Proširenje sheme Active Directory. Glavna shema — Glavna shema Active Directoryja

Teško je podcijeniti važnost "Active Directory sheme" za mreže izgrađene na temelju domenskog okruženja Active Directory. To je osnova AD tehnologije i vrlo je važno ispravno razumjeti principe njezina funkcioniranja. Većina administratora sustava ne obraća dužnu pozornost na shemu zbog činjenice da se rijetko moraju nositi s njom. U ovom ću vam članku reći što je verzija sklopa, zašto je moramo znati i što je najvažnije, kako je vidjeti Trenutna verzija. Prije svega nekoliko riječi o samoj shemi, svaki objekt kreiran u Active Directory-u, bilo korisnik ili računalo, ima određene parametre koji se nazivaju atributi. Najviše jednostavan primjer može poslužiti kao atribut “Prezime” korisničkog objekta. Shema definira koje objekte možemo kreirati u Active Directory i koje će atribute imati.

Active Directory omogućuje korištenje nekoliko kontrolera domene izgrađenih na temelju unutar jedne organizacije različite verzije Windows OS. Naime, na osnovu Windows poslužitelj 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Budući da su ove verzije izdane u različite godine, i svaki nova verzija nosi više funkcionalnosti od prethodnog, svaki ima razumijevanje sklopa operacijski sustav tvoje. Stoga, kada dodajete novi kontroler u Temeljen na sustavu Windows Server 2008 u organizaciji u kojoj su postojeći kontroleri izgrađeni na Windows Serveru 2003, morali ste pokrenuti " Adprep" Dakle, ažurirali ste dijagram svoje organizacije na razinu na kojoj radi Windows Server 2008.

Proces ažuriranja sheme izvršen je prije prve instalacije Windows kontroler Server 2008 i stvarni postupak za instaliranje novog kontrolera možda nisu provedeni. Ako tek počinjete raditi s organizacijom Active Directory i ne znate koje su aktivnosti provedene prije vašeg dolaska, da biste razumjeli cjelovitost strukture, morat ćete znati na kojoj razini radi shema trenutne organizacije.

Moguće verzije sklopa:

13 – Windows 2000 Server
30 – Windows Server 2003 RTM, Windows 2003 With Servisni paket 1, Windows 2003 sa servisnim paketom 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM

Čak i ako svi kontroleri u vašoj organizaciji rade na Windows Server 2003 R2, a verzija kruga pokazuje "44", ne biste trebali biti iznenađeni, to znači da je sklop već ažuriran na razinu Windows Server 2008 RTM, ali kontroler sama iz nekog razloga nije bilo razloga da ga instalirate.

Postoji nekoliko načina za pregled verzije sheme. Najjednostavnija metoda je korištenje uslužnog programa DSQuery. U tu svrhu u naredbeni redak morate unijeti naredbu sa sljedećim parametrima:

“dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion”

Naravno u dijelu “ dc= naziv domene dc= lokalni" morate zamijeniti vlastiti naziv domene. (Primjer: dc= Microsoft, dc= com )

Rezultat unosa naredbe je dobivanje atributa " ObjectVersion", što će biti broj verzije sheme:

Riža. 1 Dobivanje verzije sheme putem uslužnog programa DSQuery.

Druga metoda je duža i uključuje korištenje " ADSIEdit. msc» . Da biste vidjeli verziju sheme, morat ćete se spojiti na particiju sheme Active Directory.

"CN=shema,CN=konfiguracija,DC=domena,DC=lokalno"

I pronađite vrijednost atributa " objectVersion".

sl.2 Dohvaćanje verzije sheme putem snap-ina " ADSIEdit. msc».

Poznavajući verziju sheme, uvijek možete s pouzdanjem reći treba li shemu ažurirati i, ako je potrebno, do koje razine.

Treba napomenuti da se shema može ažurirati softver usko integriran s Active Directoryjem. Najsjajniji Microsoftov primjer Exchange poslužitelj. I često u organizaciji koja planira implementirati Exchange Server, potrebno je saznati je li shema pripremljena? I ako da, koja verzija Exchange Servera. Trenutačno postoje tri verzije Exchangea koje rade s Active Directoryjem, ali postoji šest opcija za izmjenu sheme.

Da biste razumjeli je li došlo do izmjene
Shema aktivnog imenika Exchange poslužitelj moguće po atributu " rangeUpper", koji uzima sljedeće vrijednosti:

4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 sa servisnim paketom 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 sa servisnim paketom 3
10628 – Exchange Server 2007
11116 – Exchange 2007 sa servisnim paketom 1

Kao što možete vidjeti, ažuriranje sheme također se događa kada se instalira set ažuriranja SP3 za Exchange Server 2000/2003 i SP1 za Exchange 2007.

Pogledaj vrijednost atributa " RangUpper" Možete koristiti uslužni program DSQuery:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=shema, cn=konfiguracija, dc=naziv domene, dc=local -scope base -attr rangeUpper"

Riža. 3 Dobivanje atributa " RangUpper" putem uslužnog programa DSQuery.

Ako se nakon unosa ove naredbe vrati odgovor koji ukazuje na odsutnost atributa " RangUpper" možemo zaključiti da shema nije mijenjana.

Proces ažuriranja sheme je vrlo važna točka za svakoga Aktivne organizacije Imenik, stoga biste trebali izbjegavati nepotrebne, neopravdane radnje. Razumijevanje suštine atributa " objectVersion"I« RangUpper" daje stručnjaku prednost pri radu s Active Directory u nepoznatoj organizaciji, a također je i pomoćni alat pri rješavanju problema.

Od izdanja Active Directory-a sa sustavom Windows 2000, Microsoft je korisnicima dao definiciju osnovne sheme za implementaciju Active Directory-a.

Izdanje Active Directory® također je označilo promjenu u načinu pisanja i implementacije mnogih aplikacija na Windows®. Prethodno su aplikacije kao što je Microsoft® Exchange 5.5 izgrađene s vlastitom strukturom direktorija. Od uvođenja Active Directoryja, mnoge aplikacije (od Microsofta i drugih tvrtki) počele su iskorištavati prednosti pružene temeljne strukture umjesto da stvaraju vlastitu shemu od nule.

U početku je korištena osnovna arhitektura koju je pružao Active Directory, a zatim je po potrebi proširena. U Microsoft Exchange 2000., na primjer, Active Directory korišten je za implementaciju sustava za razmjenu poruka, čime je definirana budućnost Microsoftove arhitekture za razmjenu poruka.

Danas se mnoge aplikacije izrađene za rad u okruženju Active Directory oslanjaju na temeljnu shemu, a mnoge aplikacije također definiraju vlastite promjene sheme kako bi izvršile potrebne promjene. Da biste to učinili, naravno, potreban vam je krug koji se može proširiti, o čemu će biti riječi u ovom članku. Štoviše, budući da mnoge aplikacije ovise o osnovne definicije u aktivnom imeniku stalna stabilnost temeljne sheme iznimno je važna. Budući da mnoge aplikacije moraju raditi zajedno u istom aktivnom imeniku, promjene jedne aplikacije ne bi trebale utjecati na druge aplikacije.

Što je shema?

Za mnoge ljude shema Active Directory pomalo je crna kutija, a ideja o mijenjanju same sheme može biti zastrašujuća. Naravno, proširenje Aktivne sheme Imenik se ne mora raditi svaki dan, ali neke aplikacije ili tvrtke to zahtijevaju. Stoga je vrlo važno razumjeti prirodu sheme i njen sastav, budući da je Active Directory važna prednost za mnoge organizacije, čiji kvar zbog netočnog ažuriranja može imati ozbiljne posljedice.

Kao strategiju, mnoge organizacije koriste Active Directory Lightweight Directory Services (ADLDS) u Windows Server® 2008 (ili Active Directory Application Mode (ADAM) u Windows Server 2003) kao alternativu za testiranje ili izravnu implementaciju prilagođene definicije shemu umjesto proširenja sheme Active Directory.

Shema je osnovna struktura, koji pruža format za imeničku uslugu. Shema Active Directory definira atribute i klase objekata koji se koriste u usluge domene Active Directory (ADDS). Osnovna shema sadrži definicije za mnoge dobro poznate klase (kao što su korisnik, računalo i organizacijska jedinica) i atribute (kao što su telefonski broj i objectSID). Objekti u definiciji glavne sheme nazivaju se objekti kategorije 1, a objekti koji se dodaju nazivaju se objekti kategorije 2.

Shema Active Directory nalazi se u spremniku definiranom putem cn=Schema, cn=Configuration,dc=X, gdje je X imenski prostor šume Active Directory. Imajte na umu da šuma Active Directory sadrži samo jednu shemu; Promjene u definiciji sheme u šumi utječu na sve domene u toj šumi. Na riža. 1 prikazuje broj klasa i atributa dodanih u shemu Active Directory u različitim verzijama Windows Servera.

Broj klasa i atributa

Ažuriranje sheme za različite verzije Windows Server implementiran je pomoću uslužnog programa Adprep. Prilikom nadogradnje na Windows Server 2003 R2, verzija sheme ažurira se na 31, a prilikom nadogradnje na Windows Server 2008 ažurira se na 44.

Broj verzije možete pronaći provjerom vrijednosti atributa objectVersion na cn=Schema,cn=Configuration,dc=X u Active Directory pomoću alata kao što je ADSIEdit. Imajte na umu da neke aplikacije, kao što je Exchange Server, Upravljanje sustavom Poslužitelj (SMS) i druge aplikacije koje ovise o Active Directoryju mogu promijeniti shemu kako bi odgovarala zahtjevima aplikacije.

