Informazioni sull'estensione dello schema

Questa pagina descrive il funzionamento dell'estensione dello schema in Managed Service for Microsoft Active Directory.

Panoramica

Active Directory si basa sullo schema per organizzare e archiviare i dati della directory. Lo schema AD definisce le classi di oggetti e i relativi attributi utilizzati per memorizzare i dati della directory.

Puoi utilizzare le estensioni dello schema per apportare modifiche allo schema e attivare il supporto per le applicazioni che dipendono da classi o attributi specifici in Active Directory.

Puoi estendere lo schema AD predefinito definendo nuove classi e attributi o modificando le definizioni o le proprietà di classi e attributi esistenti. Microsoft AD gestito ti consente di estendere lo schema utilizzando un file LDIF (LDAP Data Interchange Format) contenente i comandi per le modifiche dello schema. Per ulteriori informazioni, consulta la sezione Estensione dello schema.

Per ulteriori informazioni su LDIF, consulta LDAP Data Interchange Format.

Come preparare il file LDIF

Un file LDIF è un formato di interscambio dati di testo normale standard per la rappresentazione dei contenuti della directory LDAP (Lightweight Directory Access Protocol) e delle richieste di aggiornamento. Un file LDIF è costituito da una serie di record che rappresentano una raccolta di richieste di aggiornamento, ad esempio aggiunta, modifica e rinominazione. Le righe vuote separano l'insieme di record nel file LDIF che rappresentano ogni voce della richiesta di aggiornamento. Ti consigliamo di comprendere il formato dei file LDIF prima di creare il file con le modifiche allo schema. Per ulteriori informazioni, consulta Script LDIF.

Prima di preparare il file LDIF, leggi le seguenti linee guida.

Elementi dello schema

Gli elementi dello schema, come classi, attributi e oggetti, sono i componenti di uno schema AD. Ti consigliamo di apprendere i concetti chiave relativi agli elementi dello schema, come attributi, classi di oggetti, identificatori di oggetti e attributi collegati. Per ulteriori informazioni, consulta Schema Active Directory (AD DS).

Struttura del file LDIF

Devi organizzare le voci in un file LDIF utilizzando la struttura Directory Information Tree (DIT). La struttura di un file LDIF valido deve rispettare le seguenti linee guida:

• Elenca le voci principali prima di quelle secondarie.
• Separa le voci in un file LDIF con una riga vuota.
• Qualsiasi classe o attributo utilizzato in una voce deve esistere nello schema. Prima di utilizzare una classe o un attributo, assicurati di verificare se è disponibile nello schema. In caso contrario, devi aggiungere la classe o l'attributo allo schema. Ad esempio, devi creare un attributo prima di associarlo a un corso.

Formato del nome distinto

Tutte le voci di un file LDIF iniziano con un nome distinto (DN). Specifica l'oggetto AD su cui operano i record. Se i record aggiornano la cache dello schema, DN deve essere vuoto. Per le modifiche allo schema, il DN deve avere il seguente formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Sostituisci quanto segue:

• CLASS_OR_ATTRIBUTE: il nome di una classe o di un attributo. Ad esempio, example-attribute.
• ROOT_DOMAIN: il dominio principale del tuo nome di dominio. Ad esempio, se il nome di dominio è example.com, inserisci example.
• TOP_LEVEL_DOMAIN: il dominio di primo livello del tuo nome di dominio. Ad esempio, se il nome di dominio è example.com, inserisci com.

Ad esempio, il DN di un attributo example-attribute per il nome di dominio example.com deve avere il seguente formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipi di modifiche LDIF supportati

Managed Microsoft AD supporta i seguenti tipi di modifica LDIF per l'estensione dello schema:

Considerazioni

Prima di estendere lo schema, assicurati di fare riferimento alle seguenti considerazioni.

• Microsoft fornisce avvisi dettagliati che descrivono l'impatto delle estensioni dello schema sul tuo ambiente Active Directory. Assicurati di esaminarli attentamente prima di estendere lo schema. Per ulteriori informazioni, vedi Cosa devi sapere prima di estendere lo schema.
• L'aggiunta di una classe o di un attributo allo schema è definitiva. Tuttavia, puoi disattivare una classe o un attributo di cui non hai più bisogno dopo averlo aggiunto. Per ulteriori informazioni, consulta la sezione Disattivare classi e attributi esistenti.

Come funziona l'estensione dello schema

Quando avvii l'estensione dello schema per un dominio, AD Microsoft gestito convalida il file LDIF per la struttura, il formato degli elementi dello schema e i tipi di modifica o le azioni supportati.

Se il file LDIF è valido, Managed Microsoft AD esegue il backup del dominio prima di applicare le modifiche allo schema. Se riscontri problemi con la tua applicazione dopo l'aggiornamento dello schema, puoi utilizzare questo backup per ripristinare il dominio. Dopodiché, AD di Microsoft gestito isola uno dