednosti veze naprijed.

Windows Server 2003 uveo je značajku koju organizacije mogu koristiti za povezivanje dvaju objekata u shemi: automatsko generiranje ID-ova veze. Ova značajka automatski generira ID veze za novi povezani atribut kada je linkID atributa postavljen na 1.2.840.113556.1.2.50. Odgovarajuća povratna veza kreira se postavljanjem linkID-a na attributeId ili ldapDisplayName naprijed veze. Predmemorija sheme mora se ponovno učitati nakon stvaranja veze naprijed i prije stvaranja povratne veze. Inače, atribut attributeId ili ldapDisplayName neće se pronaći prilikom kreiranja povratne veze. Predmemorija sheme ponovno se učitava na zahtjev nekoliko minuta nakon promjene sheme ili kada se kontroler domene ponovno pokrene.

Ako vaš Active Directory radi na razini Windows 2000, morate zatražiti linkID-ove od Microsofta slanjem e-pošte na [e-mail zaštićen]... Automatski odgovor sadržavat će sljedeći redak: "E-poruke poslane na [e-mail zaštićen] bit će obrađene samo ako su povezane s registracijama linkID-a za naslijeđena okruženja." [e-mail zaštićen]će se obraditi samo ako se odnose na naslijeđene registracije linkID-a.). Da biste to učinili, u e-poruci se moraju navesti sljedeće informacije: naziv tvrtke, ime kontakta, adresa e-pošte, telefonski broj, registrirani prefiks (ako je primjenjivo), ID registriranog objekta (ako je potrebno).

Možete početi širiti shemu

Recimo da ste odlučili proširiti svoju Active Directory shemu. Rješenje bi moglo biti da prestanete koristiti alternativni direktorij implementiran ADLDS (ili ADAM u Windows Serveru 2003) nakon što potvrdite da neće biti usklađen. Sljedeći korak je definiranje novih objekata attributeSchema za dodavanje shemi; ovo definira sve potrebne vrijednosti (kao što su cn, ldapDisplayName, itd.) za označavanje ovih novih objekata. Prilikom definiranja vrijednosti atributa za objekt, također ste dobili identifikator objekta od Microsofta ili drugog izvora. Gore navedene aktivnosti su dokumentirane kao poslovni zahtjevi i tehničke specifikacije. Štoviše, implementirano je eksperimentalno laboratorijsko okruženje koje simulira rad Active Directoryja i spremno je za testiranje.

Mnoge organizacije osnivaju posebna povjerenstva za odobravanje ili odbijanje takvih promjena i uspostavljanje procesa za njihovu provedbu. Ovaj sustav provjere i ravnoteže je kritičan jer se Active Directory koristi kao pouzdan izvor informacija u mnogim organizacijama, a važnost njegovog održavanja i rada nakon promjena ne može se precijeniti.

Nakon što organizacija odluči nastaviti s projektom, potrebno je definirati planove za testiranje i provedbu projekta. Shemu možete proširiti dodavanjem novih objekata korištenjem dodatka sheme Active Directory na Microsoft Management Console (MMC) ili korištenjem programskih ili poluprogramskih metoda (na primjer, korištenjem LDIFDE za uvoz LDIF datoteka; korištenjem CSVDE za uvoz CSV-a datoteke ili korištenjem skripti za ADSI sučelja).

Bez obzira na odabranu metodu, ova se funkcija mora izvesti na poslužitelju koji ima ili je povezan s ulogom glavnog sheme (Fleksibilne operacije jednog glavnog glavnog računala) u šumi Active Directory. Osim toga, račun koji se koristi za ažuriranje sheme mora imati dovoljna administratorska prava za izvođenje ažuriranja, tako da mora biti uključen u grupu Administratori sheme. Konačno, morate omogućiti ažuriranja sheme za šumu (onemogućeno prema zadanim postavkama).

