Skema dalam AD DS ialah satu set definisi untuk semua jenis objek dan atribut berkaitannya dalam direktori. Skema mentakrifkan cara AD DS harus menyimpan dan mengkonfigurasi data tentang semua pengguna, komputer dan objek lain supaya mereka mempunyai penampilan standard di seluruh struktur AD DS. Ia dilindungi oleh penggunaan Discretionary Access Control Lists (DACLs) dan bertanggungjawab untuk menyediakan atribut yang mungkin untuk setiap objek dalam AD DS. Pada asasnya, skema ialah definisi asas direktori itu sendiri dan merupakan asas untuk kefungsian persekitaran domain. Amat berhati-hati mesti digunakan apabila menyerahkan hak pengurusan skema kepada kumpulan pentadbir terpilih kerana perubahan yang dibuat pada skema menjejaskan keseluruhan persekitaran AD DS.

Objek skema

Unsur-unsur yang disimpan dalam struktur AD DS, seperti pengguna, pencetak, komputer dan tapak, dipanggil objek dalam skema. Setiap objek tersebut mempunyai senarai atribut tersendiri yang mentakrifkan ciri-cirinya dan boleh digunakan untuk mencarinya.

Sambungan skema

Salah satu faedah utama reka bentuk AD DS ialah keupayaan untuk mengubah suai dan melanjutkan skema secara langsung untuk memasukkan atribut tersuai. Biasanya, pengembangan set atribut berlaku semasa pemasangan sistem Microsoft Pelayan Pertukaran, di mana litar mengembang sehingga saiznya hampir dua kali ganda. Apabila melakukan kemas kini daripada Pelayan Windows 2003 atau Windows Server 2008 AD ke Windows Server 2008 R2 AD DS, skema juga diperluaskan, akibatnya atribut khusus untuk Windows Server 2008 R2 ditambahkan padanya. Banyak produk pihak ketiga juga menyediakan sambungan skema mereka sendiri yang membolehkan mereka memaparkan jenis maklumat katalog mereka sendiri.

Sejak keluaran Active Directory dalam sebahagian daripada Windows Pada tahun 2000, Microsoft menyediakan pengguna dengan definisi skema asas untuk melaksanakan Active Directory.

Keluaran Active Directory® juga menandakan perubahan dalam cara banyak aplikasi ditulis dan dilaksanakan pada Windows®. Sebelum ini, aplikasi seperti Microsoft® Exchange 5.5 telah dibina dengan struktur direktori mereka sendiri. Sejak pengenalan Active Directory, banyak aplikasi (dari Microsoft dan syarikat lain) telah mula memanfaatkan struktur asas yang disediakan daripada mencipta skema mereka sendiri dari awal.

Pada mulanya, seni bina asas yang disediakan oleh Active Directory telah digunakan, yang kemudiannya dilanjutkan mengikut keperluan. Microsoft Exchange 2000, sebagai contoh, menggunakan Active Directory untuk melaksanakan sistem pemesejan, dengan itu mentakrifkan masa depan seni bina pemesejan Microsoft.

Hari ini, banyak aplikasi yang dibina untuk dijalankan dalam persekitaran Active Directory adalah berdasarkan reka bentuk asasnya, dan banyak aplikasi juga mentakrifkan yang diperlukan. perubahan sendiri skim. Untuk melakukan ini, sudah tentu, anda memerlukan litar yang boleh dikembangkan, yang akan dibincangkan dalam artikel ini. Selain itu, memandangkan banyak aplikasi bergantung pada definisi asas dalam Active Directory, kestabilan berterusan skema asas adalah kritikal. Oleh kerana banyak aplikasi mesti berfungsi bersama dalam Direktori Aktif yang sama, perubahan pada satu aplikasi tidak boleh menjejaskan aplikasi lain.

Apakah skema?

Bagi kebanyakan orang, skema Active Directory adalah sedikit kotak hitam, dan idea untuk menukar skema itu sendiri boleh menjadi menakutkan. Sudah tentu, melanjutkan skema Active Directory bukanlah sesuatu yang anda perlu lakukan setiap hari, tetapi sesetengah aplikasi atau perniagaan memerlukannya. Oleh itu, adalah sangat penting untuk memahami sifat skim dan komposisinya, memandangkan Active Directory merupakan aset penting bagi banyak organisasi, kegagalan yang disebabkan oleh kemas kini yang salah boleh membawa akibat yang serius.

Sebagai strategi, banyak organisasi menggunakan Active Directory Lightweight Directory Services (ADLDS) dalam Windows Server® 2008 (atau Active Directory Application Mode (ADAM) dalam Windows Server 2003) sebagai alternatif untuk ujian atau pelaksanaan langsung definisi tersuai skema dan bukannya melanjutkan skema Active Directory.

Skema ialah struktur asas yang menyediakan format untuk perkhidmatan direktori. Skema Active Directory mentakrifkan atribut dan kelas objek yang digunakan dalam Active Directory Domain Services (ADDS). Skema teras mengandungi takrifan untuk banyak kelas yang terkenal (seperti pengguna, komputer dan Unit organisasi) dan atribut (seperti Nombor telefon dan objectSID). Objek dalam definisi skema utama dipanggil objek kategori 1, dan objek yang ditambah dipanggil objek kategori 2.

Skema Active Directory terletak dalam bekas yang ditakrifkan oleh laluan cn=Schema, cn=Configuration,dc=X, dengan X ialah ruang nama hutan Active Directory. Perlu diingat bahawa hutan Direktori Aktif hanya mengandungi satu skema; Membuat perubahan pada definisi skema dalam hutan memberi kesan kepada semua domain dalam hutan itu. hidup nasi. 1 menunjukkan bilangan kelas dan atribut yang ditambahkan pada skema Active Directory dalam versi Windows Server yang berbeza.

Bilangan kelas dan atribut

Mengemas kini skema untuk pelbagai Versi Windows Pelayan dilaksanakan menggunakan utiliti Adprep. Apabila menaik taraf kepada Windows Server 2003 R2, versi skema dikemas kini kepada 31 dan apabila menaik taraf kepada Windows Server 2008, ia dikemas kini kepada 44.

Anda boleh mencari nombor versi dengan menyemak nilai atribut objectVersion di cn=Schema,cn=Configuration,dc=X dalam Active Directory menggunakan alat seperti ADSIEdit. Ambil perhatian bahawa sesetengah aplikasi, seperti Pelayan Pertukaran, Pelayan Pengurusan Sistem (SMS) dan aplikasi lain yang bergantung kepada Direktori Aktif, mungkin menukar skema agar sesuai dengan keperluan aplikasi.

Komponen asas

Active Directory terdiri daripada dua jenis objek: classSchema (class for short) dan attributeSchema (attribute for short). Biasanya, sambungan skema Direktori Aktif dipertimbangkan jika organisasi perlu menyimpan data dalam atribut tertentu yang tidak tersedia dalam skema sedia ada. Atribut dalam skema Direktori dicipta dengan menentukan objek attributeSchema dalam bekas skema dan kemudian menentukan sifat yang diperlukan bagi objek baharu.

Untuk senarai sifat dan maklumat objek attributeSchema, lihat go.microsoft.com/fwlink/?LinkId=110445. Seperti yang anda lihat, untuk objek atributSchema boleh ditakrifkan sejumlah besar hartanah, sebahagian daripadanya diperlukan.

Selain atribut biasa, skema juga mengandungi atribut khas yang dipanggil atribut terpaut, yang dilaksanakan secara berpasangan dengan menentukan pautan ke hadapan dan ke belakang. Sebagai contoh, pertimbangkan keahlian kumpulan dalam Active Directory. Atribut keahlian mana-mana kumpulan (contohnya, kumpulan ContosoEmployees dengan ahli John Doe) ialah pautan ke hadapan, dan atribut memberOf yang sepadan bagi objek ahli ialah pautan belakang (supaya apabila atribut memberOf ahli John Doe disoal, nama terbilang (DN) kumpulan ContosoEmployees dikira).

