Çfarë është skema Active Directory. Zgjerimi i skemës Active Directory

Skema përfshin një përshkrim zyrtar të përmbajtjes dhe strukturës së bazës së të dhënave Active Directory. Në veçanti, ai rendit të gjitha vetitë e objekteve dhe klasat e tyre. Për secilën klasë të objekteve, përcaktohen të gjitha vetitë e mundshme, parametrat shtesë, si dhe cila klasë e objekteve është dhe mund të jetë paraardhësi i klasës aktuale.

Instalimi i Active Directory, në kontrolluesin e parë të domenit krijohet një skemë standarde që përmban një përshkrim të objekteve dhe vetive të objekteve më të përdorura. Përveç kësaj, diagrami ofron një përshkrim të objekteve dhe vetive të brendshme të Active Directory.

Skema është e zgjerueshme, kështu që administratori i sistemit mund të krijojë lloje të reja objektesh dhe vetitë e tyre, të shtojë veti të reja për ato objekte që tashmë ekzistojnë. Skema është e integruar dhe e ruajtur së bashku me Active Directory në katalogun global. Përditësohet automatikisht, në mënyrë që një aplikacion i krijuar posaçërisht të mund të shtojë në mënyrë të pavarur veti dhe klasa të reja në të.
Zgjerimi i një skeme standarde nuk është i lehtë. Ndryshimi i gabuar i skemës mund të prishë si serverin ashtu edhe të gjithë shërbimin e drejtorisë. Për të zgjidhur këtë problem, duhet të keni përvojën dhe njohuritë e nevojshme. Pra, para së gjithash, duhet të dini rregullat e emërtimit.

Rregullat e emërtimit

Çdo objekt Active Directory ka një emër specifik. Skema të ndryshme emërtimi përdoren për të identifikuar objektet në Active Directory, përkatësisht:

Emrat e dalluar (DN)
Emrat e dalluar relativ (RDN)
-identifikuesit unikë globalë (GUID);
- Emrat e përdoruesve kryesorë (UPN).

Çdo objekt Active Directory ka emër i përbërë... Emri është një identifikues për objektin dhe përmban të dhëna të mjaftueshme për të gjetur objektin në drejtori. Emri i dalluar përfshin emrin e domenit që përmban objektin dhe shtegun e plotë drejt tij. Për shembull, emri i përbërë i përdoruesit Andrew Kushnir në domenin server.com mund të duket kështu:
DC = COM / DC = SERVER / CN = Përdoruesit / CK = Andrew Kushnir

Nëse emri plotësisht i kualifikuar i një objekti është i panjohur ose i ndryshuar, mund ta gjeni objektin sipas vetive të tij, njëra prej të cilave është emri relativ i dalluar (pjesë e emrit të dalluar). Në shembullin e mëparshëm, emri relativ i dalluar për objektin Andrew Kushnir do të ishte CK = Andrew Kushnir, dhe për objektin prind, CN = Usere.

Përveç emrit të dalluar, çdo Active Directory është objekt ka një identifikues unik globalisht (GUID), që është një numër 128-bitësh. Identifikuesi nuk ndryshon edhe pasi objekti është zhvendosur ose riemërtuar. Një identifikues unik globalisht është unik në të gjitha domenet, duke përfshirë kur një objekt zhvendoset nga një domen në tjetrin.
Mënyra më e lehtë për t'u mbajtur mend është emri kryesor i përdoruesit (UPN). Emri bazë përbëhet nga emri i shkurtuar i përdoruesit plus emri DNS i domenit ku ndodhet objekti. Formati i emrit kryesor të përdoruesit është si më poshtë:

Emri i përdoruesit, karakteri i prapashtesës së domenit DNS

Për shembull, emri kryesor i përdoruesit është Andrew Kushnir në server. soja mund të duket si [email i mbrojtur] Emri kryesor i përdoruesit është i pavarur nga emri i shquar i përdoruesit, kështu që objekti i përdoruesit mund të zhvendoset ose riemërohet pa pasur nevojë të ndryshojë emrin e hyrjes së përdoruesit në domen.

04/07/2011 Brian Desmond

Ndodh që administratorët e Active Directory (AD) dhe menaxherët e IT-së janë zakonisht të kujdesshëm për zgjerimin e skemës së AD. Pjesa më e madhe e frikës buron nga dokumentacioni i Microsoft Windows 2000, i cili portretizon zgjerimin e skemës si një operacion kompleks që kërkon kujdes ekstrem. Megjithatë, me planifikim të arsyeshëm, zgjerimi i skemës është plotësisht pa rrezik.

Skema AD përcakton strukturën e të dhënave të ruajtura në drejtori. AD mbështet në mënyrë origjinale shumë lloje objektesh (për shembull, përdoruesit) dhe atribute (për shembull, emrin dhe mbiemrin). Nëse skema bazë AD nuk përshtatet mirë me të dhënat që dëshironi të ruani në drejtori, mund ta plotësoni atë me objekte dhe atribute të personalizuara.

Në mënyrë tipike, skema AD zgjerohet për disa arsye, më e zakonshme prej të cilave në shumë organizata është zbatimi i një aplikacioni që kërkon zgjerim të skemës. Një shembull i mirë është Microsoft Exchange. Ndonjëherë shitësit e programeve kompjuterike duan të zgjerojnë skemën për të qenë në përputhje me aplikacionet e tyre. Shpesh skema zgjerohet për aplikime të brendshme ose për lehtësinë e ruajtjes së të dhënave të kompanisë në AD.

Opsionet e ruajtjes

Kur planifikoni të zgjeroni një skemë, veçanërisht për aplikacionet e brendshme, hapi i parë është të përcaktoni nëse të dhënat janë të përshtatshme për ruajtje në AD. Është veçanërisht i përshtatshëm për të ruajtur të dhëna relativisht statike (rrallë në ndryshim) në AD që përdoren në të gjithë kompaninë (të përsëritura përtej kufijve të domenit) dhe nuk janë konfidenciale (për shembull, nuk rekomandohet të ruhen datat e lindjes, numrat e kartave të sigurimeve shoqërore, etj në pas Krishtit).

Nëse të dhënat nuk i plotësojnë këto kritere, por ende duhet të vendosen në drejtorinë LDAP, opsioni i dytë është optimal. AD Lightweight Directory Services (AD LDS, më parë ADAM) është një version i pavarur i AD që mund të funksionojë si shërbim në një server, anëtar domeni (ose kontrollues domeni - DC) dhe, si AD, të përpunojë kërkesat e drejtuara te LDAP. Nevoja për të pritur kontrolluesit e domenit AD për vërtetimin dhe mbështetjen e aplikacionit nuk është një kufizim i bezdisshëm, por aftësia për të kontrolluar rreptësisht se kush mund të lexojë të dhënat dhe drejtimin e riprodhimit të të dhënave duke vendosur instancat AD LDS në vendndodhje të përshtatshme.

Primitivët e ruajtjes së të dhënave

Dy terma luajnë një rol kyç në të kuptuarit e skemës AD: klasa dhe atributi. Të gjithë elementët AD, duke përfshirë skemën, përcaktohen në terma të klasave dhe atributeve. Klasat janë llojet e të dhënave që dëshironi të ruani. Për shembull, përdoruesi është një klasë në AD, ashtu si kompjuteri. Atributet janë veti të klasave. Klasa e përdoruesit ka një atribut emri (givenName) dhe një atribut mbiemri (sn). Klasa "kompjuter" ka atributin "sistemi operativ". Një skemë AD përcaktohet në terma të dy klasave: classSchema për klasat dhe atributSchema për atributet.

Për analogji me një bazë të dhënash tipike, ju mund të krahasoni klasat me tabelat në një bazë të dhënash dhe atributet me kolonat brenda një tabele. Por mbani në mend se struktura e bazës së të dhënave të Pemës së Informacionit të Drejtorisë së AD (DIT) është në fakt krejt e ndryshme.

