擴充結構定義

本文說明如何在 Managed Service for Microsoft Active Directory 執行個體中擴充結構定義。

事前準備

開始之前,請先執行下列操作:

  1. 建立代管的 Microsoft AD 網域
  2. 建立 Windows VM 並加入網域
  3. 請務必詳閱「關於結構定義擴充功能」一文,並瞭解下列注意事項
  4. 準備含有結構定義變更的 LDIF 檔案。詳情請參閱「如何準備 LDIF 檔案」。

  5. 請確認您具備下列任一 Identity and Access Management (IAM) 使用者角色:

    • Google Cloud Managed Identities 網域管理員 (roles/managedidentities.domainAdmin)
    • Google Cloud Managed Identities 管理員 (roles/managedidentities.admin)

    詳情請參閱「Cloud 管理式身分識別資訊角色」。

擴充結構定義

當您啟動結構定義擴充功能時,Managed Microsoft AD 會在套用結構定義變更前,自動建立結構定義擴充功能備份。如果在擴充結構描述後遇到任何問題,您可以使用這個備份來還原網域。如要找出架構擴充功能備份,您可以列出為網域建立的備份。

如要擴充結構定義,請執行下列 gcloud CLI 指令:

gcloud active-directory domains extend-schema DOMAIN_NAME  --ldif-file=LDIF_FILE_PATH \
    --description=SCHEMA_EXTENSION_DESCRIPTION --project=DOMAIN_RESOURCE_PROJECT_ID --async

更改下列內容:

  • DOMAIN_NAME:受管理的 Microsoft AD 網域名稱。例如:my-domain.example.com
  • LDIF_FILE_PATH:含有結構定義變更的 LDIF 檔案路徑。檔案大小上限為 1 MB。
  • SCHEMA_EXTENSION_DESCRIPTION:結構定義變更的說明。
  • DOMAIN_RESOURCE_PROJECT_ID:網域資源專案的專案 ID。例如:my-project

受管理的 Microsoft AD 會啟動結構定義擴充功能,並傳回作業 ID,您可以使用這組 ID 追蹤結構定義擴充功能的完成情形。

如要檢查結構定義擴充功能的狀態,請執行下列 gcloud CLI 指令:

gcloud active-directory operations describe OPERATION_ID

OPERATION_ID 替換為結構定義擴充功能的作業 ID。例如:operation-1234567890-98765a1b2c3d4e5-e6f7g8-9h0i1j2

驗證結構定義擴充功能

擴充受管理的 Microsoft AD 例項的結構定義後,請務必先驗證結構定義變更,再將應用程式與 Active Directory 整合。您可以使用不同的工具和方法驗證結構定義變更。在以下各節中,我們會說明如何使用下列任一方法驗證結構定義變更:

  1. Active Directory 結構定義集合方塊
  2. Windows PowerShell

Active Directory 結構定義集節點

如要使用 Active Directory 結構定義專用附加元件驗證結構定義變更,請執行下列步驟:

  1. 以委派管理員身分登入已加入網域的 VM。
  2. 安裝 Active Directory 結構定義小工具
  3. 開啟 Microsoft Management Console (MMC)
  4. 展開目錄的 Active Directory 結構定義樹狀結構。
  5. 確認是否可以看到結構定義的類別和屬性有所變更。

Windows PowerShell

如要使用 Windows PowerShell 驗證結構定義變更,請使用 Get-ADObject 指令碼。在 Windows PowerShell 中執行下列指令:

get-adobject -Identity 'cn=ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN' -Properties *

更改下列內容:

  • ATTRIBUTE:結構定義中的屬性名稱。例如:example-attribute
  • ROOT_DOMAIN:網域名稱的根網域。舉例來說,如果您的網域名稱是 example.com,請輸入 example
  • TOP_LEVEL_DOMAIN:網域名稱的頂層網域。舉例來說,假如您的網域名稱是 example.com,請輸入 com

在回應中,確認是否可以看到結構定義的類別和屬性有變更。

後續步驟