Osnovne komponente

Active Directory se sastoji od dvije vrste objekata: classSchema (skraćeno klasa) i attributeSchema (skraćeno atribut). Obično se proširenje sheme Active Directory razmatra ako organizacija treba pohraniti podatke u određenim atributima koji nisu dostupni u postojećoj shemi. Atribut u Shema imenika stvoren određivanjem objekta attributeSchema u spremniku sheme i zatim definiranjem potrebna svojstva novi objekt.

Za popis svojstava i informacija o objektu attributeSchema pogledajte go.microsoft.com/fwlink/?LinkId=110445. Kao što vidite, za objekte se može definirati atributSchema veliki broj svojstva, od kojih su neka obavezna.

Osim uobičajenih atributa, shema također sadrži posebni atributi, nazivaju se povezanim i implementiraju se u parovima određivanjem veza naprijed i natrag. Kao primjer, razmotrite članstvo u grupi u Active Directory. Atribut članstva bilo koje grupe (na primjer, grupa ContosoEmployees s članom Johnom Doeom) je veza prema naprijed, a odgovarajući atribut memberOf objekta člana je povratna veza (tako da kada se upita atribut memberOf člana Johna Doea, izračunava se razlikovno ime (DN) grupe ContosoEmployees).

Veza prema naprijed funkcionira na isti način kao i bilo koji drugi atribut. Vrijednosti mogu imati jednu vrijednost ili više vrijednosti (poput atributa članstva, koji može sadržavati više objekata kao članova grupe) i pohranjuju se u direktoriju zajedno s nadređenim objektom.

Povratne veze, s druge strane, održava sustav kako bi se osigurao integritet podataka. Kada se traži vrijednost atributa povratne veze, rezultat se izračunava na temelju svih odgovarajućih vrijednosti veze prema naprijed. Povratne veze su uvijek dvosmislene.

Sve klase objekata u ADDS-u definirane su objektom classSchema u spremniku sheme. Za popis atributa koji su najvažniji za uspješno definiranje objekta classSchema, pogledajte go.microsoft.com/fwlink/?LinkId=110445.

Postoje tri vrste klasa koje se mogu definirati: strukturne, apstraktne i korisne. Tip klase određen je vrijednošću atributa objectClassCategory. (Četvrta kategorija, poznata kao 88, uključuje klase definirane prije standarda X.500 iz 1993. Ova vrsta klase označena je vrijednošću 0 u atributu objectClassCategory. Ovaj tip više ne treba definirati.)

Dobivanje i korištenje identifikatora

Identiteti svih classSchema i attributeSchema objekata u direktoriju definirani su pomoću potrebnih identifikatora objekata (OID-ova), governsID za classSchema objekte i attributeID za attributeSchema objekte. Ove su jedinstvene numeričke vrijednosti, pod uvjetom određenim centrima za prepoznavanje predmeta. Numeriranje je u skladu s definicijom LDAP protokola (RFC 2251). Neke identifikatore objekata u shemi Active Directory izdaju Međunarodna organizacija za standardizaciju (ISO) i Microsoft. Identifikator objekta u direktoriju mora biti jedinstven.

ID objekta je niz brojeva, na primjer 1.2.840.113556.1.y.z, kao što je prikazano u riža. 2. Dakle, ID korisničkog objekta classSchema je 1.2.840.113556.1.5.9.

ID korisničkog objekta

Kada organizacija želi proširiti shemu, osigurava da je identifikator entiteta jedinstven dobivanjem vlastitog korijenskog OID broja, koji se koristi za stvaranje jedinstvenih identifikatora za nove atribute organizacije i klase entiteta. Korijen identifikatora objekta može se dobiti izravno od ISO nacionalnog ureda za registraciju (u SAD-u, American National Standards Institute (ANSI)).

Postupak i naknade za uslugu dobivanja ID-a korijenskog objekta mogu se pronaći na ansi.org. U drugim regijama kontaktirajte odgovarajuću organizaciju članicu ISO-a koja je navedena na iso.org/iso/about/iso_members.htm.

Prije su organizacije dobivale ID objekta od Microsofta slanjem poruke E-mail po adresi [e-mail zaštićen]. Međutim, to sada rezultira automatskim odgovorom koji traži da preuzmete i pokrenete VBScript s go.microsoft.com/fwlink/?LinkId=110453.