Kur zgjidhni problemin e ruajtjes së të dhënave të një lloji të ri në AD, duhet të mendoni se si të dhënat hartohen në klasa dhe atribute. Në rastet më të zakonshme, mjafton të shtoni atributin në një klasë ekzistuese (për shembull, një përdorues ose grup). Nëse thjesht dëshironi të ruani një pjesë të re të të dhënave për një objekt të një lloji ekzistues (si p.sh. një përdorues), së pari përpiquni të gjeni atributet e duhura midis atyre të disponueshme në AD. Skema përmban mijëra atribute, shumica e të cilave nuk janë të përfshira. Prandaj, për shembull, mund të përdorni atributin fizikDeliveryOfficeName për të ruajtur informacionin e adresës postare të përdoruesit.

Ricaktimi i një atributi për qëllime të ndryshme nga përdorimi origjinal është një qasje e dobët. Imagjinoni që një atribut është ricaktuar dhe më pas është blerë një aplikacion që e përdor atë atribut për qëllimin e tij origjinal. Ka punë të dyfishtë për të bërë pasi duhet të rikonfiguroni aplikacionin tuaj të vjetër duke përdorur atributin dhe më pas të zhvendosni të dhënat. Në përgjithësi, është gjithmonë më e sigurt të shtoni një atribut të personalizuar.

Por ndonjëherë është e mundur vetëm një qasje e bazuar në klasë. Në dy raste, është më e përshtatshme të shtoni një klasë të re në skemë sesa të përdorni atribute. E para është nevoja për të mbajtur gjurmët e llojit të ri të të dhënave në drejtori. Nëse, për shembull, dëshironi të gjurmoni makinat e një kompanie në AD, mund të përcaktoni një klasë të re makinash në skemë. Një rast tjetër është hartëzimi një-në-shumë.

Microsoft Exchange Server 2010 është një shembull i përsosur. Çdo pajisje celulare që sinkronizoni me Exchange duke përdorur ActiveSync ruhet si një shembull i një klase të veçantë objekti msExchActiveSyncDevice në drejtori. Këto pajisje celulare ruhen si objekte fëmijë të përdoruesit, pronarit të pajisjes. Kjo strukturë lejon që një numër i madh atributesh (për secilën pajisje) të hartohen për një përdorues të vetëm.

Të dhënat hyrëse për zgjerimin e skemës

Për të përgatitur një shtrirje skeme, duhet të grumbulloni një numër të dhënash. Vetëm atëherë mund të zbatohet një atribut ose klasë e veçantë në mjedisin e zhvillimit. Shumë inpute duhet të jenë unike globalisht, prandaj është e rëndësishme të bëhet përgatitja e nevojshme. Në të njëjtën kohë, neglizhenca kërcënon me pasoja të rrezikshme.

Së pari zgjidhni emrin e klasës ose atributit. Pjesa më e rëndësishme e emrit është parashtesa. Emrat e atributeve dhe klasave në skemë (dhe në skemën e blerësit të aplikacioneve të palëve të treta) duhet të jenë unikë, kështu që shtimi i prefiksit do të sigurojë që të mos ketë konflikte ndërmjet ID-ve të atributeve.

Zakonisht emri i shkurtuar i kompanisë përdoret si parashtesë. Për shembull, unë po përdor bdcLLC si parashtesë për atributet e kompanisë sonë Brian Desmond Consulting LLC. Për korporatën ABC, mund të përdoret prefiksi abcCorp. Sigurohuni që të kujdeseni për veçantinë e prefiksit, pasi nuk ka një regjistër të përgjithshëm të prefikseve. Nëse kompania ka një emër tipik ose të shkurtuar, kuptoni se si ta bëni atë unik.

Pasi të keni zgjedhur emrin, duhet t'i caktoni një identifikues objekti (OID) atributit ose klasës. OID-të janë opsionale dhe duhet të jenë unike globalisht. AD (në përgjithësi, LDAP) nuk është korniza e vetme që përdor OID si identifikues, kështu që Autoriteti i Numrave të Caktuar në Internet (IANA) cakton pemë unike OID siç kërkohet nga kompanitë. Një kërkesë për një numër të ndërmarrjes private, e cila është pjesë e pemës OID unike për një kompani, shërbehet pa pagesë në rreth 10 minuta. Duhet ta merrni përpara se të filloni të krijoni shtesa të skemave me porosi. Ju mund të kërkoni një numër të ndërmarrjes private në www.iana.org/cgi-bin/assignments.pl.

Me një Numër të Ndërmarrjes Private, ju mund të krijoni dhe organizoni një numër praktikisht të pakufizuar të OID-ve unike. Figura tregon strukturën e pemës OID për numrin e ndërmarrjes private të kompanisë sonë. OID-të ndërtohen duke shtuar degë në pemë, kështu që shumë kompani fillojnë duke krijuar një degë AD Schema (1.3.6.1.4.1.35686.1 në figurë) dhe më pas një degë klase dhe një degë atributi poshtë saj. Nën secilën prej këtyre degëve, OID i caktohen çdo atributi ose klase të re. Figura tregon OID (1.3.6.1.4.1.35686.1.2.1) të caktuar për atributin e personalizuar myCorpImportantAttr. Është shumë e rëndësishme të përgatitet një mekanizëm i brendshëm gjurmimi (si p.sh. një spreadsheet Excel ose një listë SharePoint) për të siguruar që OID-të janë unike.

Microsoft ofron një skript që mund të gjenerojë një OID me një vlerë të rastësishme, por nuk ka asnjë garanci që do të jetë unik. Mënyra më e mirë është të kërkoni një degë unike nga organizata IANA dhe ta përdorni atë për zgjerimet e skemave. Procesi është aq i thjeshtë sa nuk keni nevojë të përdorni skriptin e gjenerimit të Microsoft OID.

Dy parametrat e mbetur të hyrjes janë të atributeve specifike dhe të varura nga lloji. Atributet e lidhura janë jashtëzakonisht të dobishme për ruajtjen e lidhjeve midis objekteve në AD. Ato ruhen si tregues në bazën e të dhënave AD, kështu që lidhjet përditësohen në kohën e duhur për të pasqyruar vendndodhjen e objektit në pyll. Dy shembuj të zakonshëm të atributeve të lidhura janë anëtarësimi në grup (anëtar dhe anëtarOf) dhe marrëdhënia menaxher/punonjës (menaxher/raporte direkte). Konceptet e lidhjeve përpara dhe lidhjeve të pasme zbatohen për atributet e lidhura. Lidhja përpara është pjesa e redaktueshme e marrëdhënies ndërmjet atributeve. Për shembull, në rastin e anëtarësimit në grup, atributi anëtar për grupin është një lidhje përpara; atributi MemberOf për përdoruesin është backlink. Kur redaktoni anëtarësimin në grup, ndryshimet bëhen në atributin anëtar (lidhja përpara), jo te atributi MemberOf i objektit anëtar (lidhja e pasme).

Për të përcaktuar atributet e lidhura në AD, duhet të përcaktoni dy atribute (lidhja përpara dhe lidhja prapa) dhe t'i bashkëngjitni një identifikues lidhjes (linkID) për secilin prej këtyre atributeve. ID-të e lidhjeve duhet të jenë unike brenda pyllit dhe meqenëse ID-të e lidhjeve kërkohen nga aplikacione të tjera që kërkojnë zgjerime skemash, ato duhet të jenë unike globalisht. Në të kaluarën, Microsoft publikoi identifikues lidhjesh për organizatat e palëve të treta, por që nga Windows Server 2003, një tregues i veçantë është shtuar në AD për të gjeneruar identifikues unikë lidhjesh kur një skemë shtohet me një palë atributesh.

AD supozon se ID-të e lidhjeve janë numra sekuencialë. Në veçanti, atributi i lidhjes përpara është një numër çift, dhe numri i mëposhtëm i caktohet atributit të lidhjes së pasme. Për shembull, për anëtarin dhe MemberOf (anëtarësimin në grup), identifikuesi i lidhjes për anëtarin është 4 dhe identifikuesi i lidhjes për MemberOf është 5. Nëse skema juaj e zgjeruar do të jetë e pajtueshme me pyllin e Windows 2000, duhet të përcaktoni identifikuesit e lidhjeve statike në në te njejtën mënyrë. Përndryshe, duhet të përdorni procesin e gjenerimit automatik të ID-së së lidhjes në Windows Server 2003. Për të përdorur procesin e krijimit automatik të ID-së së lidhjes, ndiqni udhëzimet më poshtë kur përcaktoni një shtesë skeme. Në procesin e zgjerimit të skemës, siç përshkruhet më vonë në artikull, hapat e dhënë janë të nevojshëm për të ndërtuar atributet e lidhura (nëse ato janë pjesë e zgjerimit).