Osim ako promjena nije jednostavna, treba je izvršiti automatski kako bi se osigurala standardizacija između faze testiranja i implementacije i spriječila pojava ručnih pogrešaka. Pretpostavimo da odlučite implementirati promjenu pomoću alata LDIFDE. Da biste instalirali ažuriranja prilikom proširenja sheme, trebate dodati nove atribute i klase, dodati nove atribute klasama, a zatim pokrenuti ponovno učitavanje predmemorije. U nastavku su neki primjeri.

Dodavanje atributa

Za naše potrebe, pretpostavimo da organizacija pod imenom Contoso treba dodati atribut u Active Directory koji definira veličinu cipele svih zaposlenika. U šumi Active Directory postoje dvije domene: contoso.com i employes.contoso.com. Potrebno je da svi objekti kreirani korištenjem definicije korisničke klase također sadrže ovaj novi atribut.

Važno je zapamtiti da promjena sheme utječe na obje domene jer se nalaze u istoj šumi. Pretpostavimo da ste dobili ID objekta 1.2.840.113556.8000.9999 od Microsofta, koji se dijeli kao 1.2.840.113556.8000.9999.1 za classSchema objekt i 1.2.840.113556.9tosoche.2 atributa Contents.9. Sada moramo definirati sve vrijednosti atributa za ovaj novi objekt, kao što je prikazano u riža. 3.

Definicija atributa contosoEmpShoe

Osim toga, iako bi atribut contosoEmpShoe trebao biti dostupan za sve objekte kreirane kao objekti korisničke klase, preporučujemo da ne mijenjate zadanu definiciju korisničke klase. Umjesto toga, definirajte pomoćnu klasu contosoUser s atributom mayContain postavljenim na contosoEmpShoe, kao što je prikazano u riža. 4... Zatim dodajete atribute definirane za pomoćnu klasu contosoUser u klasu korisnika.

Definicija klase contosoUser

Sada kada je analiza obavljena i vrijednosti određene, morate stvoriti LDIF datoteku koja izgleda nešto poput koda u riža. 5... Možete kopirati kod na riža. 5 u bilježnicu i spremite datoteku kao contosoUser.ldif (uključeno u preuzimanje na technetmagazine.com).

LDIF datoteka za proširenje sheme

#Definicija atributa za contosoEmpShoe dn: CN = contosoEmpShoe, CN = Schema, CN = Konfiguracija, DC = X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe attributeID: 1.2.8500.511 atribut: 1.2.8500.59nta. isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64: 1 searchFlags LdapDisplayname: contosoEmpShoe systemOnly: FALSE DN: changetype: mijenjati dodataka: schemaUpdateNow schemaUpdate = X changetype: ntdsschemaadd klasa objekta: top klasa objekta: classSchema cn: contosoUser governsID: 1.2.840.113556. 1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDisplayName: contosoUser adminDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser klasa objekta: changetype: mijenjati dodati: schemaUpdateNow schemaUpdateNow: 1 - dn: CN = User, CN = sheme , CN = Konfiguracija, DC = X tip promjene: ntdsschemamodify a dd: auxiliaryClass auxiliaryClass: contosoUser - dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1

Nakon kreiranja LDIF datoteke, trebali biste temeljito testirati implementaciju u eksperimentalnom laboratorijskom okruženju, provjeriti replikaciju domene i šume od kraja do kraja i dopustiti ažuriranja sheme u šumi. Sada se morate prijaviti pomoću računa koji ima administratorska prava sheme. Možda ćete morati onemogućiti izlaznu replikaciju na glavnoj shemi (gdje će se izvršiti promjene) i pokrenuti sljedeću naredbu za uvoz LDIF datoteke:

Ldifde –i –f \ contosoUser.ldif –b -k –j. –C "CN = shema, CN = konfiguracija, DC = X" #schemaNamingContext

Nakon što izvršite promjene, omogućite izlaznu replikaciju na glavnoj shemi i osigurajte da se replikacija izvrši za sve kontrolere domene.

Duboko udahnite – gotovi ste! Definirali ste novi atribut u shemi koji će biti povezan s objektima kreiranim pomoću korisničke klase (odnosno s korisničkim računima).