Pautan ke hadapan berfungsi dengan cara yang sama seperti mana-mana atribut lain. Nilai boleh menjadi satu nilai atau berbilang nilai (seperti atribut keahlian, yang boleh mengandungi berbilang objek sebagai ahli kumpulan) dan disimpan dalam direktori bersama-sama dengan objek induk.

Pautan balik, sebaliknya, diselenggara oleh sistem untuk memastikan integriti data. Apabila nilai atribut pautan belakang disoal, hasilnya dikira berdasarkan semua nilai pautan hadapan yang sepadan. Pautan balik sentiasa samar-samar.

Semua kelas objek dalam ADDS ditakrifkan oleh objek classSchema dalam bekas skema. Untuk senarai atribut yang paling penting untuk berjaya menentukan objek classSchema, lihat go.microsoft.com/fwlink/?LinkId=110445.

Terdapat tiga jenis kelas yang boleh ditakrifkan: struktur, abstrak, dan utiliti. Jenis kelas ditentukan oleh nilai atribut objectClassCategory. (Kategori keempat, dikenali sebagai 88, termasuk kelas yang ditakrifkan sebelum piawaian X.500 1993. Jenis kelas ini ditunjukkan dengan nilai 0 dalam atribut objectClassCategory. Jenis ini tidak seharusnya ditakrifkan lagi.)

Mendapatkan dan menggunakan pengecam

Identiti semua objek classSchema dan attributeSchema dalam direktori ditakrifkan menggunakan pengecam objek yang diperlukan (OID), governsID untuk objek classSchema dan attributeID untuk objek attributeSchema. Ini adalah unik nilai angka, disediakan oleh pusat tertentu untuk mengenal pasti objek. Penomboran adalah mengikut takrifan protokol LDAP (RFC 2251). Beberapa pengecam objek dalam skema Active Directory dikeluarkan oleh International Organization for Standardization (ISO) dan Microsoft. Pengecam objek dalam direktori mestilah unik.

ID objek ialah rentetan nombor, contohnya 1.2.840.113556.1.y.z, seperti yang ditunjukkan dalam nasi. 2. Jadi ID objek pengguna classSchema ialah 1.2.840.113556.1.5.9.

ID objek pengguna

Maknanya	Maknanya	Penerangan
1	ISO	Mentakrifkan pusat akar.
2	ANSI	Penamaan kumpulan yang diberikan oleh ISO.
840	USA	Kod negara/rantau yang diberikan oleh organisasi.
113556	Microsoft	Jawatan organisasi yang diberikan mengikut negara/rantau.
1	Direktori Aktif	Ditugaskan oleh organisasi (dalam kes ini Microsoft).
Y	Jenis objek	Nombor mewakili Pelbagai jenis objek (kategori), contohnya, classSchema atau attributeSchema. Sebagai contoh, 5 bermaksud kelas objek.
Z	Sebuah objek	Nombor yang mewakili objek tertentu dalam kategori. Sebagai contoh, kelas pengguna mungkin diberikan nombor 9.

Apabila organisasi ingin melanjutkan skema, ia memastikan bahawa pengecam entiti adalah unik dengan mendapatkan nombor OID akarnya sendiri, yang digunakan untuk mencipta pengecam unik untuk atribut dan kelas entiti baharu organisasi. Akar pengecam objek boleh diperolehi terus daripada pejabat pendaftaran kebangsaan ISO (di AS, Institut Piawaian Kebangsaan Amerika (ANSI)).

Yuran prosedur dan perkhidmatan untuk mendapatkan ID objek akar boleh didapati di ansi.org. Di wilayah lain, hubungi organisasi ahli ISO yang sesuai, yang disenaraikan di iso.org/iso/about/iso_members.htm.

Sebelum ini, organisasi menerima ID objek daripada Microsoft dengan menghantar mesej E-mel dengan alamat [e-mel dilindungi]. Walau bagaimanapun, ini kini menghasilkan respons automatik yang meminta anda memuat turun dan menjalankan VBScript daripada go.microsoft.com/fwlink/?LinkId=110453.

Pengecam objek yang dikeluarkan oleh Microsoft diberikan nombor ruang pengecam berangka objek Microsoft: 1.2.840.113556.1.8000.x, dengan x ialah nombor unik yang diberikan kepada organisasi. Organisasi boleh memisahkan pengecam ini untuk mengenal pasti objek. Jadi, anda boleh menggunakan 1.2.840.113556.1.8000.x.1.y untuk objek classSchema baharu dan 1.2.840.113556.1.8000.x.2.z untuk objek attributeSchema (dengan x ialah nombor organisasi unik, dan y dan z ialah nombor yang diberikan objek classSchema dan attributeSchema tertentu, masing-masing). Anda juga disyorkan untuk menggunakan awalan organisasi yang unik untuk membezakan nama objek ini.

Mentakrifkan Atribut Berkaitan

Nilai attributeSyntax pautan belakang mestilah 2.5.5.1, iaitu sintaks Objek (DS-DN). Biasanya, atribut pautan belakang ditambahkan pada nilai mayContain kelas dengan abstraksi terbesar. Ini memastikan bahawa atribut pautan belakang boleh dibaca daripada objek mana-mana kelas, kerana atribut tersebut tidak disimpan dalam objek tetapi dikira berdasarkan nilai pautan ke hadapan.

Windows Server 2003 memperkenalkan ciri yang boleh digunakan oleh organisasi untuk memautkan dua objek dalam skema: penciptaan automatik linkIDs. Fungsi ini memastikan bahawa linkID dijana secara automatik untuk atribut terpaut baharu jika linkID atribut ditetapkan kepada 1.2.840.113556.1.2.50. Pautan belakang yang sepadan dibuat dengan menetapkan linkID kepada attributeId atau ldapDisplayName bagi pautan hadapan. Cache skema mesti dimuat semula selepas membuat pautan ke hadapan dan sebelum membuat pautan ke belakang. Jika tidak, atribut attributeId atau ldapDisplayName tidak akan ditemui semasa membuat pautan kembali. Cache skema dimuatkan semula atas permintaan beberapa minit selepas perubahan skema atau apabila pengawal domain dibut semula.

Jika anda menjalankan Windows 2000 Active Directory, anda mesti meminta linkID daripada Microsoft dengan menghantar e-mel kepada [e-mel dilindungi]. Respons automatik akan mengandungi baris berikut: "E-mel dihantar ke [e-mel dilindungi] akan diproses hanya jika ia berkaitan dengan pendaftaran linkID untuk persekitaran warisan." (Mesej e-mel dihantar ke [e-mel dilindungi], hanya akan diproses jika ia berkaitan dengan pendaftaran linkID untuk persekitaran warisan.) Untuk melakukan ini, anda mesti memasukkan maklumat berikut dalam e-mel anda: nama syarikat, nama pertama orang yang boleh dihubungi, alamat e-mel, nombor telefon, awalan berdaftar (jika perlu), ID objek berdaftar (jika perlu).

Anda boleh mula mengembangkan skim ini

Katakan anda memutuskan untuk melanjutkan skema Active Directory anda. Penyelesaian mungkin melibatkan pemberhentian penggunaan direktori alternatif yang dilaksanakan melalui ADLDS (atau ADAM dalam Windows Server 2003) sebaik sahaja ia ditentukan bahawa ia tidak akan memenuhi keperluan. Langkah seterusnya ialah untuk menentukan objek attributeSchema baharu yang perlu ditambah pada skema; ini mentakrifkan sebarang nilai yang diperlukan (seperti cn, ldapDisplayName, dll.) yang menunjukkan objek baharu ini. Apabila anda mentakrifkan nilai atribut untuk objek, anda juga mendapatkan pengecam objek daripada Microsoft atau sumber lain. Aktiviti di atas didokumenkan sebagai keperluan perniagaan dan spesifikasi teknikal. Selain itu, persekitaran makmal eksperimen telah dilaksanakan yang menyerupai operasi Active Directory dan sedia untuk diuji.

Banyak organisasi mewujudkan jawatankuasa khas untuk meluluskan atau menolak perubahan tersebut dan mewujudkan proses untuk pelaksanaannya. Semakan dan imbangan ini penting kerana Active Directory digunakan sebagai sumber maklumat yang dipercayai dalam banyak organisasi, yang penting untuk dikekalkan. dalam keadaan bekerja Sebaik sahaja perubahan dibuat, ia tidak boleh diperbesar-besarkan.

Sebaik sahaja organisasi memutuskan untuk meneruskan projek, rancangan untuk ujian dan pelaksanaan projek mesti ditakrifkan. Anda boleh memanjangkan skema dengan menambah objek baharu dengan menggunakan snap-in skema Direktori Aktif Microsoft Management Console (MMC) atau dengan menggunakan kaedah pengaturcaraan atau separa program (contohnya, menggunakan LDIFDE untuk mengimport fail LDIF; menggunakan CSVDE untuk mengimport fail CSV ; atau menggunakan skrip untuk antara muka ADSI).

Tanpa mengira kaedah yang dipilih, fungsi ini mesti dilakukan pada pelayan yang mempunyai atau disambungkan kepada peranan induk skema FSMO (Flexible Single Master Operations) dalam hutan Active Directory. selain itu, akaun Pengguna yang digunakan untuk mengemas kini skema memerlukan hak pentadbiran yang mencukupi untuk melaksanakan kemas kini, jadi ia mesti disertakan dalam kumpulan Pentadbir Skema. Akhir sekali, anda mesti mendayakan kemas kini skema untuk hutan (dilumpuhkan secara lalai).

Melainkan perubahan itu mudah, ia harus dilakukan secara automatik untuk memastikan penyeragaman antara fasa ujian dan pelaksanaan dan untuk mengelakkan ralat yang mungkin berlaku dengan langkah manual. Katakan anda memutuskan untuk melaksanakan perubahan menggunakan alat LDIFDE. Untuk memasang kemas kini semasa mengembangkan skema, anda mesti menambah atribut dan kelas baharu, menambah atribut baharu pada kelas dan kemudian menjalankan muat semula cache. Di bawah adalah beberapa contoh.

Menambah atribut

Untuk tujuan kita, mari kita anggap bahawa organisasi bernama Contoso perlu ditambah Perkhidmatan aktif Atribut direktori yang mentakrifkan saiz kasut semua pekerja. Terdapat dua domain dalam hutan Active Directory: contoso.com dan employees.contoso.com. Semua objek yang dibuat menggunakan definisi kelas pengguna dikehendaki juga mengandungi atribut baharu ini.

Adalah penting untuk diingat bahawa perubahan skema mempengaruhi kedua-dua domain kerana ia berada dalam hutan yang sama. Katakan anda menerima ID objek 1.2.840.113556.8000.9999 daripada Microsoft, yang berpecah kepada 1.2.840.113556.8000.9999.1 untuk objek classSchema dan 1.2.840.113556.900.2 untuk ContoSchema. Sekarang anda perlu menentukan semua nilai atribut untuk objek baharu ini, seperti yang ditunjukkan dalam nasi. 3.

Mentakrifkan atribut contosoEmpShoe

Atribut	Maknanya	Nota
Cn	contosoEmpShoe
lDAPDisplayName	contosoEmpShoe
adminDisplayName	contosoEmpShoe
attributeSyntax	2.5.5.12	Mentakrifkan rentetan Unicode.
oMSyntax	64	Menentukan rentetan Unicode.
objectClass	atas, attributeSchema
attributeID	1.2.840.113556.8000.9999.2.1	Ditentukan oleh organisasi.
isSingleValued	BENAR	Hanya satu nilai saiz kasut disimpan.
carianBendera	1	Analisis menunjukkan keperluan untuk mengindeks atribut ini. Catatan. Analisis beban akan dilakukan dalam persekitaran makmal.
isMemberOfPartialAttributeSet	BENAR	Atribut ini mesti ada dalam katalog global.

Selain itu, walaupun atribut contosoEmpShoe harus tersedia untuk semua objek yang dicipta sebagai objek kelas pengguna, tidak disyorkan untuk menukar definisi kelas pengguna lalai. Sebaliknya, anda harus menentukan kelas pembantu contosoUser dengan atribut mayContain ditetapkan kepada contosoEmpShoe, seperti yang ditunjukkan dalam nasi. 4. Anda kemudiannya perlu menambah atribut yang ditakrifkan untuk kelas pembantu contosoUser kepada kelas pengguna.

Mentakrifkan kelas contosoUser

Sekarang setelah analisis telah dilakukan dan nilai telah ditentukan, anda perlu membuat fail LDIF yang akan kelihatan seperti kod dalam nasi. 5. Anda boleh menyalin kod ke nasi. 5 ke dalam Notepad dan simpan fail sebagai contosoUser.ldif (disertakan dalam muat turun di technetmagazine.com).

Fail LDIF untuk sambungan skema

#ATTRIBUTE Takrifan untuk CONTOSOEMPSHOE DN: CN = CONTOSOEMPSHOE, CN = SKEMA, CN = Konfigurasi, DC = X CHANGETYPE: NTDDSCHEMAADD OBJECTCLASS: Top ObjectClass Ttributeschema CN: ContosoEmpshoe Attributeid: 5.90.98 Atribut: 5.90.984505.1.98. tributesyntax: 2.5.5.12 isSingleValued : TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changetype: ubah suai tambah: schemaUpdateNow schemaUpdateNow: 1 - #CCNConfiguration = 1 - #CNConfiguration = DCConfiguration = 1 - #ClassCNContos = 1 - #CCNConfiguration X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governsID: 1.2.840.113556.1.8000.9999.1.1 mungkinMengandungi: contosoEmpShoe rDNAttID: cn adminSoserNameUser: isconlas C contoplayNameUserUser: contolasC konturDNAttID: cn adminsoserNameUser: isconlasC contoc saya: contosoNama pengguna: contosoUser systemSahaja: FALSE dn : changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=User,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: auxiliaryClass auxiliaryClass: contosoUser - dn: changetypeNow: modify add: schema1UpdateNow

Selepas anda membuat fail LDIF, anda mesti menguji pelaksanaan anda secara menyeluruh dalam persekitaran makmal perintis, mengesahkan domain hujung ke hujung dan replikasi hutan dan mendayakan kemas kini skema dalam hutan. Anda kini mesti log masuk menggunakan akaun yang mempunyai hak Pentadbir Skema. Anda mungkin perlu melumpuhkan replikasi keluar pada induk skema (di mana perubahan akan dibuat) dan jalankan arahan berikut untuk mengimport fail LDIF:

Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=schema,CN=Configuration,DC=X" #schemaNamingContext

Selepas membuat perubahan, dayakan replikasi keluar pada induk skema dan pastikan replikasi selesai untuk semua pengawal domain.

Tarik nafas dalam-dalam - anda sudah selesai! Anda telah menentukan atribut baharu dalam skema yang akan dikaitkan dengan objek yang dibuat menggunakan kelas pengguna (iaitu, akaun pengguna).

Untuk menguji perubahan, buka Pengguna dan Komputer Direktori Aktif, sambung ke domain employees.contoso.com, pilih unit organisasi pengguna dan buat akaun pengguna baharu bernama ContosoTestUser. Sekarang buka konsol adsiedit.msc dan sambung ke bahagian domain dc=employees,dc=contoso,dc=com, kembangkan subbahagian Pengguna, Klik kanan Klik ContosoTestUser, kemudian buka halaman Properties. Cari atribut contosoEmpShoe. Anda boleh menukar atribut ini untuk memasukkan nilai. Anda juga boleh menggunakan utiliti Ldp.exe untuk menyemak dan menukar atribut.