Së pari, përgatitni lidhjen përpara duke përdorur ID-në e lidhjes 1.2.840.113556.1.2.50. Vini re se megjithëse kjo vlerë ID e lidhjes është një OID, Microsoft thjesht e rezervon këtë vlerë OID për të gjeneruar ID-në e lidhjes automatike.

Pastaj ringarkoni cache-in e skemës. Pas kësaj, krijoni një atribut backlink duke përdorur ID-në e lidhjes së emrit të atributit të lidhjes përpara dhe ringarkoni cache-in e skemës.

Elementi i dytë unik (dhe gjithashtu opsional) i atributit është identifikuesi MAPI. ID-të MAPI janë një veçori e Exchange Server. Nëse nuk keni Exchange ose dëshironi të shfaqni atributin në Listën e Adresave Globale (GAL), mund ta kapërceni këtë seksion. ID-të MAPI përdoren për të shfaqur atributet në një nga faqet e vetive në librin e adresave, siç është shablloni i Detajeve të Përgjithshme të Përdoruesit (shih ekranin). Për shembull, nëse doni të tregoni klasifikimin e punonjësve (staf ose kontraktual) në listën GAL, caktoni atributin e duhur si identifikues MAPI. Pasi ID MAPI t'i caktohet atributit, mund të përdorni Redaktuesin e Modeleve të Detajeve të Exchange për të futur të dhënat e atributit në një pamje GAL brenda Office Outlook.

ID-të MAPI duhet të jenë unike, si dhe ID-të dhe ID-të e lidhjeve. Në të kaluarën, nuk ishte e mundur të gjeneroheshin identifikues unik MAPI, kështu që këta identifikues kanë qenë gjithmonë një pikë e dobët në zgjerimet e skemave. Për fat të mirë, Windows Server 2008 prezanton një mënyrë për të gjeneruar automatikisht ID unike MAPI në një direktori për të zvogëluar rrezikun e kopjimit të ID MAPI. Për të përdorur këtë veçori, vendosni vlerën 1.2.840.113556.1.2.49 në atributin MAPI ID kur krijoni atributin. AD gjeneron një identifikues unik MAPI për atributin pas ringarkimit të memories së skemës. Vini re se megjithëse kjo vlerë është një OID, ajo është e rezervuar nga AD për të treguar gjenerimin automatik të ID-ve MAPI, të ngjashme me gjenerimin automatik të ID-ve të lidhjeve të përshkruara më sipër.

Përmblidhni. Ekzistojnë tre parametra kritikë të hyrjes që duhen marrë parasysh kur planifikoni zgjerimin e skemës tuaj. E para është emri i klasës ose atributit; e dyta është një parashtesë unike e caktuar për të gjitha klasat dhe atributet; e treta është OID. Për të gjeneruar një OID, një degë unike OID duhet të kërkohet nga organizata IANA. Nëse do të krijoni një palë atributesh të lidhura, kërkohet një çift unik identifikuesish lidhjesh. Nëse dëshironi të shfaqni atributin në Exchange GAL, duhet të përdorni një identifikues unik MAPI. Si për ID-të e lidhjeve ashtu edhe për ID-të MAPI, përdorimi i një procesi të gjenerimit automatik brenda AD është i preferueshëm sesa vlerat statike.

Planifikimi i zbatimit

Kur zbatoni një shtrirje skeme të personalizuar ose zgjeroni një skemë me atribute dhe klasa të ofruesit, duhet të ndërmerrni hapa paraprak të planifikimit për të mbrojtur integritetin e pyllit tuaj AD. Hapi i parë është testimi i zgjerimit të skemës.

Kur përgatitni një shtesë të skemës me porosi, përdorni një mjedis të përkohshëm zhvillimi. AD Lightweight Directory Service (AD LDS) është një shkarkim falas në stacionet e punës Windows XP dhe Windows 7. Nga një stacion pune, mund të krijoni një shembull AD LDS, të ndërtoni një shtesë skeme në një sandbox dhe më pas të eksportoni shtesën për import në një AD pyll provë. Skema AD LDS është e pajtueshme me AD, kështu që mund të përdorni LDIFDE për eksport. Mund të importoni zgjerimin e përfunduar të skemës në një pyll testimi AD dhe më pas të verifikoni që importi ishte i suksesshëm dhe se aplikacionet kritike nuk u dëmtuan. Për AD, duhet të planifikoni të testoni nëse importi ishte i suksesshëm dhe se përsëritja ishte e saktë në një mjedis testimi.

Nëse do të testoni shtrirjen e skemës në një pyll AD testues, skema duhet të përputhet me pyllin e prodhimit. Në këtë rast, testimi do të përfundojë. Ju mund të përdorni mjetin AD Schema Analyzer (përfshirë me AD LDS) për të gjetur dallimet e skemave midis dy pyjeve AD. Artikulli TechNet "Eksportoni, krahasoni dhe sinkronizoni skemat e drejtorisë aktive" (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) përshkruan se si të importoni dhe eksportoni shtesat e skemave dhe si të përdorni mjeti AD Schema Analyzer. Ju lutemi vini re se mund të ketë disa ndryshime kur krahasoni skemat, në varësi të paketave të shërbimit dhe versioneve të Windows, veçanërisht në indeksimin e atributeve dhe ruajtjen e shenjave të fshirjes.

Për zgjerimet e skemave të marra nga burime të tjera (për shembull, së bashku me një aplikacion komercial), duhet të siguroheni që ndryshimet e lidhura nuk janë të rrezikshme. Së bashku me të gjitha të dhënat e diskutuara më sipër, sigurohuni t'i kushtoni vëmendje një sërë rrethanash të tjera. Më poshtë janë parametrat kryesorë për të kontrolluar:

• dhënë në një skedar LDIF (skedarë të shumtë LDIF);
• korrektësia e parashtesave të atributeve;
• OID të regjistruara;
• identifikuesit e lidhjeve të regjistruara / të gjeneruara automatikisht;
• identifikuesit MAPI të gjeneruara automatikisht.

Skedarët LDIF janë një standard i industrisë: të gjitha shtesat e skemës duhet të sigurohen në këtë format. Lejohet që aplikacionet të përdorin një mekanizëm të veçantë importi në vend të LDIFDE për zgjerimet e skemave. Megjithatë, nëse shtesa jepet në një format tjetër, lindin dyshime për korrektësinë e saj dhe besueshmërinë e shitësit. C tregon një mostër LDIF për krijimin e një atributi në një skemë AD për të ruajtur informacionin rreth madhësisë së këpucëve të një përdoruesi. Vini re veçoritë e mëposhtme të kësaj shtese të skemës së mostrës.

• Atributi është i prefiksuar me emrin e shitësit (Brian Desmond Consulting, LLC: bdcllc).
• OID unik për atributin lëshohet duke përdorur numrin e ndërmarrjes private siç është regjistruar nga shitësi.
• Atributi është i indeksuar (kërkoni Flamujt: 1) dhe disponohet në katalogun global (isMemberOfPartialAttributeSet: TRUE).

Ju gjithashtu duhet të verifikoni që atributi është i disponueshëm në katalogun global të grupit të atributeve të pjesshme (PAS) dhe se indekset e krijuara për atributin janë të sakta nëse atributi do të përdoret në filtrat e kërkimit LDAP. Është gjithashtu e dobishme të sigurohet që të dhënat e ruajtura në atribut janë të pranueshme për AD në kontekstin e kufizimeve dhe praktikave më të mira të diskutuara më sipër.