Identifikatorima objekata koje izdaje Microsoft dodjeljuje se broj numeričkog prostora Microsoftovog identifikatora objekta: 1.2.840.113556.1.8000.x, gdje je x jedinstveni broj dodijeljen organizaciji. Organizacija može odvojiti ove identifikatore za identifikaciju objekata. Dakle, možete koristiti 1.2.840.113556.1.8000.x.1.y za nove objekte classSchema i 1.2.840.113556.1.8000.x.2.z za objekte attributeSchema (gdje je x jedinstveni organizacijski broj, a y i z su dodijeljeni brojevi određene objekte classSchema odnosno attributeSchema). Također se preporučuje da koristite jedinstveni prefiks organizacije za razlikovanje imena ovih objekata.

Definiranje pridruženih atributa

Vrijednost attributeSyntax povratne veze mora biti 2.5.5.1, što je sintaksa objekta (DS-DN). Obično se atributi povratne veze dodaju vrijednosti mayContain klase s najvećom apstrakcijom. Ovo osigurava da se atribut povratne veze može čitati iz objekata bilo koje klase, budući da takvi atributi nisu pohranjeni u objektu, već se izračunavaju na temelju vrijednosti veze prema naprijed.

Windows Server 2003 uveo je značajku koju organizacije mogu koristiti za povezivanje dvaju objekata u shemi: automatsko stvaranje linkIDs. Ova funkcija osigurava da se linkID automatski generira za novi povezani atribut ako je linkID atributa postavljen na 1.2.840.113556.1.2.50. Odgovarajuća povratna veza se stvara postavljanjem linkID-a na attributeId ili ldapDisplayName veze prema naprijed. Predmemorija sheme mora se ponovno učitati nakon stvaranja veze prema naprijed i prije stvaranja veze unatrag. Inače, attributeId ili ldapDisplayName atribut neće biti pronađen prilikom stvaranja povratne veze. Predmemorija sheme ponovno se učitava na zahtjev nekoliko minuta nakon promjene sheme ili kada se kontroler domene ponovno pokrene.

Ako je usluga Active Directory pokrenuta Razina prozora 2000, morate zatražiti linkID od Microsofta slanjem e-pošte na [e-mail zaštićen]. Automatski odgovor će sljedeći redak: "E-poruke poslane na [e-mail zaštićen] bit će obrađeni samo ako su povezani s registracijama linkID-a za naslijeđena okruženja." (Poruke e-pošte poslane na [e-mail zaštićen], bit će obrađeni samo ako se odnose na registraciju linkID-ova za naslijeđena okruženja.) Da biste to učinili, morate navesti u svojoj e-poruci sljedeće informacije: naziv tvrtke, ime osoba za kontakt, e-mail adresa, broj telefona, registrirani prefiks (ako je potrebno), ID registriranog objekta (ako je potrebno).

Možete početi širiti shemu

Recimo da odlučite proširiti svoju shemu Active Directory. Rješenje može uključivati ​​prekid korištenja alternativnog imenika implementiranog kroz ADLDS (ili ADAM u sustavu Windows Server 2003) nakon što se utvrdi da neće zadovoljiti zahtjeve. Sljedeći korak je definiranje novih objekata attributeSchema koje je potrebno dodati u shemu; ovo definira sve potrebne vrijednosti (kao što su cn, ldapDisplayName, itd.) koje označavaju ove nove objekte. Kada definirate vrijednosti atributa za objekt, također dobivate identifikator objekta od Microsofta ili drugog izvora. Gore navedene aktivnosti dokumentirane su kao poslovni zahtjevi i tehničke specifikacije. Štoviše, implementirano je eksperimentalno laboratorijsko okruženje koje simulira rad Active Directoryja i spremno je za testiranje.

Mnoge organizacije stvaraju posebne odbore za odobravanje ili odbijanje takvih promjena i uspostavljanje procesa za njihovu provedbu. Ove provjere i ravnoteže su ključne jer se Active Directory koristi kao pouzdani izvor informacija u mnogim organizacijama, što je važno održavati. u radnom stanju Jednom kad se promjene naprave, ne može se pretjerivati.

Nakon što organizacija odluči nastaviti s projektom, moraju se definirati planovi za testiranje i implementaciju projekta. Svoju shemu možete proširiti dodavanjem novih objekata pomoću dodatka Shema konzole Active Directory Microsoftovo upravljanje(MMC) ili pomoću programskih ili poluprogramskih metoda (na primjer, korištenje LDIFDE za uvoz LDIF datoteka; korištenje CSVDE za uvoz CSV datoteke; ili pomoću skripti za ADSI sučelja).

Bez obzira na odabranu metodu, ova se funkcija mora izvoditi na poslužitelju koji ima uloga FSMO-a(Flexible Single Master Operations) master sheme u šumi Active Directory ili povezan s njom. Osim, račun Korisnik koji se koristi za ažuriranje sheme zahtijeva dovoljna administrativna prava za izvođenje ažuriranja, stoga mora biti uključen u grupu administratora sheme. Konačno, morate omogućiti ažuriranja sheme za šumu (onemogućeno prema zadanim postavkama).