Sekarang mari kita lihat contoh mentakrif dan mengaitkan dua sifat dan bayangkan bahawa syarikat Contoso sangat penting kepada saiz kasut pekerjanya dan ia perlu menjejaki produktiviti tahunan pakar yang mengukur saiz kasut pekerja syarikat. Walaupun ini mungkin kelihatan tidak masuk akal, mari kita anggap juga bahawa Contoso perlu menjejaki bukan sahaja siapa yang bertanggungjawab untuk mengukur saiz kasut pekerja, tetapi juga pekerja yang saiz kasutnya diukur dan bilangan mereka, semuanya dengan menanyakan satu atribut. (Walaupun anda mungkin berpendapat bahawa jadual pangkalan data akan lebih sesuai untuk menyimpan data jenis ini, tujuan di sini hanyalah untuk menerangkan cara pautan ke hadapan dan ke belakang berfungsi.)

Sudah tentu, pertama anda akan melakukan analisis yang serupa dengan yang saya nyatakan dalam contoh sebelumnya. Walau bagaimanapun, sekarang mari kita teruskan dan buat fail LDIF (linkids1.ldif dan linkids2.ldif) seperti yang ditunjukkan dalam nasi. 6. Kemudian kami akan menjalankan arahan berikut untuk mengimport fail LDIF:

Fail LDIF pautan ke hadapan dan ke belakang

#linkids1.ldif #attribute definisi untuk atribut pautan ke hadapan Dn: cn = contososhoesizetaker, cn = skema, cn = configuration, dc = x changeType: ntdsschemaadd objectClass: top objectClass: Attributeschema: contosos.1tr. 9.2. 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminPenerangan: ContosoShoeSizeTaker oMSyntax: 64 searchFlags: FALSoSplayNameFlags: FALSoSplayName: ContosoShoeSizeTaker dn : changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Attribute definition for Backward Link Attribute dn: CN=ContosoShoeSizesTakenByMe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSchema . 000.999 9.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 atributSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminPenerangan: ContosoShoeBysizesPDF: ContosoShoeShoeSizesOf Nama : ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - # Tambah ContosoShoeSizeTaker dan ContosoShoeSizesTakenByMe Atribut sebagai MayContain dalam kelas #contosoUser dn: CN= contosoUser, CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: Contoso mayShoeSizeSizeB tambah: schemaUpdateNow schemaUpdateNow : 1 - #Tambah Atribut Pautan Mundur sebagai MayContain dalam dn Atas: CN=Top,CN=Skema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe dn: changetype: modify add: schemaUpdateNow schema: schemaUpdateNow schema – i –f \linkedids.ldif –b -k –j. –c "CN=schema,CN=Configuration,DC=X" #schemaNamingContext

Kini apabila anda mencipta objek pengguna, ia juga akan mempunyai atribut ContosoShoeSizeTaker dan ContosoShoeSizesTakenByMe. Apabila anda mencipta objek pengguna untuk John, sebagai contoh, atribut ContosoShoeSizeTaker diisi dengan nama terkenal orang yang mengukur saiz kasut, Frank. Jika anda kini pergi ke sifat objek pengguna Frank dan menanyakan atribut ContosoShoeSizesTakenByMe, hasilnya akan mengandungi nama terkenal Frank dan orang lain yang saiz kasutnya diukur oleh Frank. Untuk melengkapkan kes kami, pihak pengurusan boleh memberi ganjaran kepada Frank berdasarkan bilangan nama terkenal yang wujud dalam atribut ContosoShoeSizesTakenByMe akaun penggunanya.

Sistem semak dan imbangan

Kemas kini kritikal, seperti perubahan skema, tidak boleh dilakukan tanpa mengesahkan pematuhan dengan keperluan seni bina. Semakan keselamatan dan ketekalan ini digunakan oleh Active Directory untuk memastikan bahawa perubahan tidak menyebabkan ketidakkonsistenan atau masalah lain apabila melanjutkan atau menukar skema Active Directory.

Pertama sekali, nilai governsID untuk setiap kelas mestilah unik dalam skema. Apabila mentakrifkan objek schemaClass, semua atribut yang ditakrifkan dalam senarai systemMayContain, mayContain, systemMustContain dan mustContain mesti sudah wujud. Pada masa yang sama, semua kelas yang ditakrifkan dalam senarai subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors dan possSuperiors juga mesti sudah wujud.

Selain itu, atribut objectClassCategory bagi semua kelas dalam senarai systemAuxiliaryClass dan auxiliaryClass mestilah kelas 88 atau kelas tambahan. Begitu juga, atribut objectClassCategory bagi semua kelas dalam senarai systemPossSuperiors dan possSuperiors mesti ditakrifkan sebagai kelas 88 atau kelas struktur.

Apabila mentakrifkan kelas yang berbeza, kelas abstrak hanya boleh diterbitkan daripada kelas abstrak lain, kelas tambahan tidak boleh diterbitkan daripada kelas struktur, dan kelas struktur tidak boleh diperoleh daripada kelas tambahan. Selain itu, atribut yang dinyatakan dalam rDNAttID mestilah tidak jelas dan mempunyai sintaks rentetan Unicode.

Ini adalah beberapa peraturan yang berkaitan dengan objek classSchema. Bagaimana pula dengan peraturan untuk objek attributeSchema? Sama seperti nilai governsID untuk kelas, nilai attributeID mestilah unik. Di samping itu, nilai mAPIID (jika ada) mestilah unik. Seterusnya, jika rangeLower dan rangeUpper hadir, nilai rangeLower mestilah kurang daripada nilai julatAtas. Nilai attributeSyntax dan oMSyntax mesti sepadan. Jika sintaks atribut ialah sintaks objek (oMSyntax =127), ia mesti mempunyai oMObjectClass yang betul. LinkID, jika ada, mestilah unik. Selain itu, pautan belakang mesti mempunyai pautan hadapan yang sepadan.

Bagaimana jika terdapat ralat?

Sebaik sahaja skema telah dikembangkan dan objek baharu (kelas dan atribut) telah ditambahkan padanya, ia tidak boleh dipadamkan. Walau bagaimanapun, kelas dan atribut boleh dilumpuhkan dengan menetapkan atribut isDefunct objek skema kepada TRUE. Anda tidak boleh menyahaktifkan objek skema yang merupakan sebahagian daripada skema lalai yang disertakan dengan Active Directory (objek Kategori 1). Hanya objek yang ditambahkan pada skema lalai boleh dinyahaktifkan, i.e. Objek Kategori 2, dan hanya selepas menyemak bahawa kelas itu tidak digunakan dalam senarai subClassOf, auxiliaryClass atau possSuperiors bagi mana-mana kelas berkesan sedia ada.

Apabila anda cuba melumpuhkan sebarang atribut, Active Directory menyemak untuk melihat sama ada ia digunakan dalam senarai mustContain dan mayContain bagi mana-mana kelas sah sedia ada. Objek yang dilumpuhkan boleh didayakan semula dengan menetapkan atribut isDefunct nilai PALSU. Jika Direktori Aktif berjalan pada tahap Windows Server 2003, anda boleh menggunakan semula nilai ldapDisplayName, schemaIdGuid, OID dan mapiID bagi objek yang dilumpuhkan.

Kesimpulan.

Apabila anda menambah atau menukar definisi kelas atau atribut dalam skema, anda juga menambah atau menukar objek classSchema atau attributeSchema yang sepadan. Proses ini serupa dengan menambah atau menukar sebarang objek dalam Active Directory, kecuali itu cek tambahan bahawa perubahan itu tidak menyebabkan ketidakkonsistenan dan tidak boleh menyebabkan masalah dalam litar pada masa hadapan.

Walaupun menukar skema Active Directory bukanlah proses yang rumit, adalah penting untuk memahami struktur skema dan proses untuk melaksanakan perubahan ini. Semua perubahan pada skema Active Directory mesti dirancang dengan teliti dan dilaksanakan dengan sangat berhati-hati. Adalah penting untuk menentukan keperluan perniagaan dan spesifikasi teknikal untuk objek baharu dan menjalankan ujian menyeluruh. Oleh kerana perubahan boleh memberi kesan yang ketara, adalah disyorkan untuk melanjutkan skema Active Directory hanya apabila benar-benar perlu.

