הרחבת סכימה

במאמר הזה מוסבר איך להרחיב את הסכימה במופע של שירות מנוהל ל-Microsoft Active Directory.

לפני שמתחילים

לפני שמתחילים, צריך לבצע את הפעולות הבאות:

  1. יצירת דומיין של שירות מנוהל ל-Microsoft AD
  2. איך יוצרים מכונת Windows וירטואלית ומצטרפים לדומיין
  3. חשוב לקרוא את המאמר מידע על הרחבת סכימה ולהבין את ההיבטים האלה.
  4. מכינים את קובץ ה-LDIF עם השינויים בסכימה. מידע נוסף זמין במאמר בנושא הכנת קובץ LDIF.

  5. מוודאים שיש לכם אחד מתפקידי המשתמש הבאים בניהול זהויות והרשאות גישה (IAM):

    • Google Cloud אדמין של דומיין עם זהויות מנוהלות (roles/managedidentities.domainAdmin)
    • Google Cloud אדמין של זהויות מנוהלות (roles/managedidentities.admin)

    מידע נוסף זמין במאמר תפקידים ב-Cloud Managed Identities.

הרחבת הסכימה

כשמתחילים הרחבת סכימה, שירות מנוהל ל-Microsoft AD יוצר באופן אוטומטי גיבוי של הרחבת הסכימה לפני החלת השינויים בסכימה. אפשר להשתמש בגיבוי הזה כדי לשחזר את הדומיין אם נתקלים בבעיות אחרי הרחבת הסכימה. כדי לזהות את הגיבוי של הרחבת הסכימה, אפשר לראות את רשימת הגיבויים שנוצרו עבור הדומיין.

כדי להרחיב את הסכימה, מריצים את הפקודה הבאה ב-CLI של gcloud:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

מחליפים את מה שכתוב בשדות הבאים:

  • DOMAIN_NAME: השם של הדומיין שלכם ב-Managed Microsoft AD. לדוגמה, my-domain.example.com.
  • LDIF_FILE_PATH: הנתיב של קובץ ה-LDIF עם שינויי הסכימה. גודל הקובץ המקסימלי הוא 1MB.
  • SCHEMA_EXTENSION_DESCRIPTION: תיאור השינויים בסכימה.
  • DOMAIN_RESOURCE_PROJECT_ID: מזהה הפרויקט של פרויקט משאב הדומיין. לדוגמה, my-project.

‫שירות מנוהל ל-Microsoft AD יוזם הרחבת סכימה ומגיב עם מזהה פעולה שאפשר להשתמש בו כדי לעקוב אחרי השלמת הרחבת הסכימה.

כדי לבדוק את הסטטוס של הרחבת הסכימה, מריצים את הפקודה הבאה ב-CLI של gcloud:

gcloud active-directory operations describe OPERATION_ID

מחליפים את OPERATION_ID במזהה הפעולה של הרחבת הסכימה. לדוגמה, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2.

אימות של הרחבת הסכימה

אחרי שמרחיבים את הסכימה של מופע שירות מנוהל ל-Microsoft AD, חשוב לאמת את השינויים בסכימה לפני שמשלבים את האפליקציות עם Active Directory. אפשר לאמת את השינויים בסכימה באמצעות כלים וגישות שונים. בקטעים הבאים מוסבר איך לאמת את שינויי הסכימה באמצעות אחת מהגישות הבאות:

  1. תוסף סכימה של Active Directory
  2. Windows PowerShell

Active Directory Schema Snap-In

כדי לאמת את שינויי הסכימה באמצעות Active Directory Schema Snap-In:

  1. מתחברים למכונה הווירטואלית שמצורפת לדומיין כאדמין עם הרשאות מוגבלות.
  2. מתקינים את Active Directory Schema Snap-In.
  3. פותחים את Microsoft Management Console (MMC).
  4. מרחיבים את העץ Active Directory Schema של הספרייה.
  5. בודקים אם השינויים מופיעים בכיתות ובמאפיינים של הסכימה.

Windows PowerShell

כדי לאמת את שינויי הסכימה באמצעות Windows PowerShell, משתמשים ב-cmdlet‏ Get-ADObject. מריצים את הפקודה הבאה ב-Windows PowerShell:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

מחליפים את מה שכתוב בשדות הבאים:

  • ATTRIBUTE: השם של מאפיין בסכימה. לדוגמה, example-attribute.
  • ROOT_DOMAIN: דומיין הבסיס של שם הדומיין. לדוגמה, אם שם הדומיין הוא example.com, מזינים example.
  • TOP_LEVEL_DOMAIN: הדומיין ברמה העליונה של שם הדומיין. לדוגמה, אם שם הדומיין הוא example.com, מזינים com.

בתשובה, בודקים אם אפשר לראות את השינויים בכיתות ובמאפיינים של הסכימה.

המאמרים הבאים