Diese Seite wurde von der Cloud Translation API übersetzt.

Schemaerweiterung

Auf dieser Seite wird beschrieben, wie die Schemaerweiterung in Managed Service for Microsoft Active Directory funktioniert.

Übersicht

Active Directory verwendet ein Schema, um die Verzeichnisdaten zu organisieren und zu speichern. Das AD-Schema definiert die Objektklassen und ihre Attribute, die zum Speichern der Verzeichnisdaten verwendet werden.

Mit Schemaerweiterungen können Sie Schemaänderungen vornehmen und die Unterstützung für Anwendungen aktivieren, die von bestimmten Klassen oder Attributen in Active Directory abhängen.

Sie können das Standard-AD-Schema erweitern, indem Sie neue Klassen und Attribute definieren oder die Definitionen oder Eigenschaften vorhandener Klassen und Attribute ändern. In verwaltetem Microsoft AD können Sie das Schema mit einer LDIF-Datei (LDAP Data Interchange Format) erweitern, die Befehle für Schemaänderungen enthält. Weitere Informationen finden Sie unter Schema erweitern.

Weitere Informationen zu LDIF finden Sie unter LDAP Data Interchange Format.

LDIF-Datei vorbereiten

Eine LDIF-Datei ist ein standardmäßiges Nur-Text-Datenaustauschformat für die Darstellung von LDAP-Verzeichnisinhalten (Lightweight Directory Access Protocol) und Aktualisierungsanfragen. Eine LDIF-Datei besteht aus einer Reihe von Einträgen, die eine Sammlung von Aktualisierungsanfragen darstellen, z. B. Hinzufügen, Ändern oder Umbenennen. Leere Zeilen trennen die Datensätze in der LDIF-Datei, die die einzelnen Einträge der Aktualisierungsanfrage darstellen. Wir empfehlen Ihnen, sich mit dem Format von LDIF-Dateien vertraut zu machen, bevor Sie eine Datei mit Schemaänderungen erstellen. Weitere Informationen finden Sie unter LDIF-Scripts.

Lesen Sie sich die folgenden Richtlinien durch, bevor Sie Ihre LDIF-Datei vorbereiten.

Schemaelemente

Schemaelemente wie Klassen, Attribute und Objekte sind die Bausteine eines AD-Schemas. Wir empfehlen Ihnen, sich mit den wichtigsten Konzepten zu Schemaelementen wie Attributen, Objektklassen, Objekt-IDs und verknüpften Attributen vertraut zu machen. Weitere Informationen finden Sie unter Active Directory-Schema (AD DS).

LDIF-Dateistruktur

Sie müssen die Einträge in einer LDIF-Datei mithilfe der Struktur Directory Information Tree (DIT) anordnen. Die Struktur einer gültigen LDIF-Datei muss den folgenden Richtlinien entsprechen:

Listen Sie die übergeordneten Einträge vor den untergeordneten Einträgen auf.
Trennen Sie die Einträge in einer LDIF-Datei durch eine leere Zeile.
Alle Klassen oder Attribute, die Sie in einem Eintrag verwenden, müssen im Schema vorhanden sein. Bevor Sie eine Klasse oder ein Attribut verwenden, prüfen Sie, ob es im Schema verfügbar ist. Andernfalls müssen Sie die Klasse oder das Attribut dem Schema hinzufügen. Sie müssen beispielsweise ein Attribut erstellen, bevor Sie es einer Klasse zuweisen können.

Format des Distinguished Names

Alle Einträge in einer LDIF-Datei beginnen mit einem Distinguished Name (DN). Hier wird das AD-Objekt angegeben, auf das sich die Einträge beziehen. Wenn die Einträge den Schemacache aktualisieren, muss DN leer sein. Bei Schemaänderungen muss die DN das folgende Format haben:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Ersetzen Sie Folgendes:

CLASS_OR_ATTRIBUTE: Der Name einer Klasse oder eines Attributs. Beispiel: example-attribute.
ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie example ein.
TOP_LEVEL_DOMAIN: Die Top-Level-Domain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie com ein.

Beispiel: Der DN eines Attributs example-attribute für den Domainnamen example.com muss das folgende Format haben:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Unterstützte LDIF-Änderungstypen

Managed Microsoft AD unterstützt die folgenden LDIF-Änderungstypen für die Schemaerweiterung:

LDIF-ChangeType	Aktion für Schemaerweiterung
`add`	Erstellt eine neue Klasse oder ein neues Attribut im Schema.
`modify`	Aktualisiert die Eigenschaften einer Klasse oder eines Attributs im Schema. In der folgenden Liste sind einige der möglichen Aktualisierungen von Unterkünften aufgeführt: Einem Kurs ein Attribut zuweisen. Aktualisieren Sie die `ldapDisplayName`-Property einer Klasse oder eines Attributs. Deaktivierung einer Klasse oder eines Attributs Hinweis : In Managed Microsoft AD wird die Änderung des Attributs `defaultSecurityDescriptor` aus Sicherheitsgründen nicht unterstützt.
`modrdn` oder `moddn`	Benennt den relativen Distinguished Name (RDN) für eine Klasse oder ein Attribut um.

Hinweise

Bevor Sie das Schema erweitern, sollten Sie die folgenden Hinweise beachten.

Microsoft stellt detaillierte Hinweise zur Verfügung, in denen die Auswirkungen von Schemaerweiterungen auf Ihre Active Directory-Umgebung beschrieben werden. Prüfen Sie sie sorgfältig, bevor Sie das Schema erweitern. Weitere Informationen finden Sie unter Wichtige Informationen vor dem Erweitern des Schemas.
Das Hinzufügen einer Klasse oder eines Attributs zum Schema ist dauerhaft. Sie können eine Klasse oder ein Attribut, das Sie nicht mehr benötigen, nach dem Hinzufügen jedoch deaktivieren. Weitere Informationen finden Sie unter Vorhandene Klassen und Attribute deaktivieren.

Funktionsweise der Schemaerweiterung

Wenn Sie eine Schemaerweiterung für eine Domain initiieren, prüft verwaltetes Microsoft AD die LDIF-Datei auf Struktur, Format der Schemaelemente und unterstützte Änderungstypen oder ‑aktionen.

Wenn die LDIF-Datei gültig ist, erstellt Managed Microsoft AD eine Sicherung der Domain, bevor die Schemaänderungen angewendet werden. Wenn nach dem Aktualisieren des Schemas Probleme mit Ihrer Anwendung auftreten, können Sie die Domain mit dieser Sicherung wiederherstellen. Anschließend isoliert Managed Microsoft AD einen Ihrer Domaincontroller von der Domain und wendet die Schemaänderungen mit dem Ldifde-Tool an. Während Schemaänderungen ausgeführt werden, wird der Clientverkehr von anderen Domaincontrollern in Ihrer Domain verarbeitet.

Wenn die Schemaänderungen erfolgreich sind, stellt der isolierte Domaincontroller wieder eine Verbindung zur Domain her und repliziert diese Schemaänderungen auf andere Domaincontroller in der Domain.

Wenn die Schemaänderungen fehlschlagen, stellt Managed Microsoft AD den Domaincontroller in den gesicherten Zustand zurück.

Managed Microsoft AD unterstützt keine teilweise Schemaerweiterung für eine Domain. Wenn also einer der Befehle in der LDIF-Datei nicht auf die Domain angewendet werden kann, schlägt die Schemaerweiterungsanfrage fehl. Mit Managed Microsoft AD wird Ihre Domain außerdem in den Zustand zurückversetzt, in dem sie sich vor dem Anwenden der Schemaänderungen befand.