Pasi shtrirja e skemës është testuar dhe përgatitur për zbatimin e prodhimit, koha duhet të jetë e përshtatshme për këtë operacion. Kjo zakonisht mund të bëhet gjatë orarit të punës. Ngarkesa e procesorit do të rritet ndjeshëm kur të ekzekutoni magjistarin e skemës, dhe pak - në kontrollorët e domenit që përsërisin ndryshimet. Kompanitë e mëdha mund të përjetojnë pauza të riprodhimit midis kontrolluesve të domenit për periudha që variojnë nga katër deri në gjashtë orë nëse atributet shtohen në grupin e atributeve të pjesshme PAS. Pezullimet do të shoqërohen me mesazhe gabimi që tregojnë probleme me objektet, por zakonisht ato mund të shpërfillen dhe ato do të largohen vetë. Nëse kontrolluesit e domenit janë hequr nga riprodhimi për një kohë të gjatë, duhet të filloni zgjidhjen e problemeve.

Qasje e planifikuar

Zgjerimi i skemës së AD është i sigurt nëse merrni disa masa paraprake bazë. Kur planifikoni shtesa të reja të skemës dhe kur vërtetoni atributet dhe klasat e personalizuara nga shitësit e palëve të treta, merrni parasysh identifikimin e informacionit që është unik për secilën klasë ose atribut dhe sigurohuni që ai është unik globalisht.

Pasi të keni kontrolluar integritetin, transferoni shtesën e re në një mjedis testimi përfaqësues për t'u siguruar që mjedisi i testimit dhe aplikacionet kritike funksionojnë siç duhet. Më pas mund të importoni zgjerimin e skemës në mjedisin tuaj të prodhimit.

Listimi. Mostra e të dhënave LDIF

Dn: CN = bdcllcShoeSize, CN = Skema, CN = Konfigurimi, DC = X lloji i ndryshimit: shtoni objektKlasa: top objektKlasa: atributiSchema cn: sfsuLiveServiceEntitlements atributi ID: 1.3.6.1.4.1.35686.100.1. showInAdvancedViewOnly: TRUE AdminDisplayName: bdcllcShoeSizePërshkrimi: Ruan madhësinë e këpucëve të një përdoruesi oMSyntaksa: 64 searchFlamujt: 1 lDAPDdisplayName: bdcllcShoeSize Emri: bdcllcSizeD3:

Që nga lëshimi i Active Directory me Windows 2000, Microsoft u ka ofruar përdoruesve një përkufizim të skemës bazë për zbatimin e Active Directory.

Lëshimi i Active Directory® shënoi gjithashtu një ndryshim në mënyrën se si shkruhen dhe zbatohen shumë aplikacione në Windows®. Më parë, aplikacione të tilla si Microsoft® Exchange 5.5 ishin ndërtuar me strukturën e tyre të direktoriumit. Që nga ardhja e Active Directory, shumë aplikacione (nga Microsoft dhe të tjerë) kanë përfituar nga struktura themelore e ofruar në vend që të krijojnë skemën e tyre nga e para.

Fillimisht, arkitektura bazë e ofruar nga Active Directory u përdor dhe më pas u zgjerua sipas nevojës. Në Microsoft Exchange 2000, për shembull, Active Directory u përdor për të zbatuar sistemet e mesazheve, duke përcaktuar kështu të ardhmen e arkitekturës së mesazheve të Microsoft.

Sot, shumë aplikacione të ndërtuara për të ekzekutuar në një mjedis Active Directory mbështeten në skemën e tij bazë, dhe shumë aplikacione gjithashtu përcaktojnë ndryshimet e tyre të skemës sipas nevojës. Për këtë, natyrisht, kërkohet një skemë e shtrirë, e cila do të diskutohet në këtë artikull. Për më tepër, për shkak se shumë aplikacione mbështeten në përkufizimet themelore në Active Directory, qëndrueshmëria e vazhdueshme e skemës bazë është kritike. Për shkak se shumë aplikacione duhet të punojnë së bashku në të njëjtën Directory Active, ndryshimet në një aplikacion nuk duhet të ndikojnë në aplikacionet e tjera.

Çfarë është një skemë?

Për shumë njerëz, skema e Active Directory është si një kuti e zezë dhe ideja për ta ndryshuar vetë skemën mund të jetë frikësuese për ta. Sigurisht, zgjerimi i skemës së Active Directory nuk duhet të bëhet çdo ditë, por disa aplikacione ose ndërmarrje e bëjnë këtë. Prandaj, është shumë e rëndësishme të kuptojmë natyrën e skemës dhe përbërjen e saj, sepse Active Directory është një aset i rëndësishëm në shumë organizata dhe ndërprerja e funksionalitetit të saj për shkak të përditësimeve të pasakta mund të ketë pasoja serioze.

Si strategji, shumë organizata janë duke përdorur Active Directory Lightweight Directory Services (ADLDS) në Windows Server® 2008 (ose Active Directory Application Mode (ADAM) në Windows Server 2003) si një alternativë ndaj testimit ose zbatimit të drejtpërdrejtë të përkufizimeve të skemave të personalizuara në vend që të zgjerojnë Skema aktive. Drejtoria.

Një skemë është një strukturë bazë që ofron një format për një shërbim drejtorie. Skema Active Directory përcakton atributet dhe klasat e objekteve të përdorura në Shërbimet e Domainit të Drejtorisë Active (ADDS). Skema kryesore përmban përkufizime për shumë klasa të njohura (si p.sh. përdoruesi, kompjuteri dhe njësia organizative) dhe atribute (të tilla si numri i telefonit dhe objekti SID). Objektet në përkufizimin e skemës kryesore quhen objekte të kategorisë 1, dhe objektet e shtuara quhen objekte të kategorisë 2.

Skema e Active Directory ndodhet në një kontejner të përcaktuar nga shtegu cn = Skema, cn = Konfigurimi, dc = X, ku X është hapësira e emrave të pyllit të Active Directory. Kini parasysh se një pyll Active Directory përmban vetëm një skemë; Ndryshimet në përkufizimin e skemës në një pyll prekin të gjitha domenet në atë pyll. Në oriz. një tregon numrin e klasave dhe atributeve të shtuara në skemën Active Directory në versione të ndryshme të Windows Server.

Numri i klasave dhe atributeve

Skema përditësohet për versione të ndryshme të Windows Server duke përdorur programin Adprep. Kur përmirësoni në Windows Server 2003 R2, versioni i skemës përmirësohet në 31, dhe kur përmirësoni në Windows Server 2008, ai përmirësohet në 44.

Mund ta gjeni numrin e versionit duke kontrolluar vlerën e atributit objectVersion nën cn = Skema, cn = Konfigurimi, dc = X në Active Directory duke përdorur një mjet të tillë si ADSIEdit. Vini re se disa aplikacione si Exchange Server, System Management Server (SMS) dhe aplikacione të tjera që mbështeten në Active Directory mund të ndryshojnë skemën për t'iu përshtatur kërkesave të aplikacionit.

Komponentët bazë

Active Directory përbëhet nga dy lloje objektesh: classSchema (shkurt klasa) dhe atributiSchema (atribut për shkurt). Në mënyrë tipike, zgjerimi i skemës Active Directory konsiderohet kur një organizatë duhet të ruajë të dhëna në atribute të caktuara që nuk janë të disponueshme në skemën ekzistuese. Një atribut në skemën Directory krijohet duke specifikuar një objekt atributSchema në kontejnerin e skemës dhe më pas duke përcaktuar vetitë e kërkuara për objektin e ri.

Për një listë të veçorive dhe informacionit të objektit të atributeve Schema, shihni go.microsoft.com/fwlink/?LinkId=110445. Siç mund ta shihni, ju mund të përcaktoni një numër të madh të vetive për objektet e atributeve Schema, disa prej të cilave kërkohen.

Përveç atributeve të zakonshme, skema përmban edhe atribute të veçanta të quajtura të lidhura dhe të zbatuara në çifte duke specifikuar lidhjet përpara dhe prapa. Si shembull, merrni parasysh anëtarësimin në grup në Active Directory. Atributi i anëtarësimit të çdo grupi (për shembull, grupi ContosoEmployees me anëtarin John Doe) është një lidhje përpara, dhe atributi korrespondues anëtarOf i objektit anëtar është një lidhje prapa (kështu që emri i dalluar (DN) i grupit ContosoEmployees është llogaritet kur pyetet atributi MemberOf i John Doe).