Rajah termasuk penerangan rasmi kandungan dan struktur pangkalan data Active Directory. Khususnya, ia menunjukkan semua sifat objek dan kelasnya. Untuk setiap kelas objek, semua sifat yang mungkin ditakrifkan, Pilihan tambahan, serta kelas objek dan boleh menjadi nenek moyang kelas semasa.

Memasang Active Directory, skema standard dicipta pada pengawal domain pertama yang mengandungi penerangan tentang objek dan sifat objek yang paling biasa digunakan. Di samping itu, rajah menyediakan penerangan tentang objek dalaman dan sifat Direktori Aktif.

Skema ini boleh diperluaskan, jadi pentadbir sistem boleh mencipta jenis objek baharu dan sifatnya serta menambah sifat baharu untuk objek yang sudah wujud. Skema dilaksanakan dan disimpan dengan Active Directory dalam katalog global. Ia dikemas kini secara automatik, supaya aplikasi yang dicipta khas boleh secara bebas menambah sifat dan kelas baharu padanya.
Memperluaskan skim standard bukanlah mudah. Menukar skema secara salah boleh mengganggu kedua-dua pelayan dan keseluruhan perkhidmatan direktori. Untuk menyelesaikan masalah ini, anda memerlukan pengalaman dan pengetahuan yang diperlukan. Jadi pertama sekali anda perlu mengetahui peraturan penamaan.

Peraturan penamaan

Setiap objek Active Directory mempunyai nama tertentu. Untuk mengenal pasti objek dalam Active Directory, pelbagai skema penamaan digunakan, iaitu:

Nama kompaun (DN);
-nama kompaun relatif (RDN);
-pengecam unik global (GUID);
-Nama Utama Pengguna (UPN).

Setiap objek Active Directory mempunyai nama kompaun. Nama ialah pengecam objek dan mengandungi data yang mencukupi untuk mencari objek dalam direktori. Nama yang layak termasuk nama domain yang mengandungi objek dan laluan penuh kepadanya. Sebagai contoh, nama pengguna Andrew Kushnir dalam domain server.com mungkin kelihatan seperti ini:
DC=COM/DC=SERVER/CN=Pengguna/CK=Andrew Kushnir

Jika nama penuh yang layak bagi sesuatu objek tidak diketahui atau ditukar, anda boleh mencari objek itu mengikut sifatnya, salah satunya ialah nama layak relatif (sebahagian daripada nama yang layak). Dalam contoh sebelumnya, nama relatif yang layak untuk objek Andrew Kushnir ialah CK=Andrew Kushnir, dan untuk objek induk ialah CN=Usere.

Kecuali untuk nama yang layak, setiap objek Direktori Aktif mempunyai pengecam unik global (GUID), iaitu nombor 128-bit. ID tidak berubah walaupun selepas objek dialihkan atau dinamakan semula. Pengecam unik di peringkat global adalah unik merentas semua domain, termasuk apabila objek bergerak dari satu domain ke domain lain.
Cara paling mudah untuk diingat ialah Nama Utama Pengguna (UPN). Nama utama terdiri daripada nama ringkas pengguna ditambah dengan nama DNS domain di mana objek itu berada. Format nama pengguna utama adalah seperti berikut:

Nama pengguna, aksara akhiran domain DNS

Sebagai contoh, nama pengguna utama ialah Andrew Kushnir dalam domain pelayan. kacang soya boleh kelihatan seperti [e-mel dilindungi]. Nama utama pengguna adalah bebas daripada nama belakang mereka, jadi objek pengguna boleh dialihkan atau dinamakan semula tanpa perlu menukar nama pendaftaran pengguna dalam domain.

04/07/2011 Brian Desmond

Dari segi sejarah, pentadbir Active Directory (AD) dan pengurus IT biasanya berhati-hati untuk melanjutkan skema AD. Kebanyakan ketakutan datang dari dokumentasi Microsoft. Windows kali 2000, di mana sambungan skema diwakili sebagai operasi yang kompleks memerlukan kewaspadaan yang melampau. Walau bagaimanapun, dengan perancangan yang munasabah, memperluaskan skim ini benar-benar bebas risiko

Skema AD mentakrifkan struktur data yang disimpan dalam direktori. AD menyokong banyak jenis objek (seperti pengguna) dan atribut (seperti nama pertama dan nama keluarga) secara asli. Jika skema AD asas tidak sesuai dengan data yang anda ingin simpan dalam direktori, anda boleh menambahnya dengan objek dan atribut tersuai.

Lazimnya, skema AD dilanjutkan atas beberapa sebab, yang paling biasa dalam kebanyakan organisasi ialah pelaksanaan aplikasi yang memerlukan skema itu dilanjutkan. Contoh yang baik ialah Microsoft Exchange. Kadangkala vendor perisian memerlukan skema dilanjutkan agar serasi dengan aplikasi mereka. Skim ini sering dilanjutkan untuk permohonan pembangunan sendiri atau untuk kemudahan menyimpan data syarikat dalam AD.

Pilihan storan

Apabila merancang untuk memperluaskan skim, terutamanya untuk aplikasi dalaman, pertama sekali, anda perlu mengetahui sama ada data itu sesuai untuk penyimpanan dalam AD. Sangat mudah untuk menyimpan dalam AD yang agak statik (jarang berubah) data yang digunakan di seluruh syarikat (direplikasi merentasi sempadan domain) dan tidak sulit (contohnya, tidak disyorkan untuk menyimpan tarikh lahir, nombor kad keselamatan sosial, dan lain-lain dalam AD).

Jika data tidak memenuhi kriteria ini, tetapi masih perlu diletakkan dalam direktori LDAP, pilihan kedua adalah optimum. Perkhidmatan Direktori Ringan AD (AD LDS, dahulunya ADAM) ialah versi kendiri AD yang boleh dijalankan sebagai perkhidmatan pada pelayan ahli domain (atau pengawal domain - DC) dan, seperti AD, mengendalikan permintaan yang ditujukan kepada LDAP. Keperluan untuk mengehos pengawal domain AD untuk pengesahan dan sokongan aplikasi bukanlah satu had yang menjengkelkan, sebaliknya satu peluang untuk mengawal ketat siapa yang boleh membaca data dan arah replikasi data dengan meletakkan kejadian AD LDS di lokasi yang sesuai.

Primitif Penyimpanan Data

Dua istilah adalah kunci untuk memahami skema AD: kelas dan atribut. Semua elemen AD, termasuk skema, ditakrifkan dari segi kelas dan atribut. Kelas ialah jenis data yang perlu disimpan. Sebagai contoh, pengguna ialah kelas dalam AD, sama seperti komputer. Atribut ialah sifat bagi kelas. Kelas pengguna mempunyai atribut nama pertama (givenName) dan atribut nama akhir (sn). Kelas "komputer" mempunyai atribut "sistem pengendalian". Skema AD ditakrifkan dari segi dua kelas: classSchema untuk kelas dan attributeSchema untuk atribut.

Untuk menggunakan analogi dengan pangkalan data biasa, anda boleh membandingkan kelas dengan jadual dalam pangkalan data dan atribut kepada lajur dalam jadual. Tetapi perlu diingat bahawa struktur pangkalan data AD Directory Information Tree (DIT) sebenarnya agak berbeza.

Apabila menyelesaikan masalah menyimpan jenis data baharu dalam AD, anda perlu memikirkan tentang memetakan data kepada kelas dan atribut. Dalam kebanyakan kes tipikal hanya tambah atribut kepada kelas sedia ada(contohnya, pengguna atau kumpulan). Jika anda hanya mahu menyimpan sekeping data baharu tentang objek jenis sedia ada(seperti pengguna), mula-mula cuba cari atribut yang sesuai antara yang tersedia dalam AD. Skema ini mengandungi beribu-ribu atribut, kebanyakannya tidak digunakan. Oleh itu, sebagai contoh, untuk menyimpan maklumat tentang alamat mel pengguna, anda boleh menggunakan atribut physicalDeliveryOfficeName.

