Është e vështirë të nënvlerësohet rëndësia e "Skemës Active Directory" për rrjetet e ndërtuara në bazë të një mjedisi domeni Active Directory. Kjo është baza e teknologjisë AD dhe është shumë e rëndësishme të kuptohen saktë parimet e funksionimit të saj. Shumica e administratorëve të sistemit nuk i kushtojnë vëmendjen e duhur skemës për shkak të faktit se ata rrallë duhet të merren me të. Në këtë artikull do t'ju tregoj se çfarë është një version qarku, pse duhet ta dimë atë dhe më e rëndësishmja, si ta shohim atë versioni aktual. Para së gjithash, disa fjalë për vetë skemën, çdo objekt i krijuar në Active Directory, qoftë përdorues apo kompjuter, ka disa parametra të quajtur atribute. Më së shumti shembull i thjeshtë mund të shërbejë si atribut “Mbiemri” i objektit të përdoruesit. Skema përcakton se çfarë objektesh mund të krijojmë në Active Directory dhe çfarë atributesh do të kenë.
Active Directory lejon përdorimin brenda një organizate të disa kontrolluesve të domenit të ndërtuar në bazë versione të ndryshme Windows OS. Domethënë, në bazë Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Meqenëse këto versione u lëshuan në vite të ndryshme, dhe secili version i ri mbart më shumë funksionalitet se ai i mëparshmi, secili ka një kuptim të qarkut sistemi operativ tuajat. Prandaj, kur shtoni një kontrollues të ri në bazuar në Windows Server 2008 në një organizatë ku kontrolluesit ekzistues janë ndërtuar në Windows Server 2003, ju duhej të ekzekutoni " Adprep" Kështu, ju keni përditësuar diagramin e organizatës suaj në nivelin me të cilin ajo punon Windows Server 2008.
Procesi i përditësimit të skemës u krye përpara instalimit të parë Kontrolluesi i Windows Serveri 2008 dhe procedura aktuale për instalimin e një kontrolluesi të ri mund të mos jenë kryer. Nëse sapo keni filluar të punoni me një organizatë Active Directory dhe nuk dini se çfarë aktivitetesh janë kryer para se të arrini, për të kuptuar tërësinë e strukturës, do t'ju duhet të dini se në çfarë niveli funksionon Skema e organizatës aktuale.
Versionet e mundshme të qarkut:
13 - Serveri Windows 2000
30 – Windows Server 2003 RTM, Windows 2003 Me Paketa e Shërbimit 1, Windows 2003 Me Service Pack 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM
Edhe nëse të gjithë kontrollorët në organizatën tuaj funksionojnë në Windows Server 2003 R2 dhe versioni i qarkut tregon "44", nuk duhet të habiteni, kjo tregon që qarku tashmë është përditësuar në nivelin e Windows Server 2008 RTM, por kontrolluesi vetë për ndonjë arsye nuk kishte asnjë arsye për ta instaluar atë.
Ka disa mënyra për të parë versionin e skemës. Metoda më e thjeshtë është përdorimi i mjetit DSQuery. Për këtë qëllim në rreshti i komandës duhet të futni komandën me parametrat e mëposhtëm:
"dsquery * cn=schema,cn=konfigurim,dc=emri i domenit,dc=local -scope base -attr objectVersion"
Natyrisht në pjesën " dc= emri i domenit dc= lokale" ju duhet të zëvendësoni emrin tuaj të domenit. (Shembull: dc= microsoft, dc= com )
Rezultati i futjes së komandës është marrja e atributit " ObjectVersion", i cili do të jetë numri i versionit të skemës:
Oriz. 1 Marrja e versionit të skemës përmes programit DSQuery.
Metoda e dytë është më e gjatë dhe përfshin përdorimin e " ADSIEdit. msc» . Për të parë versionin e skemës, do t'ju duhet të lidheni me ndarjen e skemës së Active Directory.
"CN=Skema,CN=Konfigurimi,DC=domain,DC=lokal"
Dhe gjeni vlerën e atributit " objektVersion".
Fig.2 Marrja e versionit të skemës përmes snap-in " ADSIEdit. msc».
Duke ditur versionin e skemës, gjithmonë mund të thoni me besim nëse skema duhet të përditësohet dhe, nëse është e nevojshme, në çfarë niveli.
Duhet të theksohet se përditësimet e skemës mund të bëhen software i integruar fort me Active Directory. Më e ndritura Shembull i Microsoft Exchange Server. Dhe shpesh në një organizatë që planifikon të zbatojë Exchange Server, është e nevojshme të zbulohet nëse skema është përgatitur? Dhe nëse po, çfarë versioni të Exchange Server. Aktualisht, ekzistojnë tre versione të Exchange që punojnë me Active Directory, por ekzistojnë gjashtë opsione për modifikimin e skemës.
Për të kuptuar nëse ka pasur një ndryshim
Skema e drejtorisë aktive Serveri i shkëmbimit e mundur nga atributi " diapazoni i sipërm",
e cila merr sa vijon vlerat:
4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 Me Service Pack 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 Me Service Pack 3
10628 - Exchange Server 2007
11116 – Exchange 2007 With Service Pack 1
Siç mund ta shihni, përditësimi i skemës ndodh gjithashtu kur instaloni grupin e përditësimit SP3 për Exchange Server 2000/2003 dhe SP1 për Exchange 2007.
Shiko vlerën e atributit " diapazon i sipërm" Ju mund të përdorni mjetin DSQuery:
"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=konfigurim, dc=emri i domenit, dc=local -scope base -attr rangeUpper"
Oriz. 3 Marrja e atributit " diapazon i sipërm" nëpërmjet programit DSQuery.
Nëse pas futjes së kësaj komande kthehet një përgjigje që tregon mungesën e atributit " diapazon i sipërm" mund të konkludojmë se skema nuk ka ndryshuar.