Lidhja përpara funksionon si çdo atribut tjetër. Vlerat mund të jenë me një vlerë dhe me shumë vlera (si atributi i anëtarësimit, i cili mund të përmbajë objekte të shumta si anëtarë të grupit) dhe ruhen në drejtori së bashku me objektin prind.

Lidhjet e pasme, në të kundërt, mbahen nga sistemi për të siguruar integritetin e të dhënave. Kur kërkoni vlerën e atributit të lidhjes së pasme, rezultati llogaritet bazuar në të gjitha vlerat e përputhshme të lidhjes përpara. Lidhjet e pasme janë gjithmonë të paqarta.

Të gjitha klasat e objekteve në ADDS përcaktohen nga një objekt classSchema në kontejnerin e skemës. Për një listë të atributeve më kritike për përcaktimin e suksesshëm të një objekti classSchema, shihni go.microsoft.com/fwlink/?LinkId=110445.

Ekzistojnë tre lloje klasash që mund të përcaktohen: strukturore, abstrakte dhe ndihmëse. Lloji i klasës përcaktohet nga vlera e atributit të objektitClassCategory. (Kategoria e katërt, e njohur si 88, përfshin klasa të përcaktuara përpara standardeve X.500 të vitit 1993. Ky lloj klase tregohet me vlerën 0 në atributin e objektit classCategory. Ky lloj nuk duhet të përcaktohet më.)

Marrja dhe përdorimi i identifikuesve

Identiteti i të gjitha objekteve classSchema dhetributiSchema në direktori përcaktohet duke përdorur identifikuesit e kërkuar të objektit (OIDs), rulesID për objektet classSchema dhe atributID për objektet etributeveSchema. Këto janë vlera numerike unike të ofruara nga qendra specifike për të identifikuar objektet. Numërimi është në përputhje me përkufizimin e protokollit LDAP (RFC 2251). Disa identifikues objektesh në skemën Active Directory lëshohen nga Organizata Ndërkombëtare për Standardizim (ISO) dhe Microsoft Corporation. Identifikuesi i objektit në drejtori duhet të jetë unik.

ID-ja e objektit është një varg numrash, për shembull 1.2.840.113556.1.y.z siç tregohet në oriz. 2... Kështu, identifikuesi i objektit të përdoruesit classSchema është 1.2.840.113556.1.5.9.

Identifikuesi i objektit të përdoruesit

Kur një organizatë dëshiron të zgjerojë skemën, ajo zbaton uniken e identifikuesit të objektit duke marrë OID të saj rrënjë, e cila përdoret për të krijuar identifikues unikë për atributet e reja të organizatës dhe klasat e objekteve. Rrënja e identifikuesit të objektit mund të merret direkt nga zyra e regjistrit kombëtar ISO (Instituti Kombëtar i Standardeve Amerikane (ANSI) në Shtetet e Bashkuara).

Procedurat dhe tarifat e shërbimit për marrjen e ID-së së entitetit rrënjë mund të gjenden në ansi.org. Në rajone të tjera, kontaktoni organizatën përkatëse anëtare ISO të listuar në iso.org/iso/about/iso_members.htm.

Më parë, organizatat merrnin një ID Objekt nga Microsoft duke dërguar një mesazh email tek [email i mbrojtur]... Megjithatë, kjo tani rezulton në një përgjigje automatike që ju kërkon të shkarkoni dhe ekzekutoni VBScript nga go.microsoft.com/fwlink/?LinkId=110453.

Identifikuesit e objekteve të lëshuar nga Microsoft u caktohen numrat e hapësirës së numrit të identifikuesit të objektit të Microsoft: 1.2.840.113556.1.8000.x, ku x është një numër unik i caktuar për organizatën tuaj. Një organizatë mund t'i ndajë këta identifikues për të treguar objektet. Për shembull, mund të përdorni 1.2.840.113556.1.8000.x.1.y për objektet e reja classSchema dhe 1.2.840.113556.1.8000.x.2.z për objektet e atributeveSchema (ku x është një numër unik organizimi dhe y dhe z janë numra u caktohen objekteve të caktuara classSchema dhe atributSchema, përkatësisht). Përveç kësaj, ju rekomandojmë që të përdorni një prefiks unik organizimi për të dalluar emrat e këtyre objekteve.

Përcaktimi i atributeve të lidhura

Vlera e atributit Sintaksë e referencës së pasme duhet të jetë 2.5.5.1, që është sintaksë e objektit (DS-DN). Në mënyrë tipike, atributet e lidhjes së pasme i shtohen vlerës mayContain të klasës me më shumë abstraksion. Kjo siguron që atributi i lidhjes së pasme të lexohet nga objektet e çdo klase, pasi atributet e tilla nuk ruhen në objekt, por llogariten bazuar në vlerat e lidhjes përpara.

Windows Server 2003 prezantoi një veçori që organizatat mund ta përdorin për të lidhur dy objekte në një skemë: gjenerimin automatik të ID-ve të lidhjeve. Kjo veçori gjeneron automatikisht një ID lidhjeje për një atribut të ri të lidhur kur ID-ja e lidhjes së atributit caktohet në 1.2.840.113556.1.2.50. Lidhja përkatëse e pasme krijohet duke vendosur ID-në e lidhjes në atributin ID ose ldapDisplayName të lidhjes përpara. Memoria e memories së skemës duhet të ringarkohet pas krijimit të një lidhjeje përpara dhe përpara krijimit të një lidhjeje prapa. Përndryshe, atributi i atributit ID ose ldapDisplayName nuk do të gjendet gjatë krijimit të lidhjes së pasme. Memoria e memories së skemës ringarkohet sipas kërkesës disa minuta pas ndryshimit të skemës ose kur kontrolluesi i domenit riniset.

Nëse Active Directory juaj po funksionon në nivelin Windows 2000, duhet të kërkoni ID-të e lidhjeve nga Microsoft duke dërguar një email te [email i mbrojtur]... Përgjigja automatike do të përmbajë rreshtin e mëposhtëm: "E-mail dërguar në [email i mbrojtur] do të përpunohen vetëm nëse janë të lidhura me regjistrimet e ID-së së lidhjes për mjediset e vjetra." [email i mbrojtur] do të përpunohen vetëm nëse kanë të bëjnë me regjistrimet e vjetëruara të ID-së së lidhjes.). Për ta bërë këtë, informacioni i mëposhtëm duhet të jepet në email: emri i kompanisë, emri i kontaktit, adresa e emailit, numri i telefonit, prefiksi i regjistruar (nëse ka), ID e objektit të regjistruar (nëse kërkohet).

Mund të filloni të zgjeroni skemën

Le të themi se keni vendosur të zgjeroni skemën tuaj të Active Directory. Zgjidhja mund të jetë ndalimi i përdorimit të drejtorisë alternative të implementuar nga ADLDS (ose ADAM në Windows Server 2003) pasi të konfirmohet se nuk do të jetë në përputhje. Hapi tjetër është përcaktimi i objekteve të reja të atributeve Schema për t'i shtuar skemës; kjo përcakton çdo vlerë të nevojshme (si cn, ldapDisplayName, etj.) për të treguar këto objekte të reja. Kur përcaktoni vlerat e atributeve për një objekt, keni marrë gjithashtu identifikuesin e objektit nga Microsoft ose një burim tjetër. Aktivitetet e mësipërme janë të dokumentuara si kërkesa biznesi dhe specifikime teknike. Për më tepër, është implementuar një mjedis laboratorik eksperimental që simulon funksionimin e Active Directory dhe është gati për testim.

Shumë organizata krijojnë komisione të posaçme për të miratuar ose refuzuar ndryshime të tilla dhe për të vendosur një proces për zbatimin e tyre. Ky sistem kontrollesh dhe balancash është kritik sepse Active Directory përdoret si një burim i besueshëm informacioni në shumë organizata dhe rëndësia e mbajtjes dhe funksionimit të tij pas ndryshimeve nuk mund të mbivlerësohet.