Da biste testirali promjene, otvorite dodatak Active Directory Korisnici i računala, povežite se s domenom employees.contoso.com, odaberite organizacijsku jedinicu korisnika i stvorite novi korisnički račun pod nazivom ContosoTestUser. Sada otvorite konzolu adsiedit.msc i povežite se s particijom domene dc = djelatnici, dc = contoso, dc = com, proširite OU korisnika, desnom tipkom miša kliknite ContosoTestUser, a zatim otvorite stranicu Svojstva. Pronađite atribut contosoEmpShoe. Možete promijeniti ovaj atribut da biste unijeli vrijednost. Također možete koristiti Ldp.exe uslužni program za provjeru i izmjenu atributa.

Pogledajmo sada primjer definiranja i povezivanja dvaju atributa i zamislimo da je Contoso vrlo zabrinut veličinom cipela zaposlenika i želi pratiti godišnju izvedbu ljudi koji mjere veličinu cipela zaposlenika. Iako ovo može zvučati smiješno, pretpostavimo i da Contoso treba pratiti ne samo osobe odgovorne za mjerenje veličine cipela zaposlenika, već i zaposlenike čija je veličina izmjerena i njihov broj - sve upitom za jedan atribut. (Iako možda mislite da su tablice baze podataka prikladnije za pohranjivanje ove vrste podataka, u ovom slučaju jednostavno pokušavamo objasniti kako veze naprijed-nazad rade.)

Naravno, prvo ćete napraviti analizu sličnu onoj koju sam spomenuo u prethodnom primjeru. Međutim, za sada krenimo naprijed i stvorimo LDIF datoteke (linkids1.ldif i linkids2.ldif) kao što je prikazano u riža. 6... Zatim pokrenite sljedeću naredbu za uvoz LDIF datoteka:

Povežite LDIF datoteke naprijed i natrag

# linkids1.ldif #Definicija atributa za atribut prosljeđivanja veze dn: CN = ContosoShoeSizeTaker, CN = Schema, CN = Konfiguracija, DC = X tip promjene: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker: AttributeSchema cn: ContosoShoeSizeTaker1.209.5.590.5.1909. 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax: 64: 1 searchFlags LdapDisplayname: ContosoShoeShoeSizeTaker sustav shema # linkids2.ldif #Attribute definicijom natrag Link atribut DN: CN = ContosoShoeSizesTakenByMe, CN = sheme, CN-konfiguracije, DC = X changetype: ntdsschemaadd klasa objekta: top klasa objekta: attributeSchema cn. ContosoShoeSizesTakenByMe1355.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescript ion: ContosoShoeSizesTakenByMe oMSyntax: 64: 1 searchFlags LdapDisplayname: ContosoShoeSizesTakenByMe systemOnly: FALSE DN: changetype: mijenjati dodati: schemaUpdateNow schemaUpdateNow: 1 - #Dodaj ContosoShoeShoeSizeNow: 1 - #Dodaj ContosoShoeShoeShoen-konfiguracije, DC = X changetype: ntdsschemamodify dodati: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Attribute = MayContain = Top = Configuration, DC = X changetype: ntdsschemamodify type: ntdsschemamodify: ntdsschemamodify may add: ContosoShoeSizesTakenByMe add: ContosoShoeSizesTakenByMe 1 ldifde –i –f \ linkedids.ldif –b -k –j. –C "CN = shema, CN = konfiguracija, DC = X" #schemaNamingContext

Sada, kada je korisnički objekt stvoren, on će također imati atribute ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe. Kada se kreira korisnički objekt, na primjer za Johna, atribut ContosoShoeSizeTaker popunjava se prepoznatljivim imenom osobe koja mjeri veličinu cipele, Frank. Ako sada prijeđete na svojstva Frankovog korisničkog objekta i upitate za atribut ContosoShoeSizesTakenByMe, rezultat će sadržavati razlikovno ime Franka i ostalih čiju je veličinu cipele Frank mjerio. Kako bismo dovršili naš slučaj, uprava može nagraditi Franka na temelju broja istaknutih imena koja postoje u atributu ContosoShoeSizesTakenByMe njegovog korisničkog računa.