Procesi i përditësimit të skemës është shumë pikë e rëndësishme për secilin Organizatat aktive Drejtori, prandaj duhet të shmangni veprimet e panevojshme, të pajustifikuara. Kuptimi i thelbit të atributeve " objektVersion"Dhe« diapazon i sipërm" i jep një specialisti një avantazh kur punon me Active Directory në një organizatë të panjohur, dhe është gjithashtu një mjet ndihmës kur zgjidh problemet.
Që nga lëshimi i Active Directory me Windows 2000, Microsoft u ka ofruar përdoruesve një përkufizim të skemës bazë për zbatimin e Active Directory.
Lëshimi i Active Directory® shënoi gjithashtu një ndryshim në mënyrën se si u shkruan dhe u zbatuan shumë aplikacione në Windows®. Më parë, aplikacione të tilla si Microsoft® Exchange 5.5 u ndërtuan me strukturën e tyre të drejtorisë. Që nga prezantimi i Active Directory, shumë aplikacione (nga Microsoft dhe kompani të tjera) kanë filluar të përfitojnë nga struktura themelore e ofruar në vend që të krijojnë skemën e tyre nga e para.
Fillimisht u përdor arkitektura bazë e ofruar nga Active Directory, e cila më pas u zgjerua sipas nevojës. NË Microsoft Exchange 2000, për shembull, Active Directory u përdor për të zbatuar sistemet e mesazheve, duke përcaktuar kështu të ardhmen e arkitekturës së mesazheve të Microsoft.
Sot, shumë aplikacione të ndërtuara për të ekzekutuar në një mjedis Active Directory mbështeten në skemën bazë, dhe shumë aplikacione gjithashtu përcaktojnë ndryshimet e tyre të skemës për të bërë ndryshimet e nevojshme. Për ta bërë këtë, natyrisht, ju nevojitet një qark që mund të zgjerohet, i cili do të diskutohet në këtë artikull. Për më tepër, meqenëse shumë aplikacione varen nga përkufizimet bazë në Active Directory, stabiliteti i vazhdueshëm i skemës bazë është jashtëzakonisht i rëndësishëm. Për shkak se shumë aplikacione duhet të punojnë së bashku në të njëjtën Directory Active, ndryshimet në një aplikacion nuk duhet të ndikojnë në aplikacionet e tjera.
Çfarë është një skemë?
Për shumë njerëz, skema e Active Directory është paksa një kuti e zezë dhe ideja për të ndryshuar vetë skemën mund të jetë e frikshme. Sigurisht, zgjerimi Skemat aktive Drejtoria nuk ka nevojë të bëhet çdo ditë, por disa aplikacione ose biznese e kërkojnë atë. Prandaj, është shumë e rëndësishme të kuptojmë natyrën e skemës dhe përbërjen e saj, pasi Active Directory është një aset i rëndësishëm për shumë organizata, dështimi i të cilit për shkak të një përditësimi të gabuar mund të ketë pasoja të rënda.
Si një strategji, shumë organizata përdorin Active Directory Lightweight Directory Services (ADLDS) në Windows Server® 2008 (ose Active Directory Application Mode (ADAM) në Windows Server 2003) si një alternativë për testim ose zbatim të drejtpërdrejtë përkufizime me porosi skema në vend të zgjerimit të skemës së Active Directory.
Skema është struktura bazë, i cili ofron një format për shërbimin e drejtorisë. Skema Active Directory përcakton atributet dhe klasat e objekteve të përdorura në shërbimet e domenit Active Directory (ADDS). Skema kryesore përmban përkufizime për shumë klasa të njohura (të tilla si përdoruesi, kompjuteri dhe njësia organizative) dhe atribute (të tilla si numri i telefonit dhe objekti SID). Objektet në përkufizimin e skemës kryesore quhen objekte të kategorisë 1, dhe objektet që shtohen quhen objekte të kategorisë 2.
Skema e Active Directory ndodhet në një kontejner të përcaktuar nga shtegu cn=Schema, cn=Configuration,dc=X, ku X është hapësira e emrave të pyllit të Active Directory. Mbani në mend se një pyll Active Directory përmban vetëm një skemë; Bërja e ndryshimeve në përkufizimin e skemës në një pyll prek të gjitha domenet në atë pyll. Aktiv oriz. 1 tregon numrin e klasave dhe atributeve të shtuara në skemën Active Directory në versione të ndryshme të Windows Server.
Numri i klasave dhe atributeve
Përditësimi i skemës për versione të ndryshme Windows Server zbatohet duke përdorur programin Adprep. Kur përmirësohet në Windows Server 2003 R2, versioni i skemës përditësohet në 31, dhe kur përmirësohet në Windows Server 2008, përditësohet në 44.
Mund ta gjeni numrin e versionit duke kontrolluar vlerën e atributit objectVersion në cn=Schema,cn=Configuration,dc=X në Active Directory duke përdorur një mjet të tillë si ADSIEdit. Ju lutemi vini re se disa aplikacione, si Exchange Server, Menaxhimi i Sistemit Serveri (SMS) dhe aplikacionet e tjera që varen nga Active Directory mund të ndryshojnë skemën për t'iu përshtatur kërkesave të aplikacionit.
Komponentët bazë
Active Directory përbëhet nga dy lloje objektesh: classSchema (shkurt klasa) dhe atributiSchema (atribut shkurtimisht). Në mënyrë tipike, një zgjerim i skemës Active Directory konsiderohet nëse organizata duhet të ruajë të dhëna në atribute të caktuara që nuk janë të disponueshme në skemën ekzistuese. Atribut në Skema e drejtorisë krijuar duke specifikuar një objekt atributSchema në kontejnerin e skemës dhe më pas duke përcaktuar vetitë e nevojshme objekt i ri.
Për një listë të veçorive dhe informacionit të objektit të atributeve Schema, shihni go.microsoft.com/fwlink/?LinkId=110445. Siç mund ta shihni, për objektet mund të përcaktohet atributiSchema numër i madh prona, disa prej të cilave kërkohen.