Osim ako je promjena jednostavna, treba je učiniti automatski kako bi se osigurala standardizacija između faza testiranja i implementacije te kako bi se spriječile pogreške koje se mogu pojaviti ručnim koracima. Recimo da odlučite provesti promjenu pomoću alata LDIFDE. Da biste instalirali ažuriranja prilikom proširenja sheme, morate dodati nove atribute i klase, dodati nove atribute klasama, a zatim pokrenuti ponovno učitavanje predmemorije. Dolje je nekoliko primjera.

Dodavanje atributa

Za potrebe ove rasprave, pretpostavimo da organizacija pod nazivom Contoso treba dodati atribut u Active Directory koji identificira veličinu cipela svih zaposlenika. U šuma Aktivan Imenik dvije domene: contoso.com i zaposlenih.contoso.com. Svi objekti kreirani korištenjem definicije korisničke klase također moraju sadržavati ovaj novi atribut.

Važno je zapamtiti da promjena sheme utječe na obje domene jer se nalaze u istoj šumi. Recimo da primite ID objekta 1.2.840.113556.8000.9999 od Microsofta, koji se dijeli na 1.2.840.113556.8000.9999.1 za objekt classSchema i 1.2.840.113556.8000.9999.2 za Contoso's attributeSchema. Sada trebate definirati sve vrijednosti atributa za ovaj novi objekt, kao što je prikazano u riža. 3.

Definiranje atributa contosoEmpShoe

Osim toga, iako bi atribut contosoEmpShoe trebao biti dostupan svim objektima stvorenim kao objekti korisničke klase, ne preporučuje se mijenjati zadanu definiciju korisničke klase. Umjesto toga, trebali biste definirati pomoćnu klasu contosoUser s atributom mayContain postavljenim na contosoEmpShoe, kao što je prikazano u riža. 4. Zatim trebate dodati atribute definirane za klasu pomoćnika contosoUser u klasu korisnika.

Definiranje klase contosoUser

Sada kada je analiza obavljena i vrijednosti su određene, morate kreirati LDIF datoteku koja će izgledati nešto poput koda u riža. 5. Možete kopirati kod na riža. 5 u Notepad i spremite datoteku kao contosoUser.ldif (uključeno u preuzimanje na technetmagazine.com).

LDIF datoteka za proširenje sheme

#ATTRIBUTE Definicija za CONTOSOEMPSHOE DN: CN = CONTOSOEMPSHOE, CN = SCHEMA, CN = konfiguracija, DC = X CHANGETYPE: NTDDSCHEMAADD OBJECTCLASS: Top ObjectClass Ttributeschema CN: ContosoEmpshoe Attributeid: 1.2.840.113555.1.8000.9999. 2.1 Sintaksa atributa: 2.5.5.12 isSingleValued : TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - # Klase dn: CN=contosoUser,CN= Shema,CN=Konfiguracija, DC = X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governsID: 1.2.840.113556.1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDisplayName: contosoUser adminDescription: contosoUser objectClassCategory: 3 lDA PD isplayName: contosoUser name: contosoUser systemOnly: FALSE dn : changetype: modificirati add: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=Korisnik,CN=Shema,CN=Configuration,DC=X changetype: ntdsschemamodify add: auxiliaryClass auxiliaryClass: contosoUser - dn: changetype: modificirati add: schemaUpdateNow schemaUpdateNow: 1

Nakon što stvorite LDIF datoteku, morate temeljito testirati svoju implementaciju u okruženju pilot laboratorija, provjeriti end-to-end domenu i replikaciju šume i omogućiti ažuriranja sheme u šumi. Sada se morate prijaviti pomoću računa koji ima administratorska prava sheme. Možda ćete morati onemogućiti izlaznu replikaciju na masteru sheme (gdje će se izvršiti promjene) i pokrenuti sljedeću naredbu za uvoz LDIF datoteke:

Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=shema,CN=konfiguracija,DC=X" #schemaNamingContext

Nakon što napravite promjene, omogućite izlaznu replikaciju na glavnoj shemi i osigurajte da je replikacija dovršena za sve kontrolere domene.

Duboko udahnite – gotovi ste! Definirali ste novi atribut u shemi koji će biti povezan s objektima stvorenim korištenjem korisničke klase (to jest, korisničkih računa).

Da biste testirali promjene, otvorite Active Directory Users and Computers, povežite se s domenom zaposlenih.contoso.com, odaberite korisničku organizacijsku jedinicu i izradite novi korisnički račun pod nazivom ContosoTestUser. Sada otvorite konzolu adsiedit.msc i povežite se na particiju domene dc=employees,dc=contoso,dc=com, proširite particiju Users, desnom tipkom miša kliknite ContosoTestUser, zatim otvorite stranicu Svojstva. Pronađite atribut contosoEmpShoe. Možete promijeniti ovaj atribut da biste unijeli vrijednost. Također možete koristiti pomoćni program Ldp.exe za provjeru i promjenu atributa.

