扩展架构

本文档介绍了如何在 Managed Service for Microsoft Active Directory 实例中扩展架构。

准备工作

在开始之前,请执行以下操作:

  1. 创建托管式 Microsoft AD 网域
  2. 创建 Windows 虚拟机并将其加入网域
  3. 请务必阅读架构扩展简介并了解以下注意事项
  4. 准备包含架构更改的 LDIF 文件。如需了解详情,请参阅如何准备 LDIF 文件

  5. 确保您拥有以下任一 Identity and Access Management (IAM) 用户角色:

    • Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)
    • Google Cloud Managed Identities Admin (roles/managedidentities.admin)

    如需了解详情,请参阅 Cloud 托管的身份角色

扩展架构

当您发起架构扩展时,托管式 Microsoft AD 会在应用架构更改之前自动创建架构扩展备份。如果您在架构扩展后遇到任何问题,可以使用此备份来恢复网域。如需识别架构扩展程序备份,您可以列出为您的网域创建的备份

如需扩展架构,请运行以下 gcloud CLI 命令:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

替换以下内容:

  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • LDIF_FILE_PATH:包含架构更改的 LDIF 文件的路径。文件大小上限为 1 MB。
  • SCHEMA_EXTENSION_DESCRIPTION:架构更改的说明。
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

托管的 Microsoft AD 会发起架构扩展,并响应一个操作 ID,您可以使用该 ID 来跟踪架构扩展的完成情况。

如需检查架构扩展的状态,请运行以下 gcloud CLI 命令:

gcloud active-directory operations describe OPERATION_ID

OPERATION_ID 替换为架构扩展的操作 ID。例如 operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2

验证架构扩展

在扩展托管式 Microsoft AD 实例的架构后,请务必先验证架构更改,然后再将应用与 Active Directory 集成。您可以使用不同的工具和方法验证架构更改。在以下部分中,我们将介绍如何使用以下任一方法验证架构更改:

  1. Active Directory 架构快捷方式
  2. Windows PowerShell

Active Directory 架构快捷方式

如需使用 Active Directory 架构快捷方式验证架构更改,请执行以下操作:

  1. 以委托的管理员身份登录已加入网域的虚拟机。
  2. 安装 Active Directory 架构快捷方式
  3. 打开 Microsoft 管理控制台 (MMC)
  4. 展开目录的 Active Directory 架构树。
  5. 验证您是否可以看到架构的类和属性中的更改。

Windows PowerShell

如需使用 Windows PowerShell 验证架构更改,请使用 Get-ADObject cmdlet。在 Windows PowerShell 中运行以下命令:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

替换以下内容:

  • ATTRIBUTE:架构中属性的名称。例如 example-attribute
  • ROOT_DOMAIN:域名的根网域。例如,如果您的域名是 example.com,请输入 example
  • TOP_LEVEL_DOMAIN:域名的顶级域名。例如,如果您的域名是 example.com,请输入 com

在响应中,验证您是否可以看到架构的类和属性中的更改。

后续步骤