Përveç atributeve të zakonshme, skema përmban gjithashtu atribute të veçanta, i quajtur i lidhur dhe i implementuar në çifte duke specifikuar lidhjet përpara dhe prapa. Si shembull, merrni parasysh anëtarësimin në grup në Active Directory. Atributi i anëtarësimit të çdo grupi (për shembull, një grup ContosoEmployees me anëtar John Doe) është një lidhje përpara dhe atributi korrespondues anëtarOf i një objekti anëtar është një lidhje prapa (kështu që kur kërkohet atributi MemberOf i anëtarit John Doe, llogaritet emri i dalluar (DN) i grupit ContosoEmployees).
Lidhja përpara funksionon në të njëjtën mënyrë si çdo atribut tjetër. Vlerat mund të jenë me një vlerë ose me shumë vlera (si atributi i anëtarësimit, i cili mund të përmbajë objekte të shumta si anëtarë të një grupi) dhe ruhen në drejtori së bashku me objektin prind.
Lidhjet e pasme, nga ana tjetër, mirëmbahen nga sistemi për të siguruar integritetin e të dhënave. Kur kërkohet një vlerë e atributit të lidhjes së pasme, rezultati llogaritet bazuar në të gjitha vlerat përkatëse të lidhjes përpara. Lidhjet e pasme janë gjithmonë të paqarta.
Të gjitha klasat e objekteve në ADDS përcaktohen nga një objekt classSchema në kontejnerin e skemës. Për një listë të atributeve që janë më të rëndësishme për të përcaktuar me sukses një objekt classSchema, shihni go.microsoft.com/fwlink/?LinkId=110445.
Ekzistojnë tre lloje klasash që mund të përcaktohen: strukturore, abstrakte dhe e dobishme. Lloji i klasës përcaktohet nga vlera e atributit të objektitClassCategory. (Kategoria e katërt, e njohur si 88, përfshin klasa të përcaktuara përpara standardeve X.500 të vitit 1993. Ky lloj klase tregohet me vlerën 0 në atributin e objektitClassCategory. Ky lloj nuk duhet të përcaktohen më.)
Marrja dhe përdorimi i identifikuesve
Identitetet e të gjitha objekteve classSchema dhetributSchema në direktori përcaktohen duke përdorur identifikuesit e detyrueshëm të objekteve (OIDs), rulesID për objektet classSchema dhe atributin ID për objektet etributeve Schema. Këto janë unike vlerat numerike, me kusht qendra të caktuara për të identifikuar objektet. Numërimi është në përputhje me përkufizimin e protokollit LDAP (RFC 2251). Disa identifikues të objekteve në skemën Active Directory lëshohen nga Organizata Ndërkombëtare për Standardizim (ISO) dhe Microsoft. Identifikuesi i objektit në drejtori duhet të jetë unik.
ID-ja e objektit është një varg numrash, për shembull 1.2.840.113556.1.y.z, siç tregohet në oriz. 2. Pra, ID e objektit të përdoruesit classSchema është 1.2.840.113556.1.5.9.
ID e objektit të përdoruesit
| Kuptimi | Kuptimi | Përshkrimi |
| 1 | ISO | Përcakton qendrën rrënjësore. |
| 2 | ANSI | Përcaktimi i grupit i caktuar nga ISO. |
| 840 | SHBA | Kodi i shtetit/rajonit i caktuar nga organizata. |
| 113556 | Microsoft | Përcaktimi i organizatës i caktuar sipas vendit/rajonit. |
| 1 | Active Directory | Caktuar nga organizata (në në këtë rast Microsoft). |
| Y | Lloji i objektit | Një numër që përfaqëson lloje të ndryshme objektesh (kategori), të tilla si classSchema ose atributSchema. Për shembull, 5 nënkupton klasën e objektit. |
| Z | Objekti | Një numër që përfaqëson një objekt specifik në një kategori. Për shembull, klasës së përdoruesit mund t'i caktohet numri 9. |
Kur një organizatë dëshiron të zgjerojë një skemë, ajo siguron që identifikuesi i objektit është unik duke marrë numrin e vet të rrënjës OID, i cili përdoret për të krijuar identifikues unikë për atributet e reja të organizatës dhe klasat e objekteve. Rrënja e identifikuesit të objektit mund të merret direkt nga zyra kombëtare e regjistrimit ISO (në SHBA, Instituti Kombëtar i Standardeve Amerikane (ANSI)).
Procedurat dhe tarifat e shërbimit për marrjen e ID-së së objektit rrënjë mund të gjenden në ansi.org. Në rajone të tjera, kontaktoni organizatën përkatëse anëtare ISO, e cila është e listuar në iso.org/iso/about/iso_members.htm.
Më parë, organizatat merrnin një ID objekti nga Microsoft duke dërguar një mesazh email në adresë [email i mbrojtur]. Megjithatë, kjo tani rezulton në një përgjigje të automatizuar që ju kërkon të shkarkoni dhe ekzekutoni VBScript nga go.microsoft.com/fwlink/?LinkId=110453.
Identifikuesve të objekteve të lëshuar nga Microsoft u caktohet numri numerik i hapësirës së Identifikuesit të objektit të Microsoft: 1.2.840.113556.1.8000.x, ku x është një numër unik i caktuar për organizatën. Një organizatë mund t'i ndajë këta identifikues për të identifikuar objektet. Kështu, mund të përdorni 1.2.840.113556.1.8000.x.1.y për objektet e reja classSchema dhe 1.2.840.113556.1.8000.x.2.z për objektet e atributeveSchema (ku x është numri unik i organizatës dhe y dhe z janë numrat e caktuar objekte të caktuara classSchema dhe atributSchema respektivisht). Rekomandohet gjithashtu që të përdorni një prefiks unik organizimi për të dalluar emrat e këtyre objekteve.