Sada pogledajmo primjer definiranja i povezivanja dvaju atributa i zamislimo da je tvrtki Contoso vrlo važna veličina cipela njezinih zaposlenika i da treba pratiti godišnju produktivnost stručnjaka koji mjere veličinu cipela zaposlenika tvrtke. Iako se ovo može činiti smiješnim, pretpostavimo također da Contoso treba pratiti ne samo tko je odgovoran za mjerenje veličina cipela zaposlenika, već i zaposlenike čije su veličine cipela izmjerene i njihov broj, sve upitom jednog atributa. (Iako možda mislite da bi tablice baze podataka bile prikladnije za pohranjivanje ove vrste podataka, ovdje je svrha jednostavno objasniti kako funkcioniraju veze prema naprijed i prema natrag.)

Naravno, prvo ćete napraviti analizu sličnu onoj koju sam spomenuo u prethodnom primjeru. Međutim, krenimo sada i stvorimo LDIF datoteke (linkids1.ldif i linkids2.ldif) kao što je prikazano u riža. 6. Zatim ćemo pokrenuti sljedeću naredbu za uvoz LDIF datoteka:

LDIF datoteke veza naprijed i natrag

#linkids1.ldif #Definicija atributa za prosljeđivanje atributa veze dn: CN=ContosoShoeSizeTaker,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker attributeID: 1.2.840.113556.1.8000.9999.2. 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeSizeTaker systemOnly : FALSE dn : changetype: modificirati add: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Definicija atributa za povratnu vezu atribut dn: CN=ContosoShoeSizesTakenByMe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizesTakenByMe attributeID: 1.2.840.113556.1.80 00.999 9.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescription: ContosoShoeSizesTakenByMe oMSyntax: 64 searchFlags: 1 lDAPDisplayName : ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - # Dodajte atribut ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe kao MayContain u #contosoUser klasi dn: CN= contosoUser,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe dn: changetype: mod ify dodaj: schemaUpdateNow schemaUpdateNow : 1 - #Dodaj atribut povratne veze kao MayContain u Top dn: CN=Top,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 ldifde – i –f \linkedids.ldif –b -k –j. –c "CN=shema,CN=konfiguracija,DC=X" #schemaNamingContext

Sada kada stvorite korisnički objekt, on će također imati atribute ContosoShoeSizeTaker i ContosoShoeSizesTakenByMe. Kada, na primjer, stvorite korisnički objekt za Johna, atribut ContosoShoeSizeTaker popunjava se istaknutim imenom osobe koja je izmjerila broj cipela, Frank. Ako sada odete do svojstava Frankovog korisničkog objekta i postavite upit ContosoShoeSizesTakenByMe atributa, rezultat će sadržavati istaknuto ime Franka i ostalih čiju je veličinu cipela Frank izmjerio. Da dovršimo naš slučaj, uprava bi mogla nagraditi Franka na temelju broja istaknutih imena koja postoje u atributu ContosoShoeSizesTakenByMe njegovog korisničkog računa.

Sustav provjera i ravnoteže

Kritično ažuriranje, kao što je promjena sheme, ne može se izvesti bez provjere sukladnosti s arhitektonskim zahtjevima. Te provjere sigurnosti i dosljednosti koristi Active Directory kako bi osigurao da promjene ne uzrokuju nedosljednosti ili druge probleme prilikom proširenja ili promjene sheme Active Directory.

Prije svega, vrijednost governsID za svaku klasu mora biti jedinstvena u shemi. Prilikom definiranja objekta schemaClass, svi atributi definirani na popisima systemMayContain, mayContain, systemMustContain i mustContain moraju već postojati. Istodobno, sve klase definirane u popisima subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors i possSuperiors također moraju već postojati.

Dodatno, atribut objectClassCategory svih klasa u popisima systemAuxiliaryClass i auxiliaryClass mora biti klasa 88 ili pomoćna klasa. Isto tako, atribut objectClassCategory svih klasa u popisima systemPossSuperiors i possSuperiors mora biti definiran kao klasa 88 ili strukturna klasa.

Prilikom definiranja različitih klasa, apstraktne klase mogu se izvesti samo iz drugih apstraktnih klasa, pomoćne klase ne mogu se izvesti iz strukturnih klasa, a strukturne klase ne mogu se izvesti iz pomoćnih klasa. Osim toga, atribut naveden u rDNAttID mora biti nedvosmislen i imati sintaksu Unicode niza.

