Ce document explique comment étendre le schéma dans une instance du service géré pour Microsoft Active Directory.
Avant de commencer
Avant de commencer, procédez comme suit :
- Créez un domaine Microsoft AD géré.
- Créez une VM Windows et associez-la au domaine.
- Veillez à lire À propos de l'extension de schéma et à prendre en compte ces considérations.
- Préparez le fichier LDIF avec les modifications de schéma. Pour en savoir plus, consultez Préparer votre fichier LDIF.
Assurez-vous de disposer de l'un des rôles utilisateur IAM (Identity and Access Management) suivants:
- Administrateur de domaine Google Cloud Managed Identities (
roles/managedidentities.domainAdmin
) - Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin
)
Pour en savoir plus, consultez la section Rôles des identités gérées dans le cloud.
- Administrateur de domaine Google Cloud Managed Identities (
Étendre le schéma
Lorsque vous lancez l'extension de schéma, Managed Microsoft AD crée automatiquement une sauvegarde de l'extension de schéma avant d'appliquer les modifications apportées au schéma. Vous pouvez utiliser cette sauvegarde pour restaurer le domaine si vous rencontrez des problèmes après l'extension du schéma. Pour identifier la sauvegarde de l'extension de schéma, vous pouvez lister les sauvegardes créées pour votre domaine.
Pour étendre le schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory domains extend-schema DOMAIN_NAME --ldif-file=LDIF_FILE_PATH \ --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async
Remplacez les éléments suivants :
- DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Exemple :
my-domain.example.com
- LDIF_FILE_PATH: chemin d'accès du fichier LDIF avec les modifications de schéma. La taille maximale du fichier est limitée à 1 Mo.
- SCHEMA_EXTENSION_DESCRIPTION: description des modifications apportées au schéma.
- DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressources de domaine. Exemple :
my-project
Microsoft AD géré lance l'extension du schéma et répond avec un ID d'opération que vous pouvez utiliser pour suivre l'avancement de l'extension du schéma.
Pour vérifier l'état de votre extension de schéma, exécutez la commande gcloud CLI suivante:
gcloud active-directory operations describe OPERATION_ID
Remplacez OPERATION_ID par l'ID de l'opération de votre extension de schéma. Exemple :operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2
Vérifier l'extension du schéma
Après avoir étendu le schéma de votre instance AD Microsoft gérée, vous devez vérifier les modifications apportées au schéma avant d'intégrer vos applications à Active Directory. Vous pouvez vérifier les modifications de schéma à l'aide de différents outils et approches. Dans les sections suivantes, nous vous expliquons comment vérifier les modifications apportées au schéma à l'aide de l'une des approches suivantes:
- Active Directory Schema Snap-In
- Windows PowerShell
Active Directory Schema Snap-In
Pour vérifier les modifications apportées au schéma à l'aide du composant logiciel enfichable de schéma Active Directory, procédez comme suit:
- Connectez-vous à votre VM associée au domaine en tant qu'administrateur délégué.
- Installez le composant Active Directory Schema Snap-In.
- Ouvrez la console MMC (Microsoft Management Console).
- Développez l'arborescence Schéma Active Directory de votre annuaire.
- Vérifiez si vous pouvez voir les modifications apportées aux classes et aux attributs du schéma.
Windows PowerShell
Pour vérifier les modifications apportées au schéma à l'aide de Windows PowerShell, utilisez la cmdlet Get-ADObject
. Exécutez la commande suivante dans Windows PowerShell:
get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *
Remplacez les éléments suivants :
- ATTRIBUTE: nom d'un attribut de votre schéma. Exemple :
example-attribute
- ROOT_DOMAIN: domaine racine de votre nom de domaine. Par exemple, si votre nom de domaine est
example.com
, saisissezexample
. - TOP_LEVEL_DOMAIN: domaine de premier niveau de votre nom de domaine. Par exemple, si votre nom de domaine est
example.com
, saisissezcom
.
Dans la réponse, vérifiez si vous pouvez voir les modifications apportées aux classes et aux attributs du schéma.