Përcaktimi i atributeve të lidhura
Vlera e atributitSintaksë e lidhjes së pasme duhet të jetë 2.5.5.1, që është sintaksë e objektit (DS-DN). Në mënyrë tipike, atributet e lidhjes së pasme i shtohen vlerës mayContain të klasës me abstraksionin më të madh. Kjo siguron që atributi i lidhjes së pasme mund të lexohet nga objektet e çdo klase, pasi atributet e tilla nuk ruhen në objekt, por llogariten bazuar në vlerat e lidhjes përpara.
Windows Server 2003 prezantoi një veçori që organizatat mund të përdorin për të lidhur dy objekte në një skemë: krijimi automatik ID-të e lidhjeve. Ky funksion siguron që një lidhje ID të gjenerohet automatikisht për një atribut të ri të lidhur nëse ID-ja e lidhjes së atributit është caktuar në 1.2.840.113556.1.2.50. Lidhja korresponduese e pasme krijohet duke vendosur ID-në e lidhjes në atributinId ose ldapDisplayName të lidhjes përpara. Cache-i i skemës duhet të ringarkohet pas krijimit të një lidhjeje përpara dhe përpara krijimit të një lidhjeje prapa. Përndryshe, atributi i atributit ID ose ldapDisplayName nuk do të gjendet kur krijoni një lidhje prapa. Memoria e memories së skemës ringarkohet sipas kërkesës disa minuta pas ndryshimit të skemës ose kur kontrolluesi i domenit riniset.
Nëse shërbimi Active Directory po funksionon Niveli i Windows 2000, duhet të kërkoni ID-të e lidhjeve nga Microsoft duke dërguar një email tek [email i mbrojtur]. Përgjigja automatike do rreshti tjetër: "E-mail dërguar në [email i mbrojtur] do të përpunohen vetëm nëse janë të lidhura me regjistrimet e ID-së së lidhjes për mjediset e trashëguara." (Mesazhet me email të dërguara në [email i mbrojtur], do të përpunohen vetëm nëse kanë të bëjnë me regjistrimin e ID-ve të lidhjeve për mjediset e vjetra.) Për ta bërë këtë, duhet të tregoni në mesazhin tuaj të postës elektronike informacionin e mëposhtëm: emri i kompanisë, emri person kontaktues, adresa e emailit, numri i telefonit, prefiksi i regjistruar (nëse është e nevojshme), ID e objektit të regjistruar (nëse është e nevojshme).
Mund të filloni të zgjeroni skemën
Le të themi se keni vendosur të zgjeroni skemën tuaj të Active Directory. Zgjidhja mund të përfshijë ndërprerjen e përdorimit të drejtorisë alternative të implementuar përmes ADLDS (ose ADAM në Windows Server 2003) pasi të përcaktohet se nuk do të plotësojë kërkesat. Hapi tjetër është përcaktimi i objekteve të reja të atributitSchema që duhet të shtohen në skemë; kjo përcakton çdo vlerë të nevojshme (të tilla si cn, ldapDisplayName, etj.) që tregojnë këto objekte të reja. Kur përcaktoni vlerat e atributeve për një objekt, ju gjithashtu merrni identifikuesin e objektit nga Microsoft ose një burim tjetër. Aktivitetet e mësipërme janë të dokumentuara si kërkesa biznesi dhe specifikime teknike. Për më tepër, është implementuar një mjedis laboratorik eksperimental që simulon funksionimin e Active Directory dhe është gati për testim.
Shumë organizata krijojnë komitete të posaçme për të miratuar ose refuzuar ndryshime të tilla dhe për të krijuar një proces për zbatimin e tyre. Këto kontrolle dhe balanca janë kritike sepse Active Directory përdoret si një burim i besueshëm informacioni në shumë organizata, gjë që është e rëndësishme të ruhet. ne gjendje pune Pasi të bëhen ndryshimet, nuk mund të ekzagjerohet.
Pasi një organizatë vendos të vazhdojë me një projekt, planet për testimin dhe zbatimin e projektit duhet të përcaktohen. Ju mund ta zgjeroni skemën tuaj duke shtuar objekte të reja duke përdorur skemën e skemës së konsolës së Active Directory Menaxhimi i Microsoft(MMC) ose duke përdorur metoda programatike ose gjysmë programatike (për shembull, duke përdorur LDIFDE për të importuar skedarë LDIF; duke përdorur CSVDE për të importuar Skedarët CSV; ose duke përdorur skriptet për ndërfaqet ADSI).
Pavarësisht nga metoda e zgjedhur, ky funksion duhet të kryhet në një server që ka roli i FSMO Masteri i skemës (Flexible Single Master Operations) në ose i lidhur me një pyll Active Directory. Përveç kësaj, llogari Përdoruesi i përdorur për përditësimin e skemës kërkon të drejta të mjaftueshme administrative për të kryer përditësimin, ndaj duhet të përfshihet në grupin e Administratorëve të Skemës. Së fundi, duhet të aktivizoni përditësimet e skemës për pyllin (çaktivizuar si parazgjedhje).
Nëse ndryshimi nuk është i thjeshtë, ai duhet të bëhet automatikisht për të siguruar standardizimin ndërmjet fazave të testimit dhe zbatimit dhe për të parandaluar gabimet që mund të ndodhin me hapat manualë. Le të themi se vendosni të zbatoni një ndryshim duke përdorur mjetin LDIFDE. Për të instaluar përditësime kur zgjeroni skemën, duhet të shtoni atribute dhe klasa të reja, të shtoni atribute të reja në klasa dhe më pas të ekzekutoni një ringarkim të cache-it. Më poshtë janë disa shembuj.
Shtimi i atributeve
Për hir të këtij diskutimi, le të supozojmë se një organizatë e quajtur Contoso duhet të shtojë një atribut në Active Directory që identifikon madhësinë e këpucëve të të gjithë punonjësve. NË pyll Aktiv Drejtoria e dy domeneve: contoso.com dhe staffs.contoso.com. Të gjitha objektet e krijuara duke përdorur përkufizimin e klasës së përdoruesit kërkohet të përmbajnë gjithashtu këtë atribut të ri.