Ovo su neka od pravila koja se odnose na objekte classSchema. Što je s pravilima za objekte attributeSchema? Kao i vrijednost governsID za klase, vrijednost attributeID mora biti jedinstvena. Osim toga, vrijednost mAPIID (ako postoji) mora biti jedinstvena. Zatim, ako su prisutni rangeLower i rangeUpper, vrijednost rangeLower mora biti manja od vrijednosti rangeUpper. Vrijednosti attributeSyntax i oMSyntax moraju se podudarati. Ako je sintaksa atributa sintaksa objekta (oMSyntax =127), mora imati ispravnu oMObjectClass. LinkID, ako postoji, mora biti jedinstven. Dodatno, povratna veza mora imati odgovarajuću vezu prema naprijed.

Što ako je došlo do pogreške?

Nakon što je shema proširena i dodani su joj novi objekti (klase i atributi), oni se ne mogu brisati. Međutim, klase i atributi mogu se onemogućiti postavljanjem atributa isDefunct objekta sheme na TRUE. Ne možete deaktivirati objekte sheme koji su dio zadane sheme koja dolazi s Active Directoryjem (objekti 1. kategorije). Samo objekti dodani zadanoj shemi mogu se deaktivirati, tj. Objekte kategorije 2 i tek nakon provjere da se klasa ne koristi u popisima subClassOf, auxiliaryClass ili possSuperiors bilo koje postojeće efektivne klase.

Kada pokušate onemogućiti bilo koji atribut, Active Directory provjerava koristi li se na mustContain i mayContain popisima bilo koje postojeće važeće klase. Onemogućeni objekti mogu se ponovno omogućiti postavljanjem atributa isDefunct na FALSE. Ako Active Directory radi na razini Windows Server 2003, možete ponovno koristiti vrijednosti ldapDisplayName, schemaIdGuid, OID i mapiID onemogućenih objekata.

Zaključak.

Kada dodate ili promijenite definicije klase ili atributa u shemi, također dodajete ili mijenjate odgovarajući objekt classSchema ili attributeSchema. Ovaj je postupak sličan dodavanju ili mijenjanju bilo kojeg objekta u Active Directory, osim što dodatne provjere da promjene ne uzrokuju nedosljednost i ne mogu uzrokovati probleme u krugu u budućnosti.

Iako promjena sheme Active Directory nije kompliciran proces, važno je razumjeti strukturu sheme i postupak za implementaciju tih promjena. Sve promjene na shemi Active Directory moraju biti pažljivo planirane i izvedene vrlo pažljivo. Važno je definirati poslovne zahtjeve i Tehničke specifikacije za nove objekte i provesti opsežna ispitivanja. Budući da promjene mogu imati značajan utjecaj, preporuča se proširiti shemu Active Directory samo kada je to apsolutno neophodno.

Imenička usluga koristi se za identifikaciju korisnika i resursa na mreži. U usporedbi s prethodnim verzijama sustava Windows Microsoft Windows Godine 2003. mogućnosti Active Directory-a značajno su proširene. Active Directory pruža jedinstveno iskustvo upravljanja mrežom koje olakšava dodavanje, uklanjanje i premještanje korisnika i resursa.

Predstavljamo Active Directory

Alati Active Directory omogućuju vam da dizajnirate strukturu imenika koja odgovara vašoj organizaciji. U ovoj ćete se lekciji upoznati s korištenjem objekata Active Directory i svrhom njegovih komponenti.

Nakon proučavanja materijala u ovoj lekciji, moći ćete:

objasniti svrhu atributa objekta Active Directory i sheme;

Definirati i opisati funkcije komponenti Active Directory.

Objekti aktivnog imenika

Kao i sve usluge koje informacije čine dostupnima i korisnima, Active Directory pohranjuje informacije o mrežni resursi. Ovi resursi, poput korisničkih podataka, opisa pisača, poslužitelja, baza podataka, grupa, računala i sigurnosnih politika, nazivaju se objekti.

Objekt je jednoimenovani skup atributa koji predstavljaju mrežni resurs. Atributi objekta su njegove karakteristike u imeniku. Na primjer, atributi korisničkog računa mogu uključivati ​​ime i prezime, odjel i adresu e-pošte (Slika 2-1).

U aktivnom Objekti imenika mogu se organizirati u klase, odnosno u logičke skupine. Primjer klase je zbirka objekata koji predstavljaju korisničke račune, grupe, računala, domene ili organizacijske jedinice (OU).

Napomena Objekti koji mogu sadržavati druge objekte nazivaju se spremnici. Na primjer, domena je objekt spremnika koji može sadržavati korisnike, računala i druge objekte.

Koji se objekti mogu pohraniti u Active Directory određuje njegova shema.

ShemaAktivanImenik

Shema Active Directory je popis definicija koje definiraju vrste objekata koji se mogu pohraniti u Active Directory i vrste informacija o njima. Same definicije su također pohranjene kao objekti, tako da Active Directory upravlja njima koristeći iste operacije koje se koriste za druge objekte u Active Directory.