Menggunakan semula atribut untuk tujuan selain daripada penggunaan asalnya adalah pendekatan yang tidak baik. Bayangkan bahawa atribut telah ditetapkan semula, dan kemudian aplikasi dibeli yang menggunakan atribut itu untuk tujuan asalnya. Kita perlu melakukannya kerja berganda, kerana anda perlu memindahkan aplikasi warisan yang menggunakan atribut dan kemudian mengalihkan data. Secara umum, ia sentiasa lebih selamat untuk menambah atribut khas.

Tetapi kadangkala hanya pendekatan berasaskan kelas yang mungkin. Dalam dua kes, adalah lebih mudah untuk menambah kelas baharu pada skema daripada menggunakan atribut. Perkara pertama ialah keperluan untuk menjejaki jenis data baharu dalam katalog. Jika, sebagai contoh, anda ingin menjejak kereta syarikat dalam AD, anda boleh menentukan "kereta" kelas baharu dalam skema. Satu lagi kes ialah pemetaan satu-ke-banyak.

Contoh yang ideal ialah Microsoft Exchange Server 2010. Setiap peranti mudah alih yang disegerakkan dengan Exchange menggunakan ActiveSync disimpan sebagai contoh kelas objek msExchActiveSyncDevice khas dalam direktori. Ini peranti mudah alih disimpan sebagai objek kanak-kanak pengguna, pemilik peranti. Struktur ini memberikan perbandingan nombor besar atribut (untuk setiap peranti) kepada seorang pengguna.

Masukkan data untuk sambungan skema

Untuk menyediakan sambungan skema, anda perlu mengumpul beberapa input. Hanya selepas itu atribut atau kelas khas boleh dilaksanakan dalam persekitaran pembangunan. Banyak input mestilah unik di peringkat global, jadi penting untuk dilakukan persiapan yang perlu. Kecuaian dalam kes ini boleh membawa kepada akibat yang berbahaya.

Pertama sekali, pilih nama kelas atau atribut. Bahagian yang paling penting dalam nama ialah awalan. Nama atribut dan kelas mestilah unik dalam skema (dan dalam skema pembeli aplikasi pihak ketiga), jadi penambahan awalan akan memastikan tiada percanggahan antara ID atribut.

Biasanya nama syarikat yang disingkatkan digunakan sebagai awalan. Sebagai contoh, saya menggunakan bdcLLC sebagai awalan untuk atribut syarikat kami, Brian Desmond Consulting LLC. Untuk ABC Corporation, anda boleh menggunakan awalan abcCorp. Pastikan untuk memastikan bahawa awalan adalah unik, kerana tiada pendaftaran umum awalan. Jika syarikat anda mempunyai nama generik atau singkatan, fikirkan cara untuk memberikannya kelainan yang unik.

Setelah nama dipilih, anda mesti menetapkan Pengecam Objek (OID) kepada atribut atau kelas. OID - komponen tambahan, yang mestilah unik di peringkat global. AD (lebih umum, LDAP) bukan satu-satunya rangka kerja yang menggunakan OID sebagai pengecam, jadi Internet Assigned Numbers Authority (IANA) memperuntukkan pepohon OID unik berdasarkan permintaan syarikat. Permintaan untuk Nombor Perusahaan Persendirian, yang merupakan sebahagian daripada pokok OID yang unik kepada syarikat, diproses secara percuma dalam masa kira-kira 10 minit. Anda perlu mendapatkannya sebelum anda boleh mula membuat sambungan skema tersuai. Anda boleh meminta Nombor Perusahaan Persendirian di tapak web di www.iana.org/cgi-bin/assignments.pl.

Sebaik sahaja anda mempunyai Nombor Perusahaan Persendirian, anda boleh membuat dan mengatur bilangan OID unik yang hampir tidak terhad. Rajah menunjukkan struktur pokok OID untuk Nombor Perusahaan Persendirian syarikat kami. OID dibina dengan menambah cawangan pada pokok, jadi banyak syarikat bermula dengan mencipta cawangan Skema AD (1.3.6.1.4.1.35686.1 dalam rajah) dan kemudian membina cawangan kelas dan cawangan atribut di bawahnya. Di bawah setiap cawangan ini, OID diberikan kepada setiap atribut atau kelas baharu. Rajah menunjukkan OID (1.3.6.1.4.1.35686.1.2.1) yang diperuntukkan kepada atribut pengguna myCorpImportantAttr. Adalah sangat penting untuk menyediakan mekanisme penjejakan dalaman (seperti hamparan Excel atau senarai SharePoint), memastikan keunikan OID.

Melukis. Hierarki OID

Microsoft menyediakan skrip yang boleh menjana OID dengan nilai rawak, tetapi tidak ada jaminan bahawa ia akan unik. Cara yang paling baik- Minta cawangan unik dalam organisasi IANA dan gunakannya untuk sambungan skema. Proses ini sangat mudah sehingga anda tidak perlu menggunakan skrip penjanaan Microsoft OID.

Baki dua parameter input adalah khusus untuk atribut dan bergantung pada jenisnya. Atribut pautan yang sangat berguna digunakan untuk menyimpan pautan antara objek dalam AD. Ia disimpan sebagai penunjuk dalam pangkalan data AD supaya rujukan dikemas kini dengan segera berdasarkan lokasi objek di dalam hutan. Dua contoh umum atribut berkaitan ialah keahlian kumpulan (ahli dan ahliOf) dan hubungan pengurus/pekerja (pengurus/Laporan langsung). Konsep pautan hadapan dan pautan belakang digunakan pada atribut terpaut. Pautan ke hadapan ialah bahagian yang boleh diedit dalam hubungan antara atribut. Contohnya, dalam kes keahlian kumpulan, atribut ahli untuk kumpulan ialah pautan ke hadapan; Atribut memberOf untuk pengguna ialah pautan balik. Apabila mengedit keahlian kumpulan, perubahan dibuat pada atribut ahli (pautan hadapan) dan bukannya atribut memberOf objek ahli (pautan belakang).

Untuk menentukan atribut terpaut dalam AD, anda perlu menentukan dua atribut (pautan hadapan dan pautan belakang) dan lampirkan pengecam pautan (linkID) pada setiap atribut ini. ID pautan mestilah unik dalam hutan dan kerana ID pautan juga diperlukan oleh aplikasi lain yang memerlukan sambungan skema, ia mesti dibuat unik secara global. Pada masa lalu, Microsoft telah menerbitkan ID pautan untuk organisasi pihak ketiga, tetapi bermula dengan Windows Server 2003, ia muncul dalam AD sebaliknya indeks khas, yang membolehkan anda menjana pengecam pautan unik apabila menambah skema yang disambungkan oleh sepasang atribut.

AD menganggap bahawa ID pautan ialah nombor berjujukan. Khususnya, atribut pautan ke hadapan ialah nombor genap, dan nombor yang mengikutinya diberikan kepada atribut pautan balik. Contohnya, untuk ahli dan memberOf (keahlian kumpulan), ID pautan untuk ahli ialah 4 dan ID pautan untuk memberOf ialah 5. Jika skema lanjutan mesti serasi dengan hutan Windows 2000, anda mesti menentukan ID pautan statik mengikut cara diterangkan. Jika tidak, anda harus menggunakan proses penjanaan ID pautan automatik yang dilaksanakan dalam Windows Server 2003. Untuk menggunakan proses automatik Apabila membuat ID pautan, ikut garis panduan di bawah apabila menentukan sambungan skema. Semasa proses lanjutan skema, seperti yang diterangkan kemudian dalam artikel, langkah berikut diperlukan untuk membina atribut yang berkaitan (jika ia adalah sebahagian daripada sambungan).

