Uitbreiding van het Active Directory-schema. Active Directory-schemaversie

Een schema in AD DS is een set definities voor alle objecttypen en de bijbehorende kenmerken in een map. Het schema definieert de manier waarop AD DS gegevens over alle gebruikers, computers en andere objecten moet opslaan en configureren, zodat ze kunnen beschikken over gegevens over alle gebruikers, computers en andere objecten. standaard weergave in de hele AD DS-structuur. Het wordt beschermd door het gebruik van Discretionary Access Control Lists (DACL's) en is verantwoordelijk voor het leveren van mogelijke kenmerken voor elk object in AD DS. In wezen is het schema de basisdefinitie van de directory zelf en vormt het de basis voor de functionaliteit van de domeinomgeving. Uiterste voorzichtigheid is geboden bij het delegeren van schemabeheerrechten aan een selecte groep beheerders, omdat wijzigingen in het schema van invloed zijn op de gehele AD DS-omgeving.

Schema-objecten

De elementen die binnen de AD DS-structuur zijn opgeslagen, zoals gebruikers, printers, computers en sites, worden binnen het schema objecten genoemd. Elk dergelijk object heeft zijn eigen lijst met attributen die de kenmerken ervan definiëren en die kunnen worden gebruikt om ernaar te zoeken.

Schema-extensie

Een van de belangrijkste voordelen van het AD DS-ontwerp is de mogelijkheid om het schema rechtstreeks aan te passen en uit te breiden met aangepaste kenmerken. Normaal gesproken vindt uitbreiding van de attributenset plaats tijdens de systeeminstallatie. Microsoft Exchange Server, waarin het schema wordt uitgebreid zodat het bijna in omvang verdubbelt. Bij het uitvoeren van een update van Windows-server 2003 of Windows Server 2008 AD naar Windows Server 2008 R2 AD DS wordt het schema ook uitgebreid, waardoor er kenmerken aan worden toegevoegd die specifiek zijn voor Windows Server 2008 R2. Veel producten van derden bieden ook hun eigen manieren om het schema uit te breiden, waardoor ze hun eigen soorten informatie uit de catalogus kunnen weergeven.

Zoals u weet, duurt niets eeuwig; alles verandert, vooral in een branche als IT. Eenmaal geïmplementeerd, evolueert, breidt en verbetert de infrastructuur voortdurend, en er komt een moment waarop u een domeincontroller moet toevoegen die door meer dan één persoon wordt beheerd aan uw Active Directory. latere versie besturingssysteem.

Het lijkt erop: wat is het probleem? Maar zoals de praktijk laat zien, ontstaan problemen grotendeels vanwege het feit dat systeembeheerders hebben weinig beheersing van de theorie en zijn openlijk in de war deze kwestie. Daarom is het tijd om erachter te komen wat het is AD-schema en hoe het zich verhoudt tot onze zaak.

AD-circuit wordt een beschrijving van alle directoryobjecten en hun attributen genoemd. In wezen weerspiegelt het diagram basisstructuur directory en is van het allergrootste belang voor de goede werking ervan.

Nieuwe versies van het besturingssysteem bevatten nieuwe objecten en attributen, dus om goed te kunnen functioneren als domeincontrollers moeten we het schema bijwerken.

Het lijkt duidelijk, maar niet helemaal, dus laten we verder gaan met veelvoorkomende fouten en misvattingen.

Het bijwerken van het schema is noodzakelijk om pc's met nieuwere versies van Windows in het domein op te nemen. Dit is niet waar, zelfs niet het meest nieuwste versies Windows kan behoorlijk succesvol draaien in een domein Windows-niveau 2000 zonder schema-update. Hoewel, als u het schema bijwerkt, er niets ergs zal gebeuren.

Als u een controller met een nieuwer besturingssysteem in een domein wilt opnemen, moet u het domein (forest) upgraden. Dit is ook niet waar, maar in tegenstelling tot het vorige geval maakt deze operatie het onmogelijk om domeincontrollers te gebruiken met een besturingssysteem dat lager is dan de bedrijfsmodus. Daarom moet u in geval van een fout uw AD-structuur herstellen vanaf een back-up.

We zullen ook uw aandacht vestigen op de werkingsmodus van het bos en domein. Domeinen die in het forest zijn opgenomen, kunnen dit hebben verschillende modi werken, bijvoorbeeld waarin een van de domeinen kan werken Windows-modus 2008 en de rest in de Windows 2003-modus. Het forest-besturingsschema kan niet hoger zijn dan het besturingsschema van het oudste domein. In ons voorbeeld kan de forest-bedrijfsmodus niet hoger zijn dan Windows 2003.

Tegelijkertijd verhindert de lagere exploitatiemodus van het bos op geen enkele manier het gebruik van meer hoge modus Als u in het domein werkt, hoeft u alleen maar het schema bij te werken.

Nadat we ons vertrouwd hebben gemaakt met de theorie, gaan we verder praktisch voorbeeld. Laten we zeggen dat we een domein op Windows 2000-niveau hebben (gemengde modus), het meest laag niveau AD - waar een controller onder zit Windows-besturing 2003, en ons doel is om een nieuwe controller te maken ter vervanging van de defecte.

De nieuwe server draait op Windows 2008 R2. Houd er rekening mee dat we geen problemen ondervonden bij het inschakelen van deze server naar een bestaand domein.

In ons geval staan alle rollen op dezelfde controller, dus kopiëren we de map \ondersteuning\adprep op harde schijf(in ons geval naar de root van station C:) en ga verder met het bijwerken van het forest-schema. Om de bewerking succesvol te voltooien, moet uw account in de volgende groepen zijn opgenomen:

Schemabeheerders
Enterprise-beheerders
Beheerders van het domein waarin de schema-eigenaar zich bevindt

Voer de opdracht uit om het forestschema bij te werken:

C:\adprep\adprep /forestprep

Lees de standaardwaarschuwing en ga verder door te klikken C, Dan Binnenkomen.

Het schema-updateproces begint. Zoals u kunt zien, verandert de versie van 30 (Windows 2003) in 47 (Windows 2008 R2).

Nadat u het forestschema hebt bijgewerkt, moet u het domeinschema bijwerken. Voordat u dit doet, moet u ervoor zorgen dat het domein ten minste in de Windows 2000-modus (native modus) draait. Zoals we ons herinneren, werkt ons domein in gemengde modus, dus we moeten de domeinmodus wijzigen in primair of upgraden naar Windows 2003. Omdat we in dit domein geen controllers hebben met Windows 2000, zou het het meest redelijk zijn om het domein te upgraden modus.

Om het domeinschema succesvol bij te werken, moet deze bewerking worden uitgevoerd op Eigenaar van de infrastructuur en rechten hebben Domeinbeheerder. Wij voeren het commando uit:

C:\adprep\adprep /domeinprep

En lees aandachtig de weergegeven informatie. Wanneer u een domeinschema upgradet vanuit Windows 2000 of Windows 2003, moet u de machtigingen wijzigen bestandssysteem Voor groepsbeleid. Deze bewerking wordt eenmalig en in de toekomst uitgevoerd, bijvoorbeeld door het schema bij te werken van het niveau van 2008 naar 2008 R2. Om GPO-machtigingen bij te werken, voert u de opdracht in:

C:\adprep\adprep /domainprep /gpprep

AD-versies sinds Windows 2008 hebben een nieuw type domeincontroller geïntroduceerd: een alleen-lezen domeincontroller (RODC). Als u van plan bent een dergelijke controller te implementeren, moet u een diagram voorbereiden. Over het algemeen raden we u aan deze handeling uit te voeren, ongeacht of u van plan bent RODC in de nabije toekomst te installeren of niet.

Deze bewerking kan op elke domeincontroller worden uitgevoerd, maar u moet wel lid zijn van de Enterprise-beheerders En Meester in het benoemen En Meester van de infrastructuur moet beschikbaar zijn.

C:\adprep\adprep /rodcprep

Zoals u kunt zien, veroorzaakt het bijwerken van het domeinschema, mits goed gepland, geen problemen. Houd er echter rekening mee dat dit een onomkeerbare handeling is en dat u de benodigde back-upkopieën bij de hand hebt.

Het is moeilijk om het belang te onderschatten van " Actieve schema's Directory" voor netwerken die zijn gebouwd op de Active Directory-domeinomgeving. Dit is de basis van AD-technologie en het is erg belangrijk om de principes van de werking ervan correct te begrijpen. De meeste systeembeheerders besteden niet de nodige aandacht aan het schema, omdat ze er zelden mee te maken krijgen. In dit artikel zal ik je vertellen wat een circuitversie is, waarom we deze moeten weten en, belangrijker nog, hoe je deze kunt bekijken huidige versie. Allereerst een paar woorden over het schema zelf; elk object dat in Active Directory wordt gemaakt, of het nu een gebruiker of een computer is, heeft bepaalde parameters die attributen worden genoemd. Het meest eenvoudig voorbeeld kan dienen als het attribuut “Achternaam” van het gebruikersobject. Het schema bepaalt welke objecten we in Active Directory kunnen maken en welke attributen deze zullen hebben. Active Directory maakt het gebruik binnen één organisatie van meerdere op basis daarvan gebouwde domeincontrollers mogelijk verschillende versies Windows-besturingssysteem. Namelijk - aan Windows-gebaseerd Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Omdat deze versies in verschillende jaren zijn uitgebracht en elke nieuwe versie meer functionaliteit heeft dan de vorige, heeft elk besturingssysteem zijn eigen interpretatie van het schema. Wanneer u daarom een nieuwe op Windows Server 2008 gebaseerde controller toevoegt aan een organisatie waar bestaande regelaars gebouwd op Windows Server 2003, moest je de “ Adprep“. U hebt dus het diagram van uw organisatie bijgewerkt naar het niveau waarop het werkt WindowsServer 2008.

Het schema-updateproces werd vóór de eerste installatie uitgevoerd Windows-controller Server 2008 en de daadwerkelijke procedure voor het installeren van een nieuwe controller zijn mogelijk niet uitgevoerd. Als u net begint te werken met een Active Directory-organisatie en niet weet welke activiteiten zijn uitgevoerd voordat u arriveerde, moet u, om de volledigheid van de structuur te begrijpen, weten op welk niveau het Schema van de huidige organisatie opereert.

Post-sponsor

Alle nieuwe releases, de beste films van de afgelopen jaren. Beste favoriete films op 5ic.ru

Mogelijke versies van het circuit:

13 - Windows 2000-server
30 - Windows Server 2003 RTM, Windows 2003 met Service Pack 1, Windows 2003 met Service Pack 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Zelfs als alle controllers in uw organisatie op Windows Server 2003 R2 draaien en de circuitversie “44” aangeeft, hoeft u niet verbaasd te zijn; dit geeft aan dat het circuit al is bijgewerkt naar het Windows Server 2008 RTM-niveau, maar dat de controller zelf om de een of andere reden was er geen reden om het te installeren.

Er zijn verschillende manieren om de schemaversie te bekijken. De eenvoudigste methode is het gebruik van het hulpprogramma DSQuery. Voor dit doel in opdrachtregel u moet de opdracht invoeren met de volgende parameters:

"dsquery * cn=schema,cn=configuratie,dc=domeinnaam,dc=local -scope base -attr objectVersion"

Uiteraard in het onderdeel “ gelijkstroom= domeinnaam gelijkstroom= lokaal" u moet uw eigen domeinnaam vervangen. (Voorbeeld: gelijkstroom= Microsoft, gelijkstroom= com )

Het resultaat van het invoeren van de opdracht is het verkrijgen van het attribuut “ Objectversie“, wat het versienummer van het circuit zal zijn:

Rijst. 1 De schemaversie verkrijgen via het hulpprogramma DSQuery.

De tweede methode is langer en omvat het gebruik van de “ ADSIBewerken. msc“ . Om de schemaversie te bekijken, moet u verbinding maken met de Active Directory-schemapartitie.

“CN=Schema,CN=Configuratie,DC=domein,DC=lokaal“

En zoek de waarde van het attribuut “ objectVersie“.

Afb.2 De schemaversie verkrijgen via de “ ADSIBewerken. msc“.

Als u de versie van het schema kent, kunt u altijd met vertrouwen zeggen of het schema moet worden bijgewerkt en, indien nodig, op welk niveau.

Opgemerkt moet worden dat er schema-updates kunnen worden gemaakt software nauw geïntegreerd met Active Directory. De helderste Microsoft-voorbeeld Exchange-server. En vaak ook in een organisatieplanning Implementatie van uitwisseling Server, moet u weten of het schema is opgesteld? En zo ja, welke versie van Exchange Server. Op huidige moment Er zijn drie versies van Exchange die werken met Active Directory, maar er zijn zes opties om het schema te wijzigen.

Begrijp of het Active Directory-schema is gewijzigd Exchange-server mogelijk per attribuut " bereikBoven", waarvoor het volgende nodig is waarden:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 met Servicepack 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 met Servicepack 3
10628 - Exchange Server 2007
11116 - Exchange 2007 met Servicepack 1

Zoals u kunt zien, vindt de schema-update ook plaats bij het installeren van de SP3-updateset voor Exchange Server 2000/2003 en SP1 voor Exchange 2007.

Kenmerkwaarde bekijken " bereikBoven" U kunt het hulpprogramma DSQuery gebruiken:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=configuratie, dc=domeinnaam, dc=local -scope base -attr rangeUpper"

Rijst. 3 Het attribuut verkrijgen " bereikBoven" via het DSQuery-hulpprogramma.

Als na het invoeren van deze opdracht een antwoord wordt geretourneerd dat de afwezigheid van het attribuut " bereikBoven" we kunnen concluderen dat de regeling niet is gewijzigd.

Het schema-updateproces is erg belangrijk punt voor elk Actieve organisaties Directory, daarom moet u onnodige, ongerechtvaardigde acties vermijden. De essentie van de attributen begrijpen “ objectVersie" En « bereikBoven" geeft een specialist een voorsprong bij het werken met Active Directory in een onbekende organisatie, en is tevens een hulpmiddel bij het oplossen van problemen.

Sinds de release van Active Directory in onderdeel van Windows In 2000 voorzag Microsoft gebruikers van een definitie van het basisschema voor de implementatie van Active Directory.

De release van Active Directory® betekende ook een verandering in de manier waarop veel applicaties op Windows® werden geschreven en geïmplementeerd. Voorheen werden applicaties zoals Microsoft® Exchange 5.5 gebouwd met hun eigen directorystructuur. Sinds de introductie van Active Directory zijn veel applicaties (van Microsoft en andere bedrijven) begonnen voordeel te halen uit de onderliggende structuur in plaats van hun eigen schema helemaal opnieuw te creëren.

In eerste instantie werd gebruik gemaakt van de basisarchitectuur van Active Directory, die vervolgens indien nodig werd uitgebreid. Microsoft Exchange 2000 gebruikte bijvoorbeeld Active Directory om berichtensystemen te implementeren en bepaalde daarmee de toekomst van de berichtenarchitectuur van Microsoft.

Tegenwoordig vertrouwen veel applicaties die zijn gebouwd om in een Active Directory-omgeving te draaien op het basisontwerp, en veel applicaties definiëren ook het noodzakelijke eigen veranderingen schema's. Hiervoor heb je uiteraard een uitbreidbare schakeling nodig, die in dit artikel wordt besproken. Omdat veel applicaties afhankelijk zijn van onderliggende definities in Active Directory, is voortdurende stabiliteit van het onderliggende schema bovendien van cruciaal belang. Omdat veel applicaties moeten samenwerken in dezelfde Active Directory, mogen wijzigingen in één applicatie geen gevolgen hebben voor andere applicaties.

Wat is een schema?

Voor veel mensen is het Active Directory-schema een beetje een zwarte doos, en het idee om het schema zelf te veranderen kan ontmoedigend zijn. Natuurlijk is het uitbreiden van het Active Directory-schema niet iets dat u elke dag hoeft te doen, maar sommige applicaties of bedrijven hebben dit wel nodig. Daarom is het erg belangrijk om de aard van het schema en de samenstelling ervan te begrijpen, aangezien Active Directory voor veel organisaties een belangrijke troef is, waarvan het mislukken als gevolg van een onjuiste update ernstige gevolgen kan hebben.

Als strategie gebruiken veel organisaties Active Directory Lightweight Directory Services (ADLDS) in Windows Server® 2008 (of Active Directory Application Mode (ADAM) in Windows Server 2003) als alternatief voor testen of directe implementatie aangepaste definities schema in plaats van het Active Directory-schema uit te breiden.

Een schema is een basisstructuur die een indeling biedt voor een directoryservice. Het Active Directory-schema definieert de kenmerken en objectklassen die worden gebruikt in Active Directory Domain Services (ADDS). Het kernschema bevat definities voor veel bekende klassen (zoals gebruiker, computer en organisatieUnit) en attributen (zoals phoneNumber en objectSID). De objecten in de hoofdschemadefinitie worden categorie 1-objecten genoemd, en de objecten die worden toegevoegd worden categorie 2-objecten genoemd.

Het Active Directory-schema bevindt zich in een container die wordt gedefinieerd door het pad cn=Schema, cn=Configuration,dc=X, waarbij X de naamruimte van het Active Directory-forest is. Houd er rekening mee dat een Active Directory-forest slechts één schema bevat; Het aanbrengen van wijzigingen in een schemadefinitie in een forest is van invloed op alle domeinen in dat forest. Op rijst. 1 toont het aantal klassen en kenmerken dat is toegevoegd aan het Active Directory-schema in verschillende versies van Windows Server.

Aantal klassen en attributen

Het schema bijwerken voor verschillende versies Windows Server wordt geïmplementeerd met behulp van het Adprep-hulpprogramma. Bij het upgraden naar Windows Server 2003 R2 wordt de schemaversie bijgewerkt naar 31, en bij het upgraden naar Windows Server 2008 wordt deze bijgewerkt naar 44.

U kunt het versienummer vinden door de waarde van het objectVersion-attribuut te controleren op cn=Schema,cn=Configuration,dc=X in Active Directory met behulp van een tool zoals ADSIEdit. Houd er rekening mee dat sommige toepassingen, zoals Exchange Server, System Beheerserver(SMS) en andere Active Directory-afhankelijke applicaties kunnen het schema aanpassen aan de vereisten van de applicatie.

Basiscomponenten

Active Directory bestaat uit twee soorten objecten: classSchema (kortweg klasse) en attributeSchema (kortweg attribuut). Normaal gesproken wordt een Active Directory-schema-extensie overwogen als de organisatie gegevens moet opslaan in bepaalde kenmerken die niet beschikbaar zijn in het bestaande schema. Een attribuut in een Directory-schema wordt gemaakt door een attribuutSchema-object op te geven in de schemacontainer en vervolgens de vereiste eigenschappen van het nieuwe object te definiëren.

Zie go.microsoft.com/fwlink/?LinkId=110445 voor een lijst met objecteigenschappen en informatie over attributeSchema. Zoals u kunt zien, kan voor objecten het attribuutSchema worden gedefinieerd groot aantal eigenschappen, waarvan sommige vereist zijn.

Naast reguliere attributen bevat het schema ook speciale attributen, de zogenaamde gekoppelde attributen, die in paren worden geïmplementeerd door voorwaartse en achterwaartse links op te geven. Denk bijvoorbeeld aan groepslidmaatschap in Active Directory. Het lidmaatschapskenmerk van een groep (bijvoorbeeld een ContosoEmployees-groep met lid John Doe) is een voorwaartse link, en het corresponderende memberOf-kenmerk van een lidobject is een terugkoppeling (zodat wanneer het memberOf-kenmerk van lid John Doe wordt opgevraagd, de DN (DN) van de groep ContosoEmployees wordt berekend).

De voorwaartse link werkt op dezelfde manier als elk ander attribuut. De waarden kunnen enkelvoudig of meerwaardig zijn (zoals het lidmaatschapsattribuut, dat meerdere objecten kan bevatten als leden van een groep) en worden samen met het bovenliggende object in de map opgeslagen.

Backlinks worden daarentegen door het systeem onderhouden om de gegevensintegriteit te garanderen. Wanneer een attribuutwaarde van een backlink wordt opgevraagd, wordt het resultaat berekend op basis van alle corresponderende waarden van de forward link. Backlinks zijn altijd dubbelzinnig.

Alle objectklassen in ADDS worden gedefinieerd door een classSchema-object in de schemacontainer. Zie go.microsoft.com/fwlink/?LinkId=110445 voor een lijst met de kenmerken die het belangrijkst zijn voor het succesvol definiëren van een classSchema-object.

Er kunnen drie soorten klassen worden gedefinieerd: structureel, abstract en bruikbaar. Het klassetype wordt bepaald door de waarde van het objectClassCategory-attribuut. (De vierde categorie, bekend als 88, omvat klassen die zijn gedefinieerd vóór de X.500-standaarden uit 1993. Dit klassetype wordt aangegeven door een waarde van 0 in het objectClassCategory-attribuut. Dit type mag niet langer worden gedefinieerd.)

Het verkrijgen en gebruiken van identificatiegegevens

De identiteiten van alle classSchema- en attributeSchema-objecten in de directory worden gedefinieerd met behulp van verplichte object-ID's (OID's), governanceID voor classSchema-objecten en attributeID voor attributeSchema-objecten. Deze zijn uniek numerieke waarden, verstrekt door bepaalde centra om objecten te identificeren. De nummering is in overeenstemming met de definitie van het LDAP-protocol (RFC 2251). Sommige object-ID's in het Active Directory-schema worden uitgegeven door de International Organization for Standardization (ISO) en Microsoft. De object-ID in de directory moet uniek zijn.

De object-ID is een reeks cijfers, bijvoorbeeld 1.2.840.113556.1.y.z, zoals weergegeven in rijst. 2. De classSchema-gebruikersobject-ID is dus 1.2.840.113556.1.5.9.

Gebruikersobject-ID

Betekenis	Betekenis	Beschrijving
1	ISO	Definieert het wortelcentrum.
2	ANSI	Groepsaanduiding toegekend door ISO.
840	VS	Land-/regiocode toegewezen door de organisatie.
113556	Microsoft	Organisatieaanduiding toegewezen per land/regio.
1	Actieve map	In opdracht van de organisatie (in in dit geval Microsoft).
Y	Objecttype	Nummer vertegenwoordigt verschillende soorten object (categorie), bijvoorbeeld classSchema of attributeSchema. 5 betekent bijvoorbeeld de klasse van het object.
Z	Voorwerp	Een getal dat een specifiek object in een categorie vertegenwoordigt. Aan de gebruikersklasse kan bijvoorbeeld het nummer 9 worden toegewezen.

Wanneer een organisatie een schema wil uitbreiden, zorgt zij ervoor dat de object-ID uniek is door een eigen root-OID-nummer te verkrijgen, dat wordt gebruikt om unieke identificaties te maken voor de nieuwe attributen en objectklassen van de organisatie. De objectidentificatieroot kan rechtstreeks worden verkregen bij het nationale ISO-registratiekantoor (in de VS het American National Standards Institute (ANSI)).

De procedure en servicekosten voor het verkrijgen van de rootobject-ID zijn te vinden op ansi.org. Neem in andere regio's contact op met de betreffende ISO-lidorganisatie, die vermeld staat op iso.org/iso/about/iso_members.htm.

Voorheen ontvingen organisaties een object-ID van Microsoft door een bericht te sturen e-mail op het adres [e-mailadres beveiligd]. Dit resulteert nu echter in een automatisch antwoord waarin u wordt gevraagd het VBScript van go.microsoft.com/fwlink/?LinkId=110453 te downloaden en uit te voeren.

Aan object-ID's uitgegeven door Microsoft worden numerieke identificatieruimtenummers toegewezen Microsoft-objecten: 1.2.840.113556.1.8000.x, waarbij x – uniek nummer, toegewezen aan de organisatie. Een organisatie kan deze identificatiegegevens scheiden om objecten te identificeren. U kunt dus 1.2.840.113556.1.8000.x.1.y gebruiken voor nieuwe classSchema-objecten en 1.2.840.113556.1.8000.x.2.z voor attributeSchema-objecten (waarbij x het unieke nummer van de organisatie is, en y en z de nummers waaraan respectievelijk bepaalde classSchema- en attributeSchema-objecten zijn toegewezen). Het wordt ook aanbevolen dat u een uniek organisatievoorvoegsel gebruikt om de namen van deze objecten te onderscheiden.

Bijbehorende attributen definiëren

De attributeSyntax-waarde van de teruglink moet 2.5.5.1 zijn, wat de Object-syntaxis (DS-DN) is. Meestal worden backlink-attributen toegevoegd aan de mayContain-waarde van de klasse met de grootste abstractie. Dit zorgt ervoor dat het backlink-attribuut kan worden gelezen van objecten van elke klasse, aangezien dergelijke attributen niet in het object worden opgeslagen, maar worden berekend op basis van de forward link-waarden.

Windows Server 2003 heeft een functie geïntroduceerd die organisaties kunnen gebruiken om twee objecten in een schema te koppelen: automatische creatie linkID's. Deze functie zorgt ervoor dat er automatisch een linkID wordt gegenereerd voor een nieuw gekoppeld attribuut als de linkID van het attribuut is ingesteld op 1.2.840.113556.1.2.50. De corresponderende teruglink wordt gemaakt door de linkID in te stellen op de attributeId of ldapDisplayName van de voorwaartse link. De schemacache moet opnieuw worden geladen nadat een voorwaartse link is gemaakt en voordat een achterwaartse link wordt gemaakt. Anders wordt het kenmerk attributeId of ldapDisplayName niet gevonden bij het maken van een link terug. De schemacache wordt op verzoek enkele minuten na een schemawijziging of wanneer de domeincontroller opnieuw wordt opgestart, opnieuw geladen.

Als u Windows 2000 Active Directory gebruikt, moet u linkID's bij Microsoft opvragen door een e-mail te sturen naar [e-mailadres beveiligd]. Het automatische antwoord bevat de volgende regel: "E-mails verzonden naar [e-mailadres beveiligd] worden alleen verwerkt als ze verband houden met linkID-registraties voor oudere omgevingen." (E-mails verzonden naar [e-mailadres beveiligd], worden alleen verwerkt als deze betrekking hebben op de registratie van linkID’s voor oudere omgevingen.) Om dit te doen, moet u de volgende informatie in uw e-mail opnemen: bedrijfsnaam, naam contactpersoon, e-mailadres, telefoonnummer, geregistreerd voorvoegsel (indien nodig), geregistreerd object-ID (indien nodig).

U kunt beginnen met het uitbreiden van het schema

Stel dat u besluit uw Active Directory-schema uit te breiden. De oplossing kan het stopzetten van het gebruik inhouden alternatieve map geïmplementeerd met behulp van ADLDS (of ADAM in Windows Server 2003) nadat is bevestigd dat het niet aan de vereisten voldoet. De volgende stap is het definiëren van de nieuwe attributeSchema-objecten die aan het schema moeten worden toegevoegd; dit definieert alle noodzakelijke waarden (zoals cn, ldapDisplayName, etc.) die deze nieuwe objecten aangeven. Wanneer u attribuutwaarden voor een object definieert, verkrijgt u ook de object-ID van Microsoft of een andere bron. Bovenstaande activiteiten zijn gedocumenteerd als zakelijke vereisten en technische specificaties. Bovendien is er een experimentele laboratoriumomgeving geïmplementeerd die de werking van Active Directory simuleert en klaar is om te testen.

Veel organisaties richten speciale commissies op om dergelijke veranderingen goed te keuren of af te wijzen en een proces voor de implementatie ervan op te zetten. Deze checks and balances zijn van cruciaal belang omdat Active Directory in veel organisaties wordt gebruikt als een vertrouwde informatiebron, en het belang van het behouden ervan nadat wijzigingen zijn aangebracht kan niet genoeg worden benadrukt.

Zodra een organisatie besluit door te gaan met een project, moeten plannen voor het testen en implementeren van het project worden gedefinieerd. U kunt uw schema uitbreiden door nieuwe objecten toe te voegen met behulp van de Active Directory Console Schema-module Microsoft-beheer(MMC) of programmatische of semi-programmatische methoden gebruiken (bijvoorbeeld LDIFDE gebruiken om LDIF-bestanden te importeren; CSVDE gebruiken om te importeren CSV-bestanden; of het gebruik van scripts voor ADSI-interfaces).

Ongeacht de gekozen methode moet deze functie worden uitgevoerd op een server die de rol FSMO-schemamaster (Flexible Single Master Operations) in het Active Directory-forest heeft of daarmee is verbonden. Daarnaast, rekening De gebruiker die wordt gebruikt om het schema bij te werken, heeft voldoende beheerdersrechten nodig om de update uit te voeren en moet daarom worden opgenomen in de groep Schemabeheerders. Ten slotte moet u schema-updates voor het forest inschakelen (standaard uitgeschakeld).

Tenzij de wijziging eenvoudig is, moet deze automatisch worden uitgevoerd om standaardisatie tussen de test- en implementatiefase te garanderen en om fouten te voorkomen die kunnen optreden bij handmatige stappen. Stel dat u besluit een wijziging door te voeren met behulp van de LDIFDE-tool. Als u updates wilt installeren bij het uitbreiden van het schema, moet u nieuwe attributen en klassen toevoegen, nieuwe attributen aan de klassen toevoegen en vervolgens de cache opnieuw laden. Hieronder vindt u enkele voorbeelden.

Attributen toevoegen

Laten we voor onze doeleinden aannemen dat er een organisatie met de naam Contoso moet worden toegevoegd Actieve dienst Directorykenmerk dat de schoenmaat van alle werknemers definieert. IN bos Actief Directory twee domeinen: contoso.com en medewerkers.contoso.com. Alle objecten die zijn gemaakt met behulp van de gebruikersklassedefinitie moeten ook dit nieuwe attribuut bevatten.

Het is belangrijk om te onthouden dat een schemawijziging van invloed is op beide domeinen, omdat ze zich in hetzelfde forest bevinden. Stel dat u object-id 1.2.840.113556.8000.9999 van Microsoft ontvangt, die wordt opgesplitst in 1.2.840.113556.8000.9999.1 voor classSchema en 1.2.840.113556.8000.9999.2 voor het attribuutSchema van Contoso. Nu moet u alle attribuutwaarden voor dit nieuwe object definiëren, zoals weergegeven in rijst. 3.

Het kenmerk contosoEmpShoe definiëren

Attribuut	Betekenis	Opmerkingen
Cn	contosoEmpShoe
lDAPDisplayName	contosoEmpShoe
beheerderDisplayName	contosoEmpShoe
attribuutSyntaxis	2.5.5.12	Definieert een Unicode-tekenreeks.
oMSyntaxis	64	Specificeert een Unicode-tekenreeks.
objectKlasse	top, attribuutSchema
attribuutID	1.2.840.113556.8000.9999.2.1	Bepaald door de organisatie.
isSingleValued	WAAR	Er wordt slechts één schoenmaatwaarde opgeslagen.
zoekvlaggen	1	Uit analyse blijkt dat het nodig is dit kenmerk te indexeren. Opmerking. Een belastingsanalyse zal worden uitgevoerd in een laboratoriumomgeving.
isMemberOfPartialAttributeSet	WAAR	Dit attribuut moet beschikbaar zijn in de globale catalogus.

Hoewel het kenmerk contosoEmpShoe beschikbaar moet zijn voor alle objecten die zijn gemaakt als gebruikersklasseobjecten, wordt het niet aanbevolen om de standaarddefinitie van de gebruikersklasse te wijzigen. In plaats daarvan moet u een helperklasse contosoUser definiëren met het mayContain-attribuut ingesteld op contosoEmpShoe, zoals weergegeven in rijst. 4. Vervolgens moet u de kenmerken die zijn gedefinieerd voor de helperklasse contosoUser toevoegen aan de gebruikersklasse.

De klasse contosoUser definiëren

Nu de analyse is uitgevoerd en de waarden zijn bepaald, moet u een LDIF-bestand maken dat er ongeveer zo uitziet als de code in rijst. 5. Je kunt de code kopiëren naar rijst. 5 in Kladblok en sla het bestand op als contosoUser.ldif (opgenomen in de download op technetmagazine.com).

LDIF-bestand voor schema-extensie

#Kenmerkdefinitie voor contosoEmpShoe dn: CN=contosoEmpShoe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe attribuutID: 1.2.840.113556.1.8000.9999.2.1 attribuutSyntaxis: 2.5.5.1 2 isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntaxis: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changetype: wijzigen add: schemaUpdateNow schemaUpdateNow: 1 - # Classes dn: CN=contosoUser,CN=Schema,CN=Configuration , DC =X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governanceID: 1.2.840.113556.1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminDisplayName: contosoUser adminDescription: contosoUser objectClassCategory: 3 lDA PDisplayName: con tosoGebruikersnaam: contosoUser systemOnly: FALSE dn: changetype: wijzigen toevoegen: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=User,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: hulpklasse hulpklasse: contosoUser - dn: changetype: wijzigen toevoegen: schemaUpdateNow schemaUpdateNow: 1

Nadat u het LDIF-bestand hebt gemaakt, moet u uw implementatie grondig testen in een pilot-labomgeving, de end-to-end domein- en forest-replicatie verifiëren en schema-updates in het forest inschakelen. U moet nu inloggen met een account met schemabeheerderrechten. Mogelijk moet u uitgaande replicatie op de schemamaster (waar de wijzigingen worden aangebracht) uitschakelen en de volgende opdracht uitvoeren om het LDIF-bestand te importeren:

Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=schema,CN=Configuratie,DC=X" #schemaNamingContext

Nadat u wijzigingen hebt aangebracht, schakelt u uitgaande replicatie in op de schemamaster en zorgt u ervoor dat de replicatie voor alle domeincontrollers is voltooid.

Haal diep adem - je bent klaar! U hebt een nieuw kenmerk in het schema gedefinieerd dat wordt gekoppeld aan objecten die zijn gemaakt met behulp van de gebruikersklasse (dat wil zeggen gebruikersaccounts).

Als u de wijzigingen wilt testen, opent u Active Directory: gebruikers en computers, maakt u verbinding met het domein medewerkers.contoso.com, selecteert u de organisatie-eenheid van de gebruiker en maakt u een nieuw gebruikersaccount met de naam ContosoTestUser. Open nu de adsiedit.msc-console en maak verbinding met de domeinsectie dc=employees,dc=contoso,dc=com, vouw de onderverdeling Gebruikers uit, klik met de rechtermuisknop Klik op ContosoTestUser en open vervolgens de pagina Eigenschappen. Zoek het kenmerk contosoEmpShoe. U kunt dit attribuut wijzigen om een waarde in te voeren. U kunt ook het hulpprogramma Ldp.exe gebruiken om kenmerken te controleren en te wijzigen.

Laten we nu eens kijken naar een voorbeeld van het definiëren en met elkaar in verband brengen van twee kenmerken en ons voorstellen dat het bedrijf Contoso erg belangrijk is voor de schoenmaat van zijn werknemers en dat het de jaarlijkse productiviteit moet volgen van specialisten die de schoenmaat van de werknemers van het bedrijf meten. Hoewel dit misschien belachelijk lijkt, gaan we er ook van uit dat Contoso niet alleen moet bijhouden wie verantwoordelijk is voor het meten van de schoenmaten van werknemers, maar ook van de werknemers van wie de maten zijn gemeten en het aantal daarvan, allemaal door een enkel attribuut op te vragen. (Hoewel je misschien denkt dat databasetabellen geschikter zouden zijn voor het opslaan van dit soort gegevens, is het doel hier eenvoudigweg uit te leggen hoe voorwaartse en achterwaartse links werken.)

Natuurlijk voer je eerst een analyse uit die vergelijkbaar is met degene die ik in het vorige voorbeeld noemde. Laten we nu echter doorgaan en de LDIF-bestanden (linkids1.ldif en linkids2.ldif) maken zoals weergegeven in rijst. 6. Vervolgens voeren we de volgende opdracht uit om de LDIF-bestanden te importeren:

LDIF-bestanden met voorwaartse en achterwaartse links

#linkids1.ldif #Attribuutdefinitie voor Forward Link Attribute dn: CN=ContosoShoeSizeTaker,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker attributeID: 1.2.840.113556.1.8000.9999.2. 2 LinkID: 1.2.840.113556.1.2.50 attribuutSyntaxis: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminDescription: ContosoShoeSizeTaker oMSyntaxis: 64 searchFlags: 1 lDAPDisplayName: ContosoShoeSizeTaker systemOnly: FALSE d n: changetype: wijzigen toevoegen: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Attribuutdefinitie voor Backward Link Attribute dn: CN=ContosoShoeSizesTakenByMe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizesTakenByMe attributeID: 1.2.840.113556.1.8000.99 99.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 attribuutSyntaxis: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescription: ContosoShoeSizesTakenByMe oMSyntaxis: 64 searchFlags: 1 lDAPDisplayN ame: Con tosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: wijzigen toevoegen: schemaUpdateNow schemaUpdateNow: 1 - # Voeg het kenmerk ContosoShoeSizeTaker en ContosoSizesTakenByMe toe als MayContain in #contosoUser klasse dn: CN= contosoUser,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizeTaker mayContain: ContosoShoeSizesTakenByMe dn: changetype: modificeren add: schemaUpdate Nu schemaUpdateNow: 1 - #Add Backward Link Attribute as MayContain in Top dn: CN=Top,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe dn: changetype: wijzig add: schemaUpdateNow schemaUpdateNow: 1 ldifde – i –f \linkedids.ldif –b -k –j. –c "CN=schema,CN=Configuratie,DC=X" #schemaNamingContext

Wanneer u nu een gebruikersobject maakt, heeft dit ook de kenmerken ContosoShoeSizeTaker en ContosoShoeSizesTakenByMe. Wanneer u bijvoorbeeld een gebruikersobject voor John maakt, wordt het kenmerk ContosoShoeSizeTaker gevuld met de DN-naam van de persoon die de schoenmaat heeft gemeten, Frank. Als u nu naar de eigenschappen van het gebruikersobject van Frank gaat en het kenmerk ContosoShoeSizesTakenByMe opvraagt, bevat het resultaat de DN-naam van Frank en de anderen wiens schoenmaat Frank heeft gemeten. Om onze zaak compleet te maken, kan het management Frank belonen op basis van het aantal onderscheidende namen dat voorkomt in het kenmerk ContosoShoeSizesTakenByMe van zijn gebruikersaccount.

Systeem van checks and balances

Een kritieke update, zoals een schemawijziging, kan niet worden uitgevoerd zonder de naleving van de architectuurvereisten te verifiëren. Deze beveiligings- en consistentiecontroles worden door Active Directory gebruikt om ervoor te zorgen dat wijzigingen geen inconsistenties of andere problemen veroorzaken bij het uitbreiden of wijzigen van het Active Directory-schema.

Allereerst moet de governanceID-waarde voor elke klasse uniek zijn in het schema. Bij het definiëren van een schemaClass-object moeten alle attributen die zijn gedefinieerd in de lijsten systemMayContain, mayContain, systemMustContain en mustContain al bestaan. Tegelijkertijd moeten alle klassen die zijn gedefinieerd in de lijsten subClassOf, systemAuxiliaryClass, hulpClass, systemPossSuperiors en possSuperiors ook al bestaan.

Bovendien moet het objectClassCategory-attribuut van alle klassen in de lijsten systemAuxiliaryClass en hulpClass klasse 88 of een hulpklasse zijn. Op dezelfde manier moet het objectClassCategory-attribuut van alle klassen in de lijsten systemPossSuperiors en possSuperiors worden gedefinieerd als klasse 88 of een structurele klasse.

Bij het definiëren van verschillende klassen kunnen abstracte klassen alleen worden afgeleid van andere abstracte klassen, kunnen hulpklassen niet worden afgeleid van structurele klassen, en kunnen structurele klassen niet worden afgeleid van hulpklassen. Bovendien moet het attribuut dat is opgegeven in rDNAttID ondubbelzinnig zijn en een Unicode-tekenreekssyntaxis hebben.

Dit zijn enkele regels met betrekking tot classSchema-objecten. Hoe zit het met de regels voor attributeSchema-objecten? Net als de governanceID-waarde voor klassen moet de attributeID-waarde uniek zijn. Bovendien moet de mAPIID-waarde (indien aanwezig) uniek zijn. Als vervolgens rangeLower en rangeUpper aanwezig zijn, moet de waarde van rangeLower zijn minder dan waarde bereikBoven. De waarden attributeSyntax en oMSyntax moeten overeenkomen. Als de attribuutsyntaxis de objectsyntaxis is (oMSyntaxis =127), moet deze de juiste oMObjectClass hebben. De linkID, indien aanwezig, moet uniek zijn. Bovendien moet een teruglink een overeenkomstige voorwaartse link hebben.

Wat als er een fout is opgetreden?

Als het schema eenmaal is uitgebreid en er nieuwe objecten (klassen en attributen) aan zijn toegevoegd, kunnen deze niet meer worden verwijderd. Klassen en attributen kunnen echter worden gedeactiveerd door het kenmerk isDefunct van het schemaobject in te stellen WARE waarden. U kunt geen schemaobjecten deactiveren die deel uitmaken van het standaardschema dat bij Active Directory wordt geleverd (Categorie 1-objecten). Alleen objecten die aan het standaardschema zijn toegevoegd, kunnen worden gedeactiveerd, d.w.z. Categorie 2-objecten, en alleen nadat is gecontroleerd of de klasse niet wordt gebruikt in de lijsten subClassOf, hulpklasse of possSuperiors van een bestaande effectieve klasse.

Wanneer u een kenmerk probeert uit te schakelen, controleert Active Directory of het wordt gebruikt in de mustContain- en mayContain-lijsten van een bestaande geldige klasse. Uitgeschakelde objecten kunnen weer worden ingeschakeld door het kenmerk isDefunct in te stellen op FALSE. Als Active Directory op Windows Server 2003-niveau draait, kunt u de waarden ldapDisplayName, schemaIdGuid, OID en mapiID van uitgeschakelde objecten opnieuw gebruiken.

Conclusie.

Wanneer u klasse- of attribuutdefinities in een schema toevoegt of wijzigt, voegt of wijzigt u ook het bijbehorende classSchema- of attributeSchema-object. Dit proces is vergelijkbaar met het toevoegen of wijzigen van een object in Active Directory, behalve dat extra controles dat de wijzigingen geen inconsistentie veroorzaken en in de toekomst geen problemen in het circuit kunnen veroorzaken.

Hoewel het wijzigen van het Active Directory-schema geen ingewikkeld proces is, is het belangrijk om de schemastructuur en het proces voor het implementeren van deze wijzigingen te begrijpen. Alle wijzigingen aan het Active Directory-schema moeten zorgvuldig worden gepland en zeer zorgvuldig worden uitgevoerd. Het is belangrijk om zakelijke vereisten te definiëren en technische specificaties voor nieuwe objecten en voer uitgebreide tests uit. Omdat wijzigingen een aanzienlijke impact kunnen hebben, wordt aanbevolen om het Active Directory-schema alleen uit te breiden als dit absoluut noodzakelijk is.

Zoals u weet, duurt niets eeuwig; alles verandert, vooral in een branche als IT. Eenmaal geïmplementeerd, evolueert, breidt en verbetert de infrastructuur voortdurend, en er komt een moment waarop u een domeincontroller met een latere versie van het besturingssysteem aan uw Active Directory moet toevoegen.

Het lijkt erop: wat is het probleem? Maar zoals de praktijk laat zien, ontstaan er problemen, grotendeels als gevolg van het feit dat systeembeheerders weinig kennis hebben van de theorie en eerlijk gezegd in de war zijn over deze kwestie. Daarom is het tijd om erachter te komen wat het is AD-schema en hoe het zich verhoudt tot onze zaak.

AD-circuit wordt een beschrijving van alle directoryobjecten en hun attributen genoemd. In wezen weerspiegelt het schema de basisstructuur van de directory en is het van het allergrootste belang voor de goede werking ervan.

Nieuwe versies van het besturingssysteem bevatten nieuwe objecten en attributen, dus om goed te kunnen functioneren als domeincontrollers moeten we het schema bijwerken.

Het lijkt duidelijk, maar niet helemaal, dus laten we verder gaan met veelvoorkomende fouten en misvattingen.

Het bijwerken van het schema is noodzakelijk om pc's met nieuwere versies van Windows in het domein op te nemen. Dit is niet waar, zelfs niet de meest recente Windows-versies kan behoorlijk succesvol werken in een domein op Windows 2000-niveau zonder het schema bij te werken. Hoewel, als u het schema bijwerkt, er niets ergs zal gebeuren.

Als u een controller met een nieuwer besturingssysteem in een domein wilt opnemen, moet u het domein (forest) upgraden. Dit is ook niet waar, maar in tegenstelling tot het vorige geval maakt deze operatie het onmogelijk om domeincontrollers te gebruiken met een besturingssysteem dat lager is dan de bedrijfsmodus. Daarom moet u in geval van een fout uw AD-structuur herstellen vanaf een back-up.

We zullen ook uw aandacht vestigen op de werkingsmodus van het bos en domein. Domeinen die in een forest zijn opgenomen, kunnen verschillende werkingsmodi hebben. Eén van de domeinen kan bijvoorbeeld in de Windows 2008-modus werken en de rest in de Windows 2003-modus. Het forest-besturingsschema kan niet hoger zijn dan het besturingsschema van het oudste domein. In ons voorbeeld kan de forest-bedrijfsmodus niet hoger zijn dan Windows 2003.

Tegelijkertijd verhindert de lagere bedrijfsmodus van het forest op geen enkele manier het gebruik van een hogere bedrijfsmodus in het domein; het enige dat hiervoor nodig is, is het bijwerken van het schema.

Nadat we ons vertrouwd hebben gemaakt met de theorie, gaan we verder met een praktisch voorbeeld. Laten we zeggen dat we een domein op Windows 2000-niveau hebben (gemengde modus) - het laagste niveau van AD - waarin zich een controller bevindt waarop Windows 2003 draait, en ons doel is om een nieuwe controller te maken ter vervanging van de defecte.

De nieuwe server draait op Windows 2008 R2. Houd er rekening mee dat we geen problemen hebben ondervonden bij het integreren van deze server in een bestaand domein.

Wanneer we echter proberen een nieuwe domeincontroller toe te voegen, krijgen we een foutmelding:

Om met succes een controller aan te zetten die onder controle is van meer dan nieuwe versie OS moeten we het forest-schema en het domeinschema bijwerken. De uitzondering is Windows Server 2012, dat het schema automatisch bijwerkt wanneer een nieuwe domeincontroller wordt toegevoegd.

Om het schema bij te werken, gebruikt u het Adprep-hulpprogramma, dat zich in de map bevindt \ondersteuning\adprep bij installatie Windows-schijf Server. Vanaf Windows Server 2008 R2 is dit hulpprogramma standaard 64-bits; u moet de 32-bits versie gebruiken; u moet deze uitvoeren adprep32.exe.

Een update van het forestschema uitvoeren dit hulpprogramma moet worden gelanceerd De eigenaar van het schema en om het domeinschema bij te werken naar Eigenaar van de infrastructuur. Om erachter te komen welke controllers de FSMO-rollen hebben die we nodig hebben, gebruikt u de opdracht:

Netdom-query FSMO

In Windows 2008 en nieuwer wordt dit hulpprogramma standaard geïnstalleerd, en in Windows 2003 moet het worden geïnstalleerd vanaf de schijf vanuit de directory \ondersteuning\tools

De uitvoer van deze opdracht zal een lijst van allemaal zijn FSMO-rollen en controllers met deze rollen:

In ons geval staan alle rollen op dezelfde controller, dus kopiëren we de map \ondersteuning\adprep naar de harde schijf (in ons geval de root van schijf C:) en ga verder met het bijwerken van het forest-schema. Om de bewerking succesvol te voltooien, moet uw account in de volgende groepen zijn opgenomen:

Schemabeheerders
Enterprise-beheerders
Beheerders van het domein waarin de schema-eigenaar zich bevindt