Është e rëndësishme të mbani mend se një ndryshim i skemës prek të dy domenet sepse ato janë në të njëjtin pyll. Le të themi se ju merrni ID-në e objektit 1.2.840.113556.8000.9999 nga Microsoft, i cili ndahet në 1.2.840.113556.8000.9999.1 për classSchema dhe 1.2.840.113556.8000.9. Tani ju duhet të përcaktoni të gjitha vlerat e atributeve për këtë objekt të ri, siç tregohet në oriz. 3.
Përcaktimi i atributit contosoEmpShoe
| atribut | Kuptimi | Shënime |
| Cn | contosoEmpShoe | |
| lDAPDdisplayName | contosoEmpShoe | |
| adminDisplayName | contosoEmpShoe | |
| atributSintaksë | 2.5.5.12 | Përcakton një varg Unicode. |
| oMSintaksë | 64 | Specifikon një varg Unicode. |
| Klasa e objektit | krye, atributSkema | |
| ID e atributit | 1.2.840.113556.8000.9999.2.1 | Përcaktohet nga organizata. |
| është e vetme me vlerë | E VËRTETË | Vetëm një vlerë e madhësisë së këpucëve ruhet. |
| searchFlamujt | 1 | Analiza tregon nevojën për indeksimin e këtij atributi. Shënim. Një analizë e ngarkesës do të kryhet në një mjedis laboratorik. |
| ështëMemberOfPartialAttributeSet | E VËRTETË | Ky atribut duhet të jetë i disponueshëm në katalogun global. |
Për më tepër, megjithëse atributi contosoEmpShoe duhet të jetë i disponueshëm për të gjitha objektet e krijuara si objekte të klasës së përdoruesit, nuk rekomandohet të ndryshohet përkufizimi i paracaktuar i klasës së përdoruesit. Në vend të kësaj, duhet të përcaktoni një klasë ndihmëse contosoUser me atributin e tij mayContain të vendosur në contosoEmpShoe, siç tregohet në oriz. 4. Më pas duhet të shtoni atributet e përcaktuara për klasën ndihmëse contosoUser në klasën e përdoruesit.
Përcaktimi i klasës contosoUser
Tani që analiza është bërë dhe vlerat janë përcaktuar, ju duhet të krijoni një skedar LDIF që do të duket diçka si kodi në oriz. 5. Ju mund ta kopjoni kodin në oriz. 5 në Notepad dhe ruani skedarin si contosoUser.ldif (përfshirë në shkarkimin në technetmagazine.com).
Skedari LDIF për zgjerimin e skemës
#Përkufizimi i atributit për contosoEmpShoe dn: CN=contosoEmpShoe,CN=Skema,CN=Konfigurimi,DC=X lloji i ndryshimit: ntdsschemaadd objektKlasa: top objektKlasa: atributSchema cn: atributi contosoEmpShoe: 1.211.9050 taksa: 2.5.5.1 2 isSingleValued: TRUE Emri i administratorit: contosoEmpShoe administratori Përshkrim: contosoEmpShoe oMSyntaksa: 64 searchFlamujt: 1 lDAPDdisplayName: contosoEmpShoe systemVetëm: FALSE dn: changetypeNowd. Klasat dn: CN=contosoUser,CN=Skema,CN=Konfigurimi, DC =X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser rulesID: 1.2.840.113556.1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDeminDissoatetosplayN 3 lDA PDDisplayEmri: contoso Emri i përdoruesit: contosoVetëm sistemi i përdoruesit: FALSE dn : changetype: modifikoj add: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=Perdoruesi,CN=Skema,CN=Konfigurimi,DC=X lloji i ndryshimit: ntdsschemammodifikoj shtoj: auxiliaryClass auxiliaryKlasa -schemamoduarU: modifikojUntypen Përditëso Tani: 1
Pasi të krijoni skedarin LDIF, duhet të testoni plotësisht zbatimin tuaj në një mjedis laboratori pilot, të verifikoni domenin nga skaji në fund dhe replikimin e pyllit dhe të aktivizoni përditësimet e skemës në pyll. Tani duhet të identifikoheni duke përdorur një llogari që ka të drejta të administratorit të skemës. Mund t'ju duhet të çaktivizoni përsëritjen e jashtme në masterin e skemës (ku do të bëhen ndryshimet) dhe të ekzekutoni komandën e mëposhtme për të importuar skedarin LDIF:
Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=skema,CN=Konfigurimi,DC=X" #schemaNamingContext
Pasi të keni bërë ndryshime, aktivizoni përsëritjen e jashtme në masterin e skemës dhe sigurohuni që riprodhimi të jetë i plotë për të gjithë kontrolluesit e domenit.
Merrni frymë thellë - keni mbaruar! Ju keni përcaktuar një atribut të ri në skemë që do të shoqërohet me objekte të krijuara duke përdorur klasën e përdoruesit (d.m.th., llogaritë e përdoruesve).
Për të testuar ndryshimet, hapni Përdoruesit dhe Kompjuterët e Active Directory, lidheni me domenin punonjës.contoso.com, zgjidhni njësinë organizative të përdoruesve dhe krijoni një llogari të re përdoruesi të quajtur ContosoTestUser. Tani hapni tastierën adsiedit.msc dhe lidheni me ndarjen e domenit dc=punonjës,dc=contoso,dc=com, zgjeroni ndarjen Users, kliko me të djathtën ContosoTestUser, më pas hapni faqen Properties. Gjeni atributin contosoEmpShoe. Ju mund ta ndryshoni këtë atribut për të futur një vlerë. Ju gjithashtu mund të përdorni programi i shërbimeve Ldp.exe për të kontrolluar dhe ndryshuar atributet.