Sustav provjere i ravnoteže

Kritično ažuriranje, što je promjena sheme, ne može se izvesti bez provjere arhitektonske usklađenosti. Active Directory koristi ove provjere sigurnosti i dosljednosti kako bi potvrdio da promjene ne uzrokuju nedosljednosti ili druge probleme kada se shema Active Directory proširi ili promijeni.

Prije svega, vrijednost governsID za svaku klasu mora biti jedinstvena u shemi. Prilikom definiranja objekta schemaClass, svi atributi definirani na popisima systemMayContain, mayContain, systemMustContain i mustContain moraju već postojati. Istodobno, sve klase definirane na popisima subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors i possSuperiors moraju već postojati.

Osim toga, atribut objectClassCategory svih klasa na popisima systemAuxiliaryClass i auxiliaryClass mora biti klasa 88 ili pomoćna klasa. Isto tako, atribut objectClassCategory svih klasa na popisima systemPossSuperiors i possSuperiors mora biti definiran kao klasa 88 ili strukturna klasa.

Prilikom definiranja različitih klasa, apstraktne klase mogu se izvesti samo iz drugih apstraktnih klasa, pomoćne klase ne mogu biti izvedene iz strukturnih klasa, a strukturirane klase ne mogu se izvesti iz pomoćnih klasa. Osim toga, atribut naveden u rDNAttID mora biti nedvosmislen i sintaksiran kao unicode niz.

Ovo su neka od pravila koja se primjenjuju na objekte classSchema. Što je s pravilima za objekte attributeSchema? Kao i vrijednost governsID za klase, vrijednost attributeID mora biti jedinstvena. Osim toga, mAPIID vrijednost (ako postoji) mora biti jedinstvena. Nadalje, ako su rangeLower i rangeUpper prisutni, rangeLower mora biti manji od rangeUpper. Sintaksa atributa i sintaksa oMS moraju se podudarati. Ako je sintaksa atributa sintaksa objekta (oMSyntax = 127), mora imati ispravnu oMObjectClass. LinkID, ako postoji, mora biti jedinstven. Osim toga, stražnja veza mora imati odgovarajuću vezu naprijed.

Što ako dođe do pogreške?

Nakon proširenja sheme i dodavanja novih objekata (klasa i atributa) u nju, oni se ne mogu izbrisati. Međutim, klase i atributi se mogu onemogućiti postavljanjem isDefunct atributa objekta sheme na TRUE. Ne možete deaktivirati objekte sheme koji su dio zadane sheme isporučene s Active Directoryjem (objekti kategorije 1). Možete deaktivirati samo objekte dodane shemi prema zadanim postavkama, tj. Objekti kategorije 2, i to tek nakon provjere da se klasa ne koristi na popisima subClassOf, auxiliaryClass ili possSuperiors bilo koje postojeće glumačke klase.

Kada pokušate onemogućiti bilo koji atribut, Active Directory provjerava koristi li se na popisima mustContain i mayContain bilo koje postojeće učinkovite klase. Onemogućeni objekti mogu se ponovno omogućiti postavljanjem atributa isDefunct na FALSE. Ako Active Directory radi na razini Windows Server 2003, možete ponovno upotrijebiti ldapDisplayName, schemaIdGuid, OID i mapiID vrijednosti onemogućenih objekata.

Zaključak.

Dodavanje ili modificiranje definicije klase ili atributa u shemi također dodaje ili mijenja odgovarajući objekt classSchema ili attributeSchema. Ovaj je postupak sličan dodavanju ili izmjeni bilo kojeg objekta u Active Directory, osim što se provode dodatne provjere kako bi se osiguralo da promjene ne uzrokuju nedosljednosti i da možda neće uzrokovati buduće probleme sa shemom.