Pasi organizata vendos të vazhdojë me projektin, planet për testimin dhe zbatimin e projektit duhet të përcaktohen. Ju mund ta zgjeroni skemën duke shtuar objekte të reja duke përdorur skemën e Drejtorisë Aktive të Konsolës së Menaxhimit të Microsoft (MMC), ose duke përdorur metoda programatike ose gjysmë programatike (për shembull, duke përdorur LDIFDE për të importuar skedarë LDIF; duke përdorur CSVDE për të importuar CSV skedarë; ose duke përdorur skriptimin për ndërfaqet ADSI).

Pavarësisht nga metoda e zgjedhur, ky funksion duhet të kryhet në një server që ka ose është i lidhur me rolin e skemës master (Flexible Single Master Operations) në pyllin Active Directory. Përveç kësaj, llogaria e përdorur për përditësimin e skemës duhet të ketë të drejta të mjaftueshme administratori për të kryer përditësimin, kështu që duhet të përfshihet në grupin e Administratorëve të Skemës. Më në fund, duhet të aktivizoni përditësimet e skemës për pyllin (çaktivizuar si parazgjedhje).

Nëse ndryshimi nuk është i drejtpërdrejtë, ai duhet të bëhet automatikisht për të siguruar standardizimin midis fazave të testimit dhe zbatimit dhe për të parandaluar gabimet manuale. Supozoni se vendosni të zbatoni ndryshimin duke përdorur mjetin LDIFDE. Për të instaluar përditësime kur zgjeroni skemën, duhet të shtoni atribute dhe klasa të reja, të shtoni atribute të reja në klasa dhe më pas të aktivizoni një ringarkim të cache-it. Më poshtë janë disa shembuj.

Shtimi i atributeve

Për qëllimet tona, le të supozojmë se një organizatë me emrin Contoso duhet të shtojë një atribut në Active Directory që përcakton madhësinë e këpucëve të të gjithë punonjësve. Ekzistojnë dy domene në pyllin Active Directory: contoso.com dhe staffs.contoso.com. Kërkohet që të gjitha objektet e krijuara duke përdorur përkufizimin e klasës së përdoruesit të përmbajnë gjithashtu këtë atribut të ri.

Është e rëndësishme të mbani mend se ndryshimi i skemës prek të dy domenet sepse ato janë në të njëjtin pyll. Supozoni se keni ID-në e Objektit 1.2.840.113556.8000.9999 nga Microsoft, i cili ndahet si 1.2.840.113556.8000.9999.1 për objektin classSchema dhe 1.2.840.113556.8000.2 për atributin Con.83556.80990. Tani duhet të përcaktojmë të gjitha vlerat e atributeve për këtë objekt të ri, siç tregohet në oriz. 3.

Përkufizimi i atributit contosoEmpShoe

Përveç kësaj, edhe pse atributi contosoEmpShoe duhet të jetë i disponueshëm për të gjitha objektet e krijuara si objekte të klasës së përdoruesit, ju rekomandojmë që të mos ndryshoni përkufizimin e paracaktuar të klasës së përdoruesit. Në vend të kësaj, përcaktoni klasën ndihmëse contosoUser me atributin mayContain të vendosur në contosoEmpShoe, siç tregohet në oriz. 4... Më pas, shtoni atributet e përcaktuara për klasën ndihmëse contosoUser në klasën e përdoruesit.

Përkufizimi i klasës contosoUser

Tani që analiza është bërë dhe vlerat janë përcaktuar, ju duhet të krijoni një skedar LDIF që duket diçka si kodi në oriz. 5... Ju mund të kopjoni kodin në oriz. 5 në bllokun e shënimeve dhe ruani skedarin si contosoUser.ldif (përfshirë në shkarkimin në technetmagazine.com).

Skedari LDIF për zgjerimin e skemës

#Përkufizimi i atributit për contosoEmpShoe dn: CN = contosoEmpShoe, CN = Skema, CN = Konfigurimi, DC = X ndryshimi i tipit: ntdsschemaadd objektKlasa: objekti lartKlasa: atributiSchema cn: atributi ID contosoEmpShoe: 1.2.850.29.29.20.1.2.50.1.50.1.50.1.2.500.1.1.8500. isSingleValued: adminDisplayName vërtetë: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax 64 searchFlags 1 lDAPDisplayName: contosoEmpShoe systemOnly: DN FALSE: changetype: Modifikimi aDD: schemaUpdateNow schemaUpdate = X changetype: ntdsschemaadd objectClass: lartë objectClass: classSchema CN: contosoUser governsID: 1.2.840.113556. 1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: CN adminDisplayName: contosoUser adminDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClame: contosoUser nameDescription: contosoUser objectClass: changetype: Modifikimi shtesës: schemaUpdateNow schemaUpdateNow: 1 - dn: CN = përdoruesin, CN = Skema , CN = Konfigurimi, DC = X lloji i ndryshimit: ntdsschemamodify a dd: ndihmësKlasa ndihmëseKlasa: contosoPërdoruesi - dn: ndryshimi lloji: modifikoj shtoni: schemaUpdateNow schemaUpdateNow: 1

Pas krijimit të skedarit LDIF, duhet të provoni plotësisht zbatimin në një mjedis laboratorik eksperimental, të verifikoni domenin dhe replikimin e pyllit nga skaji në fund dhe të lejoni përditësimet e skemës në pyll. Tani ju duhet të identifikoheni duke përdorur një llogari që ka të drejta të administratorit të skemës. Mund t'ju duhet të çaktivizoni përsëritjen e jashtme në masterin e skemës (ku do të bëhen ndryshimet) dhe të ekzekutoni komandën e mëposhtme për të importuar skedarin LDIF:

Ldifde –i –f \ contosoUser.ldif –b -k –j. –C "CN = skema, CN = Konfigurimi, DC = X" #schemaNamingContext

Pasi të keni bërë ndryshimet, aktivizoni përsëritjen e jashtme në masterin e skemës dhe sigurohuni që riprodhimi të kryhet për të gjithë kontrolluesit e domenit.

Merrni frymë thellë - keni mbaruar! Ju keni përcaktuar një atribut të ri në skemë që do të shoqërohet me objekte të krijuara duke përdorur klasën e përdoruesit (d.m.th., me llogaritë e përdoruesve).

Për të testuar ndryshimet, hapni Users and Computers në Active Directory, lidheni me domenin staffs.contoso.com, zgjidhni njësinë organizative të përdoruesit dhe krijoni një llogari të re përdoruesi të quajtur ContosoTestUser. Tani hapni tastierën adsiedit.msc dhe lidheni me ndarjen e domenit dc = punonjës, dc = contoso, dc = com, zgjeroni Users OU, kliko me të djathtën ContosoTestUser dhe më pas hapni faqen Properties. Gjeni atributin contosoEmpShoe. Ju mund ta ndryshoni këtë atribut për të futur një vlerë. Ju gjithashtu mund të përdorni mjetin Ldp.exe për të kontrolluar dhe modifikuar atributet.

Tani, le të shohim një shembull të përcaktimit dhe lidhjes së dy atributeve dhe imagjinoni që Contoso është shumë i shqetësuar me madhësinë e këpucëve të punonjësve dhe dëshiron të gjurmojë performancën vjetore të njerëzve që matin madhësinë e këpucëve të punonjësve. Edhe pse kjo mund të tingëllojë qesharake, supozoni gjithashtu se Contoso duhet të gjurmojë jo vetëm njerëzit përgjegjës për matjen e madhësisë së këpucëve të punonjësve, por edhe punonjësit, madhësia e të cilëve u mat dhe numri i tyre - të gjitha duke kërkuar një atribut të vetëm. (Ndërsa ju mund të mendoni se tabelat e bazës së të dhënave janë më të përshtatshme për ruajtjen e këtij lloji të të dhënave, në këtë rast ne thjesht po përpiqemi të shpjegojmë se si funksionojnë lidhjet para dhe mbrapa.)

