Cómo extender el esquema

En este documento, se explica cómo extender el esquema en una instancia del servicio administrado para Microsoft Active Directory.

Antes de comenzar

Antes de comenzar, haz lo siguiente:

  1. Cree un dominio de Managed Microsoft AD.
  2. Crea una VM de Windows y únete al dominio.
  3. Asegúrate de leer Acerca de la extensión de esquemas y comprender estas consideraciones.
  4. Prepara el archivo LDIF con los cambios del esquema. Para obtener más información, consulta Cómo preparar tu archivo LDIF.
  5. Asegúrate de tener uno de los siguientes roles de usuario de Identity and Access Management (IAM):

    • Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)
    • Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)

    Para obtener más información, consulta Roles de identidades administradas por Cloud.

Cómo extender el esquema

Cuando inicias la extensión de esquema, Microsoft AD administrado crea automáticamente una copia de seguridad de la extensión de esquema antes de aplicar los cambios en el esquema. Puedes usar esta copia de seguridad para restablecer el dominio si tienes algún problema después de la extensión del esquema. Para identificar la copia de seguridad de la extensión de esquema, puedes hacer una lista de las copias de seguridad creadas para tu dominio.

Para extender el esquema, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

Reemplaza lo siguiente:

  • DOMAIN_NAME: Es el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.example.com
  • LDIF_FILE_PATH: Es la ruta de acceso del archivo LDIF con los cambios de esquema. El tamaño máximo del archivo está limitado a 1 MB.
  • SCHEMA_EXTENSION_DESCRIPTION: Es la descripción de los cambios de esquema.
  • DOMAIN_RESOURCE_PROJECT_ID: Es el ID del proyecto de recursos de dominio. Por ejemplo, my-project

Microsoft AD administrado inicia la extensión del esquema y responde con un ID de operación que puedes usar para hacer un seguimiento de la finalización de la extensión del esquema.

Para verificar el estado de la extensión de esquema, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory operations describe OPERATION_ID

Reemplaza OPERATION_ID por el ID de la operación de tu extensión de esquema. Por ejemplo, operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2

Verifica la extensión del esquema

Después de extender el esquema de tu instancia de Microsoft AD administrada, es importante que verifiques los cambios del esquema antes de integrar tus aplicaciones con Active Directory. Puedes verificar los cambios de esquema con diferentes herramientas y enfoques. En las siguientes secciones, te explicaremos cómo puedes verificar los cambios en el esquema con cualquiera de estos enfoques:

  1. Complemento del esquema de Active Directory
  2. WindowsPowerShell

Complemento del esquema de Active Directory

Para verificar los cambios de esquema con el complemento de esquema de Active Directory, haz lo siguiente:

  1. Accede a la VM unida al dominio como administrador delegado.
  2. Instala el complemento de esquema de Active Directory.
  3. Abre la Consola de administración de Microsoft (MMC).
  4. Expande el árbol Esquema de Active Directory de tu directorio.
  5. Verifica si puedes ver los cambios en las clases y los atributos del esquema.

WindowsPowerShell

Para verificar los cambios de esquema con Windows PowerShell, usa el cmdlet Get-ADObject. Ejecuta el siguiente comando en Windows PowerShell:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

Reemplaza lo siguiente:

  • ATTRIBUTE: Es el nombre de un atributo en tu esquema. Por ejemplo, example-attribute
  • ROOT_DOMAIN: Es el dominio raíz de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, ingresa example.
  • TOP_LEVEL_DOMAIN: Es el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, ingresa com.

En la respuesta, verifica si puedes ver los cambios en las clases y los atributos del esquema.

¿Qué sigue?