Mula-mula sediakan pautan ke hadapan menggunakan ID pautan 1.2.840.113556.1.2.50. Sila ambil perhatian bahawa walaupun nilai yang diberi ID Pautan ialah OID, Microsoft hanya menyimpan nilai OID ini untuk mencipta ID Pautan Auto.

Kemudian muat semula cache skema. Selepas ini, buat atribut pautan balik menggunakan ID pautan nama atribut pautan hadapan dan muat semula cache skema.

Elemen atribut unik (dan juga pilihan) kedua ialah pengecam MAPI. Pengecam MAPI ialah ciri Exchange Server. Jika anda tidak mempunyai Exchange atau perlu menunjukkan atribut dalam Senarai Alamat Global (GAL), anda boleh melangkau bahagian ini. Pengecam MAPI digunakan untuk memaparkan atribut pada salah satu halaman sifat dalam buku alamat, seperti templat Butiran Pengguna Umum (lihat skrin). Contohnya, jika anda ingin menunjukkan klasifikasi pekerja (pekerja sepenuh masa atau pekerja kontrak) dalam GAL, tetapkan atribut yang sesuai sebagai pengecam MAPI. Selepas ID MAPI diberikan kepada atribut, anda boleh menggunakan Editor Templat Butiran Pertukaran untuk memasukkan data atribut ke dalam paparan dalam GAL dalam Office Outlook.

Pengecam MAPI mestilah unik, sama seperti OID dan pengecam rujukan. Pada masa lalu, tidak mungkin untuk menjana pengecam MAPI unik, jadi pengecam ini sentiasa titik lemah apabila mengembangkan skim. Nasib baik, Windows Server 2008 memperkenalkan cara untuk menjana ID MAPI unik secara automatik dalam direktori untuk mengurangkan risiko pendua ID MAPI. Untuk menggunakan ciri ini, tetapkan nilai 1.2.840.113556.1.2.49 kepada atribut ID MAPI apabila mencipta atribut. AD menjana ID MAPI unik untuk atribut selepas cache skema dimuatkan semula. Ambil perhatian bahawa walaupun nilai ini ialah OID, ia dikhaskan dalam AD untuk menunjukkan penjanaan automatik ID MAPI, serupa dengan penjanaan automatik ID pautan yang diterangkan di atas.

ringkaskan. Apabila merancang pengembangan litar, terdapat tiga parameter input kritikal untuk dipertimbangkan. Yang pertama ialah nama kelas atau atribut; yang kedua ialah awalan unik yang diberikan kepada semua kelas dan atribut; yang ketiga ialah OID. Untuk menjana OID, anda mesti meminta cawangan OID unik daripada organisasi IANA. Jika pasangan atribut terpaut ingin dibuat, pasangan pengecam pautan unik diperlukan. Jika anda ingin menunjukkan atribut dalam senarai Exchange GAL, anda mesti menggunakan pengecam MAPI yang unik. Untuk kedua-dua ID pautan dan ID MAPI, menggunakan proses penjanaan automatik dalam AD adalah lebih baik daripada menggunakan nilai statik.

Perancangan pelaksanaan

Apabila melaksanakan pelanjutan skema tersuai atau melanjutkan skema dengan atribut dan kelas pembekal, anda mesti mengambil langkah perancangan awal untuk melindungi integriti hutan AD anda. Langkah pertama ialah menyemak sambungan skema.

Apabila menyediakan sambungan skema tersuai, gunakan persekitaran pembangunan sementara. Perkhidmatan Direktori Ringan AD (AD LDS) tersedia sebagai muat turun percuma untuk stesen kerja Windows XP dan Windows 7. stesen kerja Anda boleh membuat contoh AD LDS, membina sambungan skema dalam persekitaran terpencil, dan kemudian mengeksport sambungan untuk diimport kemudian ke dalam hutan AD ujian. Skema AD LDS serasi dengan AD, jadi anda boleh menggunakan LDIFDE untuk eksport. Anda boleh mengimport sambungan skema yang lengkap ke dalam hutan AD ujian dan kemudian mengesahkan bahawa import itu berjaya dan aplikasi kritikal tidak terjejas. Untuk AD, anda harus merancang untuk menguji sama ada import berjaya dan sama ada replikasi adalah betul dalam persekitaran ujian.

Jika anda sedang menguji sambungan skema dalam hutan AD ujian, skemanya mesti sepadan dengan hutan pengeluaran. Dalam kes ini, ujian akan selesai. Anda boleh menggunakan alat Penganalisis Skema AD (sebahagian daripada AD LDS) untuk mengesan perbezaan skema antara dua hutan AD. Artikel "Eksport, Bandingkan dan Segerakkan Skema Direktori Aktif" pada TechNet (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) menerangkan cara mengimport dan mengeksport pelanjutan skema dan cara menggunakan alat Penganalisis Skema AD. Sila ambil perhatian bahawa mungkin terdapat beberapa perbezaan dalam perbandingan skema bergantung pada pek perkhidmatan dan versi Windows, terutamanya dalam pengindeksan atribut dan storan bendera pemadaman.

Untuk sambungan skema yang diperoleh daripada sumber lain (contohnya, bersama-sama dengan aplikasi komersial), adalah perlu untuk memastikan bahawa perubahan yang terlibat tidak melibatkan risiko. Bersama-sama dengan semua data input yang dibincangkan di atas, pastikan anda memberi perhatian kepada beberapa keadaan lain. Di bawah ialah parameter utama untuk diperiksa:

• dibekalkan dalam fail LDIF (berbilang fail LDIF);
• ketepatan awalan atribut;
• OID berdaftar;
• pengecam pautan berdaftar/dijana secara automatik;
• pengecam MAPI yang dijana secara automatik.

Fail LDIF ialah standard industri: semua sambungan skema mesti dihantar dalam format ini. Aplikasi dibenarkan menggunakan mekanisme import khas dan bukannya LDIFDE untuk sambungan skema. Tetapi jika sambungan dibekalkan dalam format yang berbeza, keraguan timbul tentang ketepatannya dan kebolehpercayaan pembekal. B menunjukkan sampel LDIF untuk mencipta atribut dalam skema AD untuk menyimpan maklumat tentang saiz kasut pengguna. Perlu diingatkan ciri berikut daripada sambungan skema sampel ini.

• Atribut ini diberi awalan berdasarkan nama syarikat penyedia (Brian Desmond Consulting, LLC: bdcllc).
• OID unik untuk atribut dikeluarkan menggunakan Nombor Perusahaan Persendirian yang didaftarkan oleh vendor.
• Atribut diindeks (cari Bendera: 1) dan tersedia dalam katalog global (isMemberOfPartialAttributeSet: TRUE).

Anda juga perlu mengesahkan bahawa atribut tersedia dalam katalog global Set Atribut Separa (PAS) dan bahawa indeks yang dibuat untuk atribut adalah betul jika atribut akan digunakan dalam penapis carian LDAP. Ia juga berguna untuk memastikan bahawa data yang disimpan dalam atribut boleh diterima oleh AD dalam konteks batasan dan garis panduan yang dibincangkan di atas.

Setelah sambungan skema telah diuji dan sedia untuk pengeluaran, masa yang sesuai untuk operasi ini harus dipilih. Biasanya, ia boleh disiapkan semasa waktu perniagaan. Akan terdapat peningkatan ketara dalam beban CPU apabila menjalankan Wizard Skema dan sedikit peningkatan dalam beban pada pengawal domain yang meniru perubahan. DALAM syarikat besar Anda mungkin mengalami jeda dalam replikasi antara pengawal domain untuk tempoh empat hingga enam jam jika anda menambah atribut pada set atribut PAS separa. Jeda akan disertakan dengan mesej ralat yang menunjukkan masalah dengan objek, tetapi biasanya boleh diabaikan dan akan hilang dengan sendirinya. Jika pengawal domain telah diputuskan sambungan daripada replikasi untuk tempoh masa yang panjang, anda harus mula menyelesaikan masalah.