Sigurisht, fillimisht do të bëni një analizë të ngjashme me atë që përmenda në shembullin e mëparshëm. Megjithatë, tani për tani le të shkojmë përpara dhe të krijojmë skedarët LDIF (linkids1.ldif dhe linkids2.ldif) siç tregohet në oriz. 6... Pastaj, ekzekutoni komandën e mëposhtme për të importuar skedarët LDIF:

Lidhni skedarët LDIF përpara dhe prapa

# linkids1.ldif #Përkufizimi i atributit për atributin e lidhjes së përparme dn: CN = ContosoShoeSizeTaker, CN = Skema, CN = Konfigurimi, DC = X lloji i ndryshimit: ntdsschemaadd objektKlasa: objekti i lartëKlasa: atributiSchema cn: atributi ContosoShoeSize.5.01.501.4.501.10.1. 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntax 64 searchFlags 1 lDAPDisplayName: ContosoShoeShoeSizeTaker sistem skemë # linkids2.ldif definicionit #Attribute për mbrapa Lidhje atribut DN: CN = ContosoShoeSizesTakenByMe, CN = Skema, CN = konfigurimit, DC = X changetype: ntdsschemaadd objectClass: lartë objectClass: attributeSchema CN:. ContosoShoeSizesTakenByMe1355.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: adminDisplayName FALSE: ContosoShoeSizesTakenByMe adminDescript ion: ContosoShoeSizesTakenByMe oMSyntax 64 searchFlags 1 lDAPDisplayName: ContosoShoeSizesTakenByMe systemOnly: DN FALSE: changetype: Modifikimi shtesës: schemaUpdateNow schemaUpdateNow: 1 - #Add ContosoShoeShoeSizeNow: 1 - #Add ContosoShoeShoeShoen = konfigurimit, DC = X changetype: ntdsschemamodify shtesës: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe DN: changetype: Modifiko add: schemaUpdateNow schemaUpdateNow: 1 - #Add prapa Link Attribute = mayContain = Top = Konfigurimi, DC = X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe DN: changetype: Modifiko add: schemaUpdateNow schemaUpdateNow: 1 ldifde –i –f \ linkedids.ldif –b -k –j. –C "CN = skema, CN = Konfigurimi, DC = X" #schemaNamingContext

Tani, kur të krijohet objekti i përdoruesit, ai do të ketë gjithashtu atributet ContosoShoeSizeTaker dhe ContosoShoeSizesTakenByMe. Kur krijohet një objekt përdoruesi, për shembull për John, atributi ContosoShoeSizeTaker plotësohet me emrin e dalluar të personit që mat madhësinë e këpucëve, Frank. Nëse tani lundroni te vetitë e objektit të përdoruesit të Frank dhe pyetni për atributin ContosoShoeSizesTakenByMe, rezultati do të përmbajë emrin e dalluar të Frank dhe të tjerëve, madhësia e këpucëve të të cilëve mati Frank. Për të përfunduar çështjen tonë, menaxhmenti mund ta shpërblejë Frank bazuar në numrin e emrave të dalluar që ekzistojnë në atributin ContosoShoeSizesTakenByMe të llogarisë së tij të përdoruesit.

Sistemi i kontrolleve dhe balancave

Një përditësim kritik, i cili është një ndryshim i skemës, nuk mund të kryhet pa kontrolluar përputhshmërinë arkitekturore. Këto kontrolle sigurie dhe konsistence përdoren nga Active Directory për të konfirmuar që ndryshimet nuk shkaktojnë mospërputhje ose probleme të tjera kur skema e Active Directory zgjerohet ose ndryshohet.

Para së gjithash, vlera e qeverisë ID për çdo klasë duhet të jetë unike në skemë. Gjatë përcaktimit të objektit schemaClass, të gjitha atributet e përcaktuara në listat systemMayContain, mayContain, systemMustContain dhe mustContain duhet të ekzistojnë tashmë. Në të njëjtën kohë, të gjitha klasat e përcaktuara në listat nënClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors dhe possSuperiors duhet të ekzistojnë tashmë.

Përveç kësaj, atributi objectClassCategory i të gjitha klasave në listat systemAuxiliaryClass dhe auxiliaryClass duhet të jetë klasa 88 ose një klasë ndihmëse. Po kështu, atributi i objektitClassCategory i të gjitha klasave në listat systemPossSuperiors dhe possSuperiors duhet të përkufizohet si klasa 88 ose një klasë strukturore.

Kur përcaktohen klasa të ndryshme, klasat abstrakte mund të rrjedhin vetëm nga klasa të tjera abstrakte, klasat ndihmëse nuk mund të rrjedhin nga klasa strukturore dhe klasat e strukturuara nuk mund të rrjedhin nga klasat ndihmëse. Përveç kësaj, atributi i specifikuar në rDNAttID duhet të jetë i paqartë dhe i sintaksuar si një varg unicode.

Këto janë disa nga rregullat që zbatohen për objektet classSchema. Po rregullat për objektet e atributeve Schema? Ashtu si vlera e qeverisësID për klasat, vlera ID e atributit duhet të jetë unike. Për më tepër, vlera mAPIID (nëse ka) duhet të jetë unike. Më tej, nëse rangeLower dhe rangeUpper janë të pranishme, rangeLower duhet të jetë më i vogël se rangeUpper. AttributeSyntax dhe oMSyntax duhet të përputhen. Nëse sintaksa e atributit është sintaksë e objektit (oMSyntax = 127), ajo duhet të ketë oMObjectClass të saktë. ID-ja e lidhjes, nëse është e pranishme, duhet të jetë unike. Përveç kësaj, lidhja e pasme duhet të ketë një lidhje përkatëse përpara.

Po sikur të ndodhë një gabim?

Pas zgjerimit të skemës dhe shtimit të objekteve të reja (klasa dhe atribute) në të, ato nuk mund të fshihen. Megjithatë, klasat dhe atributet mund të çaktivizohen duke vendosur atributin isDefunct të objektit të skemës në TRUE. Nuk mund të çaktivizoni objektet e skemës që janë pjesë e skemës së paracaktuar të dhënë me Active Directory (objekte të kategorisë 1). Ju mund të çaktivizoni vetëm objektet e shtuara në skemë si parazgjedhje, d.m.th. Objektet e kategorisë 2, dhe vetëm pasi të verifikohet që klasa nuk përdoret në listat nënClassOf, ndihmëse Klasa ose possSuperiors të ndonjë klase ekzistuese ekzistuese.

Kur përpiqeni të çaktivizoni ndonjë atribut, Active Directory kontrollon nëse ai po përdoret në listat mustContain dhe mayContain të ndonjë klase ekzistuese efektive. Objektet e çaktivizuara mund të riaktivizohen duke vendosur atributin isDefunct në FALSE. Nëse Active Directory funksionon në nivelin Windows Server 2003, mund të ripërdorni vlerat ldapDisplayName, schemaIdGuid, OID dhe mapiID të objekteve me aftësi të kufizuara.

konkluzioni.

Shtimi ose modifikimi i një përkufizimi të një klase ose atributi në një skemë gjithashtu shton ose modifikon objektin korrespondues classSchema ose atributSchema. Ky proces është i ngjashëm me shtimin ose modifikimin e ndonjë objekti në Active Directory, përveç që bëhen kontrolle shtesë për t'u siguruar që ndryshimet të mos shkaktojnë mospërputhje dhe të mos shkaktojnë probleme të skemës në të ardhmen.

Ndërsa ndryshimi i skemës së Active Directory nuk është i vështirë, është e rëndësishme të kuptohet struktura e skemës dhe procesi për zbatimin e këtyre ndryshimeve. Të gjitha ndryshimet në skemën e Active Directory duhet të planifikohen me kujdes dhe të ekzekutohen me shumë kujdes. Është e rëndësishme të përcaktohen kërkesat e biznesit dhe specifikimet teknike për objektet e reja dhe të kryhen testime të gjera. Për shkak se ndryshimet mund të kenë një efekt të rëndësishëm, ju rekomandojmë që të zgjeroni skemën e Active Directory vetëm nëse është absolutisht e nevojshme.