Tani le të shohim një shembull të përcaktimit dhe lidhjes së dy atributeve dhe imagjinojmë se kompania Contoso është shumë e rëndësishme për madhësinë e këpucëve të punonjësve të saj dhe ajo duhet të gjurmojë produktivitetin vjetor të specialistëve që matin madhësinë e këpucëve të punonjësve të kompanisë. Ndërsa kjo mund të duket qesharake, le të supozojmë gjithashtu se Contoso duhet të gjurmojë jo vetëm se kush është përgjegjës për matjen e madhësive të këpucëve të punonjësve, por edhe punonjësit, madhësitë e të cilëve janë matur dhe numrin e tyre, të gjitha duke kërkuar një atribut të vetëm. (Megjithëse mund të mendoni se tabelat e bazës së të dhënave do të ishin më të përshtatshme për ruajtjen e këtij lloji të të dhënave, qëllimi këtu është thjesht të shpjegojmë se si funksionojnë lidhjet përpara dhe prapa.)
Sigurisht, fillimisht do të bëni një analizë të ngjashme me atë që përmenda në shembullin e mëparshëm. Megjithatë, tani le të shkojmë përpara dhe të krijojmë skedarët LDIF (linkids1.ldif dhe linkids2.ldif) siç tregohet në oriz. 6. Pastaj do të ekzekutojmë komandën e mëposhtme për të importuar skedarët LDIF:
Skedarët LDIF të lidhjeve përpara dhe prapa
#linkids1.ldif #Përkufizimi i atributit për atributin e lidhjes së përparme dn: CN=ContosoShoeSizeTaker,CN=Skema,CN=Konfigurimi,DC=X lloji i ndryshimit: ntdsschemaadd objektKlasa: objekti i lartëKlasa: atributiSchema cn.1.50T.1.50T 0.9999.2. 2 LinkID: 1.2.840.113556.1.2.50 atributSintaksa: 2.5.5.1 ështëSingleValuar: TRUE AdminDisplayName: ContosoShoeSizeTakerPërshkrimi: ContosoShoeSizeTaker oMSyntax izeTaker systemOnly: FALSE d n: changetype: modifiko add: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Përkufizimi i atributit për atributin e lidhjes së prapme dn: CN=ContosoShoeSizesTakenByMe,CN=Skema,CN=Konfigurimi,DC=X lloji i ndryshimit: ntdsschemaadd objektKlasa: top objectClass: atributSchemaShoe.ByMe.10 13556.1.8000.99 99.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 atributetSintaksa: 2.5.5.1 isSingleValued: FALSE adminEmri i shfaqjes: ContosoShoeSizesTakenByMe adminShontaken gs: 1 lDAPDdisplayN ame: ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modifiko add: schemaUpdateNow schemaUpdateNow: 1 - # Shto atributin ContosoShoeSizeTaker dhe ContosoShoeSizesTakenByMe si MayContain në klasën #contosoUser dn: CN= contosoUser,CN=Skema,CN=Konfigurimi,DC=X lloji i ndryshimit: ntdsschemamodify add:ShotosoonT mayContain eSizesTakenByMe dn: ndrysho lloji: modifiko shto: schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Atribut si MayContain në Top dn: CN=Top,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenifymad date Tani: 1 ldifde – i –f \linkedids.ldif –b -k –j. –c "CN=skema,CN=Konfigurimi,DC=X" #schemaNamingContext
Tani kur krijoni një objekt përdoruesi, ai do të ketë gjithashtu atributet ContosoShoeSizeTaker dhe ContosoShoeSizesTakenByMe. Kur krijoni një objekt përdoruesi për John, për shembull, atributi ContosoShoeSizeTaker plotësohet me emrin e dalluar të personit që mati madhësinë e këpucëve, Frank. Nëse tani shkoni te vetitë e objektit të përdoruesit të Frank dhe kërkoni atributin ContosoShoeSizesTakenByMe, rezultati do të përmbajë emrin e dalluar të Frank dhe të tjerëve, madhësia e këpucëve të të cilëve Frank mati. Për të përfunduar çështjen tonë, menaxhmenti mund ta shpërblejë Frank bazuar në numrin e emrave të dalluar që ekzistojnë në atributin ContosoShoeSizesTakenByMe të llogarisë së tij të përdoruesit.
Sistemi i kontrolleve dhe balancave
Një përditësim kritik, si ndryshimi i skemës, nuk mund të kryhet pa verifikuar pajtueshmërinë me kërkesat arkitekturore. Këto kontrolle të sigurisë dhe konsistencës përdoren nga Active Directory për të siguruar që ndryshimet të mos shkaktojnë mospërputhje ose probleme të tjera gjatë zgjerimit ose ndryshimit të skemës së Active Directory.
Para së gjithash, vlera e qeverisë ID për çdo klasë duhet të jetë unike në skemë. Gjatë përcaktimit të një objekti schemaClass, të gjitha atributet e përcaktuara në listat systemMayContain, mayContain, systemMustContain dhe mustContain duhet të ekzistojnë tashmë. Në të njëjtën kohë, të gjitha klasat e përcaktuara në listat nënClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors dhe PossSuperiors duhet gjithashtu të ekzistojnë tashmë.
Për më tepër, atributi objectClassCategory i të gjitha klasave në listat systemAuxiliaryClass dhe auxiliaryClass duhet të jetë klasa 88 ose një klasë ndihmëse. Po kështu, atributi i objektit classCategory i të gjitha klasave në listat systemPossSuperiors dhe possSuperiors duhet të përkufizohet si klasa 88 ose një klasë strukturore.
Kur përcaktohen klasa të ndryshme, klasat abstrakte mund të rrjedhin vetëm nga klasa të tjera abstrakte, klasat ndihmëse nuk mund të rrjedhin nga klasat strukturore dhe klasat strukturore nuk mund të rrjedhin nga klasat ndihmëse. Për më tepër, atributi i specifikuar në rDNAttID duhet të jetë i paqartë dhe të ketë sintaksë të vargut Unicode.