Iako promjena sheme Active Directory nije teška, važno je razumjeti strukturu sheme i proces implementacije tih promjena. Sve promjene u shemi Active Directory moraju se pažljivo planirati i izvršiti s velikom pažnjom. Važno je definirati poslovne zahtjeve i tehničke specifikacije za nove objekte te provesti opsežna ispitivanja. Budući da promjene mogu imati značajan učinak, preporučujemo da proširite shemu Active Directory samo ako je to apsolutno potrebno.

Teško je podcijeniti važnost "Active Directory Schema" za mreže izgrađene na vrhu okruženja domene Active Directory. To je temelj AD tehnologije i vrlo je važno pravilno razumjeti principe njezina rada. Većina administratora sustava ne obraća dovoljno pažnje na shemu zbog činjenice da se rijetko moraju nositi s njom. U ovom članku ću vam reći što je verzija sheme, zašto je moramo znati i, što je najvažnije, kako pogledati trenutnu verziju.

Prije svega, nekoliko riječi o samoj shemi, svaki objekt kreiran u Active Directory, bilo da se radi o korisniku ili računalu, ima određene parametre zvane atributi. Najjednostavniji primjer je atribut "Prezime" korisničkog objekta. Shema definira koje objekte možemo stvoriti u Active Directoryju i koje će atribute imati.

Active Directory omogućuje korištenje više kontrolera domene na temelju različitih verzija sustava Windows unutar iste organizacije. Naime, na temelju Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Budući da su ove verzije objavljene u različitim godinama, a svaka nova verzija nosi više funkcionalnosti od prethodne, razumijevanje sheme je drugačije za svaki operativni sustav. Stoga, kada dodajete novi kontroler baziran na Windows Server 2008 organizaciji u kojoj se postojeći kontroleri temelje na Windows Serveru 2003, morali ste pokrenuti uslužni program " Adprep". Time ste ažurirali svoju organizacijsku shemu na razinu s kojom funkcionira. Windows Server 2008.

Proces nadogradnje sheme izveden je prije instaliranja prvog Windows Server 2008 kontrolera, a stvarni postupak za instaliranje novog kontrolera možda nije izveden. Ako tek počinjete raditi s nekom vrstom organizacije Active Directory i ne znate koje su radnje provedene prije nego što ste se pridružili, kako biste razumjeli cjelovitost strukture, morat ćete znati na kojoj je razini shema trenutne organizacija radi.

Moguće verzije sheme:

13 - Windows 2000 Server
30 - Windows Server 2003 RTM, Windows 2003 sa servisnim paketom 1, Windows 2003 sa servisnim paketom 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Čak i ako svi kontroleri u vašoj organizaciji rade na Windows Server 2003 R2, a verzija sheme pokazuje "44", ne biste se trebali iznenaditi, to znači da je shema već nadograđena na Windows Server 2008 RTM razinu, ali sam kontroler iz nekog razloga ga nisu instalirali s razlogom.

Verziju sheme možete vidjeti na nekoliko načina, najjednostavniji je način pomoću uslužnog programa "DSQuery". Da biste to učinili, u naredbeni redak unesite naredbu sa sljedećim parametrima:

"Dsquery * cn = shema, cn = konfiguracija, dc = ime domene, dc = baza lokalnog opsega -attr objectVersion"

Naravno, u dijelu “ dc = ime domene, dc = lokalno " morate zamijeniti svoje ime domene. (Primjer: dc = microsoft, dc = com )

Rezultat unosa naredbe je dobivanje atributa “ ObjectVersion", koji će biti broj verzije sheme:

Riža. jedan Dobivanje verzije sheme putem uslužnog programa "DSQuery".

Druga metoda je duža i uključuje korištenje kopča " ADSIEdit.msc "... Da biste vidjeli verziju sheme, morat ćete se povezati s odjeljkom Active Directory sheme.