Pendekatan yang sistematik

Tidak ada bahaya untuk melanjutkan skema AD jika anda mengambil langkah berjaga-jaga asas. Apabila merancang sambungan skema baharu dan apabila menyemak atribut dan kelas tersuai daripada pembekal pihak ketiga ambil perhatian maklumat mengenal pasti unik untuk setiap kelas atau atribut dan pastikan ia unik di peringkat global.

Selepas mengesahkan integriti, alihkan sambungan baharu ke persekitaran ujian yang mewakili dan sahkan bahawa persekitaran ujian dan aplikasi kritikal berfungsi dengan betul. Anda kemudiannya boleh mengimport sambungan skema ke dalam persekitaran pengeluaran anda.

Penyenaraian. Contoh rekod LDIF

Dn: CN=bdcllcShoeSize,CN=Schema,CN=Configuration,DC=X changetype: tambah objectClass: top objectClass: attributeSchema cn: sfsuLiveServiceEntitlements attributeID: 1.3.6.1.4.1.35686.100.1.1.2 100.1.1.1.2 LS atribut: 1.3.6.1.4.1.35686.100.1.1.5 showInAdvancedViewOnly: TRUE adminDisplayName: bdcllcShoeSize adminDescription: Menyimpan saiz kasut pengguna oMSyntax: 64 searchFlags: 1 lDAPDisplayName: bdcllcShoeSize name: bdcllcShoeSize schemaIDGUID:=EmPhWbAztGIDGUID:=EmPhWbAztGIDGUID=EmPhWbAztmber=JsPhWbAztBr. teSet : BENAR

Sukar untuk memandang rendah kepentingan "Skema Direktori Aktif" untuk rangkaian yang dibina berdasarkan persekitaran domain Direktori Aktif. Ini adalah asas teknologi AD dan sangat penting untuk memahami dengan betul prinsip operasinya. Kebanyakan pentadbir sistem tidak memberi perhatian yang sewajarnya kepada skim ini kerana fakta bahawa mereka jarang perlu berurusan dengannya. Dalam artikel ini saya akan memberitahu anda apakah versi skema, mengapa kita perlu mengetahuinya, dan yang paling penting, cara melihat versi semasa. Pertama sekali, beberapa perkataan tentang skema itu sendiri, setiap objek yang dicipta dalam Active Directory, sama ada pengguna atau komputer, mempunyai parameter tertentu yang dipanggil atribut. Contoh paling mudah ialah atribut "Nama Akhir" bagi objek pengguna. Skema menentukan objek yang boleh kita buat dalam Active Directory dan atribut yang akan mereka miliki. Active Directory membenarkan penggunaan dalam satu organisasi beberapa pengawal domain yang dibina berdasarkan asas versi berbeza OS Windows. Iaitu, berdasarkan Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Memandangkan versi ini dikeluarkan pada tahun yang berbeza, dan setiap versi baharu membawa lebih banyak fungsi daripada yang sebelumnya; setiap sistem pengendalian mempunyai pemahaman sendiri tentang skim tersebut. Oleh itu, apabila anda menambah pengawal berasaskan Windows Server 2008 baharu kepada organisasi di mana pengawal sedia ada dibina pada Windows Server 2003, anda perlu menjalankan " Adprep“. Oleh itu, anda telah mengemas kini rajah organisasi anda ke tahap yang ia berfungsi Pelayan Windows 2008.

Proses kemas kini skema telah dilakukan sebelum pemasangan pertama Pengawal Windows Pelayan 2008 dan prosedur sebenar untuk memasang pengawal baharu mungkin tidak dilakukan. Jika anda baru mula bekerja dengan organisasi Active Directory dan tidak tahu aktiviti yang dijalankan sebelum anda tiba, untuk memahami kesempurnaan struktur, anda perlu mengetahui pada tahap mana Skema organisasi semasa beroperasi.

Penaja Pos

Semua keluaran baharu, filem terbaik tahun lalu. Filem kegemaran terbaik di 5ic.ru

Versi litar yang mungkin:

13 - Pelayan Windows 2000
30 - Windows Server 2003 RTM, Windows 2003 With Pek Perkhidmatan 1, Windows 2003 Dengan Pek Perkhidmatan 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Walaupun semua pengawal dalam organisasi anda dijalankan pada Windows Server 2003 R2, dan versi litar menunjukkan "44", anda tidak seharusnya terkejut, ini menunjukkan bahawa litar telah dikemas kini ke tahap Windows Server 2008 RTM, tetapi pengawal sendiri atas sebab tertentu tidak ada sebab untuk memasangnya.

Terdapat beberapa cara untuk melihat versi skema. Kaedah paling mudah ialah menggunakan utiliti DSQuery. Untuk tujuan ini dalam baris arahan anda mesti memasukkan arahan dengan parameter berikut:

"dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion"

Sememangnya di bahagian " dc= nama domain dc= tempatan" anda mesti menggantikan nama domain anda sendiri. (Contoh: dc= microsoft, dc= com )

Hasil daripada memasukkan arahan adalah untuk mendapatkan atribut " ObjectVersion“, yang akan menjadi nombor versi litar:

nasi. 1 Mendapatkan versi skema melalui utiliti DSQuery.

Kaedah kedua lebih panjang dan melibatkan penggunaan “ ADSIEedit. msc“ . Untuk melihat versi skema, anda perlu menyambung ke partition skema Active Directory.

“CN=Skema,CN=Konfigurasi,DC=domain,DC=tempatan“

Dan cari nilai atribut " objectVersion“.

Rajah.2 Mendapatkan versi skema melalui “ ADSIEedit. msc“.

Mengetahui versi skim, anda sentiasa boleh mengatakan dengan yakin sama ada skim itu perlu dikemas kini dan, jika perlu, ke tahap apa.

Perlu diingatkan bahawa kemas kini skema boleh dilakukan oleh perisian yang disepadukan rapat dengan Active Directory. Paling contoh yang bersinar Pelayan Microsoft Exchange. Dan selalunya dalam organisasi yang merancang untuk melaksanakan Exchange Server, adalah perlu untuk mengetahui sama ada skema telah disediakan? Dan jika ya, apakah versi Exchange Server. Pada masa ini terdapat tiga versi Exchange yang berfungsi dengan Active Directory, tetapi terdapat enam pilihan untuk mengubah suai skema.

Anda boleh memahami sama ada Skema Pertukaran Direktori Aktif telah diubah oleh pelayan dengan menggunakan atribut “ julat Atas", yang mengambil yang berikut nilai:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 Dengan Pek Perkhidmatan 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 Dengan Pek Perkhidmatan 3
10628 - Exchange Server 2007
11116 - Exchange 2007 Dengan Pek Perkhidmatan 1

Seperti yang anda lihat, kemas kini skema juga berlaku apabila memasang set kemas kini SP3 untuk Exchange Server 2000/2003 dan SP1 untuk Exchange 2007.

Lihat nilai atribut " julatAtas" Anda boleh menggunakan utiliti DSQuery:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=configuration, dc=domainname, dc=local -scope base -attr rangeUpper"

nasi. 3 Mendapatkan atribut " julatAtas" melalui utiliti DSQuery.

Jika selepas memasukkan arahan ini respons dikembalikan menunjukkan ketiadaan atribut " julatAtas" kita boleh membuat kesimpulan bahawa skim itu tidak diubah.

Proses mengemas kini skema adalah saat yang sangat penting untuk setiap organisasi Active Directory, jadi tindakan yang tidak perlu dan tidak wajar harus dielakkan. Memahami intipati sifat-sifat " objectVersion"Dan « julatAtas" memberi kelebihan kepada pakar apabila bekerja dengan Active Directory dalam organisasi yang tidak dikenali, dan juga merupakan alat bantu semasa menyelesaikan masalah.