Këto janë disa nga rregullat në lidhje me objektet classSchema. Po rregullat për objektet e atributeve Schema? Ashtu si vlera e qeverisësID për klasat, vlera ID e atributit duhet të jetë unike. Për më tepër, vlera mAPIID (nëse ka) duhet të jetë unike. Më pas, nëse rangeLower dhe rangeUpper janë të pranishme, vlera e rangeLower duhet të jetë më e vogël se vlera e rangeUpper. Vlerat e atributitSyntax dhe oMSyntax duhet të përputhen. Nëse sintaksa e atributit është sintaksë e objektit (oMSyntax =127), ajo duhet të ketë oMObjectClass të saktë. ID-ja e lidhjes, nëse është e pranishme, duhet të jetë unike. Për më tepër, një lidhje prapa duhet të ketë një lidhje përkatëse përpara.
Po sikur të kishte një gabim?
Pasi skema është zgjeruar dhe objekte të reja (klasa dhe atribute) janë shtuar në të, ato nuk mund të fshihen. Megjithatë, klasat dhe atributet mund të çaktivizohen duke vendosur atributin isDefunct të një objekti skeme në TRUE. Nuk mund të çaktivizoni objektet e skemës që janë pjesë e skemës së paracaktuar që vjen me Active Directory (objekte të kategorisë 1). Vetëm objektet e shtuara në skemën e paracaktuar mund të çaktivizohen, d.m.th. Objektet e kategorisë 2, dhe vetëm pasi të kontrollohet që klasa nuk përdoret në listat nënClassOf, ndihmëse, ose possSuperiors të ndonjë klase ekzistuese efektive.
Kur përpiqeni të çaktivizoni ndonjë atribut, Active Directory kontrollon nëse përdoret në listat mustContain dhe mayContain të ndonjë klase të vlefshme ekzistuese. Objektet e çaktivizuara mund të aktivizohen sërish duke vendosur atributin isDefunct në FALSE. Nëse Active Directory funksionon në nivelin Windows Server 2003, mund të ripërdorni vlerat ldapDisplayName, schemaIdGuid, OID dhe mapiID të objekteve me aftësi të kufizuara.
konkluzioni.
Kur shtoni ose ndryshoni përkufizimet e klasës ose atributeve në një skemë, ju gjithashtu shtoni ose ndryshoni objektin korrespondues classSchema ose atributSchema. Ky proces është i ngjashëm me shtimin ose ndryshimin e ndonjë objekti në Active Directory, përveç kësaj kontrolle shtesë se ndryshimet nuk shkaktojnë mospërputhje dhe nuk mund të shkaktojnë probleme në qark në të ardhmen.
Megjithëse ndryshimi i skemës së Active Directory nuk është një proces i komplikuar, është e rëndësishme të kuptohet struktura e skemës dhe procesi për zbatimin e këtyre ndryshimeve. Të gjitha ndryshimet në skemën e Active Directory duhet të planifikohen me kujdes dhe të kryhen me shumë kujdes. Është e rëndësishme të përcaktohen kërkesat e biznesit dhe specifikimet teknike për objekte të reja dhe të kryejë testime gjithëpërfshirëse. Për shkak se ndryshimet mund të kenë një ndikim të rëndësishëm, rekomandohet të zgjerohet skema e Active Directory vetëm kur është absolutisht e nevojshme.
Një shërbim direktoriumi përdoret për të identifikuar përdoruesit dhe burimet në një rrjet. Krahasuar me versionet e mëparshme të Windows Microsoft Windows Në vitin 2003, aftësitë e Active Directory janë zgjeruar ndjeshëm. Active Directory ofron një përvojë të unifikuar të menaxhimit të rrjetit që e bën të lehtë shtimin, heqjen dhe lëvizjen e përdoruesve dhe burimeve.
Prezantimi i Active Directory
Veglat e Active Directory ju lejojnë të dizajnoni strukturën e drejtorisë që t'i përshtatet organizatës suaj. Në këtë mësim, do të njiheni me përdorimin e objekteve të Active Directory dhe qëllimin e komponentëve të tij.
Pasi të keni studiuar materialin në këtë mësim, do të jeni në gjendje të:
shpjegoni qëllimin e atributeve të objektit dhe skemës së Active Directory;
Përcaktoni dhe përshkruani funksionet e komponentëve të Active Directory.
Objektet e drejtorisë aktive
Ashtu si të gjitha shërbimet që e bëjnë informacionin të aksesueshëm dhe të dobishëm, Active Directory ruan informacione rreth tyre burimet e rrjetit. Këto burime, të tilla si të dhënat e përdoruesit, përshkrimet e printerëve, serverëve, bazave të të dhënave, grupeve, kompjuterëve dhe politikave të sigurisë quhen objekte.
Një objekt është një grup i vetëm i emërtuar i atributeve që përfaqësojnë një burim rrjeti. Atributet e një objekti janë karakteristikat e tij në drejtori. Për shembull, atributet e llogarisë së përdoruesit mund të përfshijnë emrin dhe mbiemrin, departamentin dhe adresën e emailit (Figura 2-1).
Në aktiv Objektet e drejtorisë mund të organizohen në klasa, domethënë në grupe logjike. Një shembull i një klase është një koleksion objektesh që përfaqësojnë llogaritë e përdoruesve, grupet, kompjuterët, domenet ose njësitë organizative (OU).
Shënim Objektet që janë në gjendje të përmbajnë objekte të tjera quhen kontejnerë. Për shembull, një domen është një objekt kontejner që mund të përmbajë përdorues, kompjuterë dhe objekte të tjera.
Cilat objekte mund të ruhen në Active Directory përcaktohet nga skema e saj.