"CN = Shema, CN = Konfiguracija, DC = domena, DC = lokalno"

I pronađite vrijednost atributa " objectVersion".

sl. 2 Dohvaćanje verzije sheme putem dodatka " ADSIEdit.msc».

Poznavajući verziju sheme, uvijek možete s povjerenjem reći treba li se shema ažurirati i, ako je potrebno, do koje razine.

Treba napomenuti da se ažuriranja sheme mogu izvesti pomoću softvera koji je usko integriran s Active Directoryjem. Najupečatljiviji primjer Microsoft Exchange Servera. I često je u organizaciji koja planira implementirati Exchange Server potrebno saznati je li shema pripremljena? I ako je tako, koja verzija Exchange Servera. Trenutačno postoje tri verzije Exchangea koje rade s Active Directoryjem, ali postoji šest opcija za izmjenu sheme. Možete razumjeti da li je poslužitelj promijenio shemu Exchange Active Directory pomoću atributa " raspon gornji ", koji uzima sljedeće vrijednosti:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 sa servisnim paketom 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 sa servisnim paketom 3
10628 - Exchange Server 2007
11116 - Exchange 2007 sa servisnim paketom 1

Kao što možete vidjeti, ažuriranje sheme također se događa kada instalirate skup ažuriranja SP3 za Exchange Server 2000/2003 i SP1 za Exchange 2007.

Pogledajte vrijednost atributa " rasponGornji " možete koristiti uslužni program DSQuery:

"dsquery * CN = ms-Exch-Schema-Version-Pt, cn = shema, cn = konfiguracija, dc = naziv domene, dc = lokalni -scope base -attr rangeUpper"

Riža. 3 Dobivanje atributa " rasponGornji " putem uslužnog programa DSQuery.

Ako se nakon unosa ove naredbe vrati odgovor koji ukazuje na nepostojanje atributa " rasponGornji " može se zaključiti da shema nije promijenjena.

Proces ažuriranja sheme vrlo je važan za svaku organizaciju Active Directory, stoga treba izbjegavati nepotrebne, nepotrebne korake. Razumijevanje suštine atributa" objectVerzija "i« rasponGornji " daje tehničaru prednost pri radu s Active Directoryjem u nepoznatoj organizaciji, a također je i pomoćni alat u rješavanju problema.

Materijal koji pruža resurs

Shema u AD DS-u odnosi se na skup definicija za sve tipove objekata i povezane atribute u katalogu. To je shema koja definira način na koji AD DS pohranjuje i konfigurira podatke o svim korisnicima, računalima i drugim objektima tako da imaju dosljedan izgled u cijeloj AD DS strukturi. Zaštićen je korištenjem Diskrecijskih popisa za kontrolu pristupa (DACL) i odgovoran je za pružanje mogućih atributa za svaki objekt u AD DS-u. U biti, shema je osnovna definicija samog imenika i temelj je funkcionalnosti okruženja domene. Morate biti izuzetno oprezni pri delegiranju kontrole sheme na odabranu grupu administratora jer promjene sheme utječu na cijelo okruženje AD DS-a.

Objekti sheme

Stavke pohranjene unutar AD DS strukture, kao što su korisnici, pisači, računala i web-mjesta, nazivaju se objektima unutar sheme. Svaki takav objekt ima svoj popis atributa koji određuju njegove karakteristike i mogu se koristiti za njegovo pronalaženje.

Proširivanje sheme

Jedna od glavnih prednosti AD DS dizajna je mogućnost izravne izmjene i proširenja sheme kako bi uključila posebne atribute. Obično se proširenje skupa atributa događa tijekom instalacije Microsoft Exchange Servera, u kojem se shema proširuje na način da se gotovo udvostruči. Nadogradnja s Windows Server 2003 ili Windows Server 2008 AD na Windows Server 2008 R2 AD DS također proširuje shemu kako bi uključila atribute koji su specifični za Windows Server 2008 R2. Mnogi proizvodi trećih strana također pružaju proširenja sheme koja im omogućuju prikaz njihovih vrsta kataloških informacija.