Është e vështirë të nënvlerësohet rëndësia e "Skemës Active Directory" për rrjetet e ndërtuara në krye të një mjedisi domeni Active Directory. Ky është themeli i teknologjisë AD dhe është shumë e rëndësishme të kuptohen siç duhet parimet e funksionimit të saj. Shumica e administratorëve të sistemit nuk i kushtojnë vëmendje të mjaftueshme skemës për faktin se ata rrallë duhet të merren me të. Në këtë artikull do t'ju tregoj se çfarë është një version i skemës, pse duhet ta dimë atë dhe, më e rëndësishmja, si ta shohim versionin aktual.

Para së gjithash, disa fjalë për vetë skemën, çdo objekt i krijuar në Active Directory, qoftë përdorues apo kompjuter, ka disa parametra të quajtur atribute. Shembulli më i thjeshtë është atributi "Mbiemri" i objektit të përdoruesit. Skema përcakton se cilat objekte mund të krijojmë në Active Directory dhe çfarë atributesh do të kenë.

Active Directory lejon që kontrollues të shumëfishtë domenesh të bazuara në versione të ndryshme të Windows të përdoren brenda së njëjtës organizatë. Gjegjësisht, bazuar në Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Meqenëse këto versione janë lëshuar në vite të ndryshme, dhe çdo version i ri ka më shumë funksionalitet se ai i mëparshmi, kuptimi i skemës është i ndryshëm për çdo sistem operativ. Prandaj, kur shtoni një kontrollues të ri të bazuar në Windows Server 2008 në një organizatë ku kontrollorët ekzistues bazohen në Windows Server 2003, duhet të ekzekutoni programin " Adprep". Duke bërë këtë, ju keni përditësuar grafikun tuaj organizativ në nivelin me të cilin punon. Windows Server 2008.

Procesi i përmirësimit të skemës u krye përpara instalimit të kontrolluesit të parë të Windows Server 2008 dhe procedura aktuale për instalimin e një kontrolluesi të ri mund të mos ishte kryer. Nëse sapo keni filluar të punoni me një lloj organizate Active Directory dhe nuk e dini se çfarë veprimesh janë kryer para se të bashkoheni, për të kuptuar tërësinë e strukturës, do t'ju duhet të dini se në çfarë niveli është Skema e tanishme punë organizative.

Versionet e mundshme të skemës:

13 - Serveri Windows 2000
30 - Windows Server 2003 RTM, Windows 2003 me Service Pack 1, Windows 2003 Me Service Pack 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Edhe nëse të gjithë kontrollorët në organizatën tuaj funksionojnë në Windows Server 2003 R2 dhe versioni i skemës tregon "44", nuk duhet të habiteni, kjo do të thotë që skema tashmë është përmirësuar në nivelin e Windows Server 2008 RTM, por vetë kontrolluesi për ndonjë arsye ata nuk e instaluan atë për një arsye.

Mund ta shikoni versionin e skemës në disa mënyra, më e thjeshta është mënyra duke përdorur mjetin "DSQuery". Për ta bërë këtë, në vijën e komandës, futni një komandë me parametrat e mëposhtëm:

"Dsquery * cn = skema, cn = konfigurim, dc = emri i domenit, dc = lokal -scope bazë -attr objektVersion"

Natyrisht, në pjesën “ dc = emri i domenit, dc = lokal " ju duhet të zëvendësoni emrin tuaj të domenit. (Shembull: dc = microsoft, dc = com )

Rezultati i futjes së komandës është marrja e atributit " ObjectVersion", Cili do të jetë numri i versionit të skemës:

Oriz. një Marrja e versionit të skemës përmes programit "DSQuery".

Metoda e dytë është më e gjatë dhe përfshin përdorimin e një kapëseje " ADSIEdit.msc "... Për të parë versionin e skemës, duhet të lidheni me seksionin Active Directory të skemës.

"CN = Skema, CN = Konfigurimi, DC = domain, DC = lokale"

Dhe gjeni vlerën e atributit " objektVersion".

Fig. 2 Marrja e versionit të skemës përmes snap-in " ADSIEdit.msc».

Duke ditur versionin e skemës, gjithmonë mund të thoni me besim nëse skema duhet të përditësohet dhe, nëse është e nevojshme, në çfarë niveli.

Duhet të theksohet se përditësimet e skemës mund të kryhen nga softuer që është i integruar ngushtë me Active Directory. Shembulli më i mrekullueshëm i Microsoft Exchange Server. Dhe shpesh në një organizatë që planifikon të zbatojë Exchange Server, është e nevojshme të zbulohet nëse skema është përgatitur? Dhe nëse po, çfarë versioni të Exchange Server. Aktualisht, ekzistojnë tre versione të Exchange që funksionojnë me Active Directory, por ekzistojnë gjashtë opsione për modifikimin e skemës. Ju mund të kuptoni nëse skema e Exchange Active Directory është ndryshuar nga serveri nga atributi " vargu i sipërm ", i cili merr vlerat e mëposhtme:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 Me Service Pack 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 Me Service Pack 3
10628 - Exchange Server 2007
11116 - Exchange 2007 With Service Pack 1

Siç mund ta shihni, përditësimi i skemës ndodh gjithashtu kur instaloni një grup përditësimesh SP3 për Exchange Server 2000/2003 dhe SP1 për Exchange 2007.

Shikoni vlerën e atributit " diapazon i sipërm " mund të përdorni programin DSQuery:

"dsquery * CN = ms-Exch-Schema-Version-Pt, cn = skema, cn = konfigurimi, dc = emri i domenit, dc = baza e fushës lokale -attr rangeUpper"

Oriz. 3 Marrja e atributit " diapazon i sipërm " nëpërmjet programit DSQuery.

Nëse pas futjes së kësaj komande, kthehet një përgjigje që tregon mungesën e atributit " diapazon i sipërm " mund të konkludohet se skema nuk ka ndryshuar.

Procesi i përditësimit të skemës është shumë i rëndësishëm për çdo organizatë Active Directory, kështu që duhet të shmangen hapat e panevojshëm dhe të panevojshëm. Kuptimi i thelbit të atributeve " objektVersioni "dhe« diapazon i sipërm " i jep teknikut një avantazh kur punon me Active Directory në një organizatë të panjohur, dhe është gjithashtu një mjet ndihmës në zgjidhjen e problemeve.

Materiali i siguruar nga burimi

Një skemë në AD DS i referohet grupit të përkufizimeve për të gjitha llojet e objekteve dhe atributet e lidhura në katalog. Është skema që përcakton mënyrën se si AD DS ruan dhe konfiguron të dhënat për të gjithë përdoruesit, kompjuterët dhe objektet e tjera në mënyrë që të ketë një pamje të qëndrueshme në të gjithë strukturën e AD DS. Ai mbrohet nga përdorimi i listave të kontrollit të aksesit diskrecional (DACL) dhe është përgjegjës për ofrimin e atributeve të mundshme për çdo objekt në AD DS. Në thelb, skema është përkufizimi bazë i vetë drejtorisë dhe është themeli i funksionalitetit të mjedisit të domenit. Duhet treguar shumë kujdes kur delegoni kontrollin e skemës tek një grup i zgjedhur administratorësh sepse ndryshimet në skemë prekin të gjithë mjedisin AD DS.

Objektet e skemës

Artikujt e ruajtur brenda strukturës AD DS, si përdoruesit, printerët, kompjuterët dhe faqet, quhen objekte brenda skemës. Çdo objekt i tillë ka listën e vet të atributeve që përcaktojnë karakteristikat e tij dhe mund të përdoren për ta gjetur atë.

Zgjerimi i skemës

Një nga avantazhet kryesore të dizajnit AD DS është aftësia për të modifikuar dhe zgjeruar drejtpërdrejt skemën për të përfshirë atribute të veçanta. Zakonisht, zgjerimi i grupit të atributeve ndodh gjatë instalimit të Microsoft Exchange Server, në të cilin skema zgjerohet në atë mënyrë që pothuajse dyfishohet në madhësi. Përmirësimi nga Windows Server 2003 ose Windows Server 2008 AD në Windows Server 2008 R2 AD DS gjithashtu zgjeron skemën për të përfshirë atributet që janë specifike për Windows Server 2008 R2. Shumë produkte të palëve të treta ofrojnë gjithashtu zgjerime skemash që u mundësojnë atyre të shfaqin llojet e tyre të informacionit të katalogut.