Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על הרחבת סכימה

בדף הזה מוסבר איך פועל הרחבת הסכימה בשירות המנוהל ל-Microsoft Active Directory.

סקירה כללית

‫Active Directory מסתמך על סכימה כדי לארגן ולאחסן את נתוני הספרייה. סכימת AD מגדירה את מחלקות האובייקטים והמאפיינים שלהם שמשמשים לאחסון נתוני הספרייה.

אתם יכולים להשתמש בהרחבות סכימה כדי לבצע שינויים בסכימה ולאפשר תמיכה באפליקציות שתלויות במחלקות או במאפיינים ספציפיים ב-Active Directory.

אפשר להרחיב את סכימת ברירת המחדל של AD על ידי הגדרה של מחלקות ומאפיינים חדשים, או על ידי שינוי ההגדרות או המאפיינים של מחלקות ומאפיינים קיימים. ב-שירות מנוהל ל-Microsoft AD אפשר להרחיב את הסכימה באמצעות קובץ בפורמט LDIF (פורמט LDAP להחלפת נתונים) שמכיל פקודות לשינויים בסכימה. מידע נוסף זמין במאמר בנושא הרחבת הסכימה.

מידע נוסף על LDIF זמין במאמר פורמט LDAP להחלפת נתונים.

איך מכינים את קובץ ה-LDIF

קובץ LDIF הוא פורמט סטנדרטי של טקסט פשוט להעברת נתונים, שמשמש לייצוג תוכן של ספריות Lightweight Directory Access Protocol ‏ (LDAP) ובקשות עדכון. קובץ LDIF מורכב מסדרה של רשומות שמייצגות אוסף של בקשות לעדכון, כמו הוספה, שינוי או שינוי שם. שורות ריקות מפרידות בין קבוצת הרשומות בקובץ ה-LDIF שמייצגות כל רשומה של בקשת עדכון. מומלץ להבין את הפורמט של קובצי LDIF לפני שיוצרים קובץ עם שינויים בסכימה. מידע נוסף מופיע במאמר בנושא סקריפטים של LDIF.

לפני שמכינים את קובץ ה-LDIF, חשוב לקרוא את ההנחיות הבאות.

רכיבי סכימה

רכיבי סכימה, כמו מחלקות, מאפיינים ואובייקטים, הם אבני הבניין של סכימת AD. מומלץ ללמוד את המושגים העיקריים שקשורים לרכיבי סכימה כמו מאפיינים, מחלקות אובייקטים, מזהי אובייקטים ומאפיינים מקושרים. מידע נוסף זמין במאמר Active Directory Schema (AD DS).

מבנה קובץ LDIF

צריך לסדר את הרשומות בקובץ LDIF לפי המבנה של עץ מידע בספרייה (DIT). המבנה של קובץ LDIF תקין צריך לעמוד בהנחיות הבאות:

צריך לרשום את הערכים של ההורה לפני הערכים של הצאצא.
מפרידים בין הרשומות בקובץ LDIF באמצעות שורה ריקה.
כל כיתה או מאפיין שמשתמשים בהם ברשומה חייבים להיות קיימים בסכימה. לפני שמשתמשים במחלקה או במאפיין, חשוב לוודא שהם זמינים בסכימה. אם לא, צריך להוסיף את המחלקה או המאפיין לסכימה. לדוגמה, צריך ליצור מאפיין לפני שמצרפים אותו לכיתה.

פורמט של שם ייחודי

כל הרשומות בקובץ LDIF מתחילות בשם ייחודי (DN). הוא מציין את אובייקט ה-AD שהרשומות פועלות עליו. אם המטמון של סכימת עדכון הרשומות מתעדכן, שדה ה-DN צריך להיות ריק. בשינויים בסכימה, ה-DN צריך להיות בפורמט הבא:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

מחליפים את מה שכתוב בשדות הבאים:

‫CLASS_OR_ATTRIBUTE: השם של מחלקה או מאפיין. לדוגמה, example-attribute.
‫ROOT_DOMAIN: דומיין הבסיס של שם הדומיין. לדוגמה, אם שם הדומיין הוא example.com, מזינים example.
‫TOP_LEVEL_DOMAIN: הדומיין ברמה העליונה של שם הדומיין. לדוגמה, אם שם הדומיין הוא example.com, מזינים com.