SkemaAktivDrejtoria
Një skemë Active Directory është një listë përkufizimesh që përcaktojnë llojet e objekteve që mund të ruhen në Active Directory dhe llojet e informacionit rreth tyre. Vetë këto përkufizime ruhen gjithashtu si objekte, kështu që Active Directory i menaxhon ato duke përdorur të njëjtat operacione që përdoren për objektet e tjera në Active Directory.
Ekzistojnë dy lloje përkufizimesh në një skemë: atributet dhe klasat. Ata quhen gjithashtu objekte skemash ose meta të dhëna.
Atributet përcaktohen veçmas nga klasat. Çdo atribut përcaktohet vetëm një herë dhe mund të përdoret në klasa të shumta. Për shembull, atributi Description përdoret në shumë klasa, por ai përcaktohet vetëm një herë në skemë, gjë që siguron integritetin e tij.
Klasat, të quajtura gjithashtu klasa objektesh, përshkruajnë se cilat objekte të Active Directory mund të krijohen. Çdo klasë është një koleksion atributesh. Kur krijohet një objekt, atributet ruajnë informacionin që e përshkruan atë. Për shembull, atributet e klasës User përfshijnë Adresën e Rrjetit, Drejtorinë e Shtëpisë, etj. Çdo objekt në Active Directory është një shembull i një klase objekti.
Windows 2000 Server ka një grup të integruar të klasave dhe atributeve bazë. Duke përcaktuar klasa të reja dhe atribute të reja për klasat ekzistuese, zhvilluesit me përvojë dhe administratorët e rrjetit mund të zgjerojnë dinamikisht skemën. Për shembull, nëse keni nevojë të ruani informacione rreth përdoruesve që nuk janë të përcaktuara në skemë, mund ta zgjeroni skemën për klasën Users. Megjithatë, një zgjerim i tillë i skemës është një operacion mjaft kompleks me pasoja të mundshme serioze. Për shkak se skema nuk mund të fshihet, vetëm çaktivizohet dhe përsëritet automatikisht, duhet të përgatiteni dhe të planifikoni zgjerimin e saj.
Diagrami përfshin një përshkrim formal të përmbajtjes dhe strukturës së bazës së të dhënave Të dhënat aktive Drejtoria. Në veçanti, ai tregon të gjitha vetitë e objekteve dhe klasat e tyre. Për secilën klasë të objektit, përcaktohen të gjitha vetitë e mundshme, opsione shtesë, si dhe cila klasë e objekteve është dhe mund të jetë një paraardhës i klasës aktuale.
Instalimi i Active Directory, në kontrolluesin e parë të domenit krijohet një skemë standarde që përmban një përshkrim të objekteve dhe vetive të objekteve më të përdorura. Përveç kësaj, diagrami ofron një përshkrim të objekteve dhe vetive të brendshme të Active Directory.
Skema është e zgjerueshme, pra administratori i sistemit mund të krijojë lloje të reja objektesh dhe vetitë e tyre, të shtojë veti të reja për ato objekte që tashmë ekzistojnë. Skema zbatohet dhe ruhet me Active Directory në katalogun global. Përditësohet automatikisht, në mënyrë që një aplikacion i krijuar posaçërisht të mund të shtojë në mënyrë të pavarur veti dhe klasa të reja në të.
Zgjerimi i skemës standarde nuk është i lehtë. Ndryshimi i gabuar i skemës mund të prishë si serverin ashtu edhe të gjithë shërbimin e drejtorisë. Për të zgjidhur këtë problem ju nevojiten përvoja dhe njohuritë e nevojshme. Pra, para së gjithash duhet të dini rregullat e emërtimit.
Rregullat e emërtimit
Çdo objekt Active Directory ka një emër specifik. Për të identifikuar objektet në Active Directory, ato përdoren skema të ndryshme emërtimi, përkatësisht:
Emrat e përbërë (DN);
-emrat e komponimeve relative (RDN);
-identifikuesit unik globalisht (GUID);
-Emrat kryesorë të përdoruesve (UPN).
Çdo objekt Active Directory ka emër i përbërë. Emri është një identifikues i objektit dhe përmban të dhëna të mjaftueshme për të gjetur objektin në drejtori. Emri i kualifikuar përfshin emrin e domenit që përmban objektin dhe shtegun e plotë drejt tij. Për shembull, emri i përdoruesit Andrew Kushnir në domenin server.com mund të duket kështu:
DC=COM/DC=SERVER/CN=Përdoruesit/CK=Andrew Kushnir
Nëse emri i plotë i kualifikuar i një objekti është i panjohur ose i ndryshuar, mund ta gjeni objektin sipas vetive të tij, njëra prej të cilave është emri relativ i kualifikuar (pjesë e emrit të kualifikuar). Në shembullin e mëparshëm, emri relativ i përbërë për objektin Andrew Kushnir do të ishte CK=Andrew Kushnir, dhe për objektin prind do të ishte CN=Usere.
Me përjashtim të emrit të kualifikuar, çdo Active Directory është objekt ka një identifikues unik globalisht (GUID), që është një numër 128-bitësh. ID-ja nuk ndryshon edhe pasi objekti të zhvendoset ose riemërohet. Një identifikues unik globalisht është unik në të gjitha domenet, duke përfshirë kur një objekt lëviz nga një domen në një domen tjetër.
Mënyra më e lehtë për të mbajtur mend është Emri Primar i Përdoruesit (UPN). Emri kryesor përbëhet nga emri i shkurtuar i përdoruesit plus emri DNS i domenit ku ndodhet objekti. Formati kryesor i emrit të përdoruesit është si më poshtë:
Emri i përdoruesit, karakteri i prapashtesës së domenit DNS
Për shembull, emri kryesor i përdoruesit është Andrew Kushnir në domenin e serverit. soja mund të duket si [email i mbrojtur]. Emri kryesor i një përdoruesi është i pavarur nga emri i tij pasues, kështu që një objekt përdoruesi mund të zhvendoset ose riemërohet pa pasur nevojë të ndryshojë emrin e hyrjes së domenit të përdoruesit.