Postoje dvije vrste definicija u shemi: atributi i klase. Također se nazivaju objekti sheme ili metapodaci.

Atributi su definirani odvojeno od klasa. Svaki atribut je definiran samo jednom i može se koristiti u više klasa. Na primjer, atribut Opis koristi se u mnogim klasama, ali je definiran samo jednom u shemi, što osigurava njegovu cjelovitost.

Klase, koje se nazivaju i klase objekata, opisuju koji objekti Active Directory mogu biti kreirani. Svaka klasa je skup atributa. Kada je objekt kreiran, atributi pohranjuju informacije koje ga opisuju. Na primjer, atributi klase korisnika uključuju mrežnu adresu, kućni imenik itd. Svaki objekt u aktivnom imeniku je instanca klase objekta.

Windows 2000 Server ima ugrađen skup osnovnih klasa i atributa. Definiranjem novih klasa i novih atributa za postojeće klase, iskusni programeri i mrežni administratori mogu dinamički proširiti shemu. Na primjer, ako trebate pohraniti informacije o korisnicima koji nisu definirani u shemi, možete proširiti shemu za klasu Korisnici. Međutim, takvo proširenje sheme prilično je složena operacija s mogućim ozbiljnim posljedicama. Budući da se shema ne može izbrisati, samo deaktivirati i automatski se replicira, morate se pripremiti i isplanirati njezino proširenje.

Dijagram uključuje formalni opis sadržaja i strukture baze podataka Podaci aktivni Imenik. Konkretno, ukazuje na sva svojstva objekata i njihovih klasa. Za svaku klasu objekta definirana su sva moguća svojstva, Dodatne mogućnosti, kao i koja klasa objekata jest i može biti predak trenutne klase.

Instaliranje Active Directory, na prvom kontroleru domene kreira se standardna shema koja sadrži opis najčešće korištenih objekata i svojstava objekata. Osim toga, dijagram pruža opis unutarnjih objekata i svojstava Active Directoryja.

Shema je proširiva, dakle Administrator sustava može kreirati nove tipove objekata i njihova svojstva, dodati nova svojstva za one objekte koji već postoje. Shema je implementirana i pohranjena u Active Directory u globalnom katalogu. Ažurira se automatski, tako da mu posebno kreirana aplikacija može samostalno dodavati nova svojstva i klase.
Proširenje standardne sheme nije lako. Neispravna promjena sheme može poremetiti i poslužitelj i cijelu imeničku uslugu. Za rješavanje ovog problema potrebno je potrebno iskustvo i znanje. Dakle, prije svega morate znati pravila imenovanja.

Pravila imenovanja

Svaki objekt Active Directory ima određeno ime. Za identifikaciju objekata u aktivnom imeniku koriste se oni razne sheme imenovanje, naime:

Nazivi spojeva (DN);
-odnosna imena složenica (RDN);
-globalno jedinstveni identifikatori (GUID);
-Korisnička primarna imena (UPN).

Svaki objekt Active Directory ima naziv složenice. Ime je identifikator objekta i sadrži podatke dovoljne za lociranje objekta u imeniku. Kvalificirano ime uključuje naziv domene koja sadrži objekt i punu stazu do njega. Na primjer, korisničko ime Andrew Kushnir u domeni server.com može izgledati ovako:
DC=COM/DC=SERVER/CN=Korisnici/CK=Andrew Kushnir

Ako je puno kvalificirano ime objekta nepoznato ili promijenjeno, možete pronaći objekt prema njegovim svojstvima, od kojih je jedno relativno kvalificirano ime (dio kvalificiranog imena). U prethodnom primjeru, relativno kvalificirano ime za objekt Andrew Kushnir bilo bi CK=Andrew Kushnir, a za nadređeni objekt bilo bi CN=Usere.

Osim kvalificiranog imena, svaki objekt Active Directory ima globalni jedinstveni identifikator (GUID), što je 128-bitni broj. ID se ne mijenja čak ni nakon premještanja ili preimenovanja objekta. Globalno jedinstveni identifikator jedinstven je u svim domenama, uključujući kada se objekt premješta iz jedne domene u drugu domenu.
Najlakši način za zapamtiti je Primarno korisničko ime (UPN). Primarno ime sastoji se od skraćenog imena korisnika plus DNS naziva domene na kojoj se objekt nalazi. Format primarnog korisničkog imena je sljedeći:

Korisničko ime, znak sufiksa DNS domene

Na primjer, glavno korisničko ime je Andrew Kushnir u domeni poslužitelja. soja bi mogla izgledati [e-mail zaštićen]. Primarno ime korisnika neovisno je o njegovom imenu na kraju, tako da se korisnički objekt može premjestiti ili preimenovati bez potrebe za promjenom imena za prijavu domene korisnika.