לדוגמה, ה-DN של מאפיין example-attribute בשם הדומיין example.com צריך להיות בפורמט הבא:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

סוגי שינויים נתמכים ב-LDIF

שירות מנוהל ל-Microsoft AD תומך בסוגי השינויים הבאים ב-LDIF להרחבת הסכימה:

LDIF changetype	פעולת הרחבת סכימה
`add`	יוצרת כיתה או מאפיין חדשים בסכימה.
`modify`	הפונקציה מעדכנת את המאפיינים של כיתה או מאפיין בסכימה. ברשימה הבאה מתוארים כמה מהעדכונים האפשריים בנכס: צירוף מאפיין לכיתה. עדכון המאפיין `ldapDisplayName` של כיתה או מאפיין. השבתה של כיתה או מאפיין. הערה: מטעמי אבטחה, אין תמיכה בשינוי המאפיין `defaultSecurityDescriptor` בשירות מנוהל ל-Microsoft AD.
`modrdn` או `moddn`	משנה את השם של השם המובחן היחסי (RDN) של מחלקה או מאפיין.

לתשומת ליבכם

לפני שמרחיבים את הסכימה, חשוב לעיין בשיקולים הבאים.

מיקרוסופט מספקת המלצות מפורטות שמתארות את ההשפעה של הרחבות סכימה על סביבת Active Directory. חשוב לבדוק אותם בקפידה לפני שמרחיבים את הסכימה. מידע נוסף זמין במאמר מה צריך לדעת לפני הרחבת הסכימה.
הוספה של מחלקה או מאפיין לסכימה היא פעולה קבועה. אבל אחרי שמוסיפים כיתה או מאפיין, אפשר להשבית אותם אם הם כבר לא נחוצים. מידע נוסף זמין במאמר השבתה של מחלקות ומאפיינים קיימים.

איך פועל תוסף סכימה

כשמתחילים להרחיב את הסכימה של דומיין, שירות מנוהל ל-Microsoft AD מאמת את קובץ ה-LDIF מבחינת המבנה, הפורמט של רכיבי הסכימה וסוגי השינויים או הפעולות הנתמכים.

אם קובץ ה-LDIF תקין, שירות מנוהל ל-Microsoft AD יוצר גיבוי של הדומיין לפני החלת השינויים בסכימה. אם נתקלתם בבעיות באפליקציה אחרי עדכון הסכימה, אתם יכולים להשתמש בגיבוי הזה כדי לשחזר את הדומיין. לאחר מכן, שירות מנוהל ל-Microsoft AD מבודד את אחד מבקרי הדומיין מהדומיין ומחיל את שינויי הסכימה באמצעות הכלי Ldifde. בזמן שמתבצעים שינויים בסכימה, בקרי דומיין אחרים בדומיין שלכם משרתים את תנועת הלקוחות.

אם השינויים בסכימה מצליחים, בקר הדומיין המבודד מתחבר בחזרה לדומיין ומשכפל את השינויים האלה בסכימה לבקרי דומיין אחרים בדומיין.

אם שינויי הסכימה נכשלים, שירות מנוהל ל-Microsoft AD מחזיר את בקר הדומיין למצב הגיבוי.

שירות מנוהל ל-Microsoft AD לא תומך בהרחבת סכימה חלקית בדומיין. במילים אחרות, אם הפעלת אחת מהפקודות בקובץ LDIF בדומיין נכשלת, בקשת הרחבת הסכימה נכשלת. בנוסף, אם אתם משתמשים ב-Microsoft AD מנוהל, הדומיין יחזור למצב שבו הוא היה לפני החלת שינויי הסכימה.

המאמרים הבאים

איך מרחיבים את הסכימה ב-Managed Microsoft AD
הגבלות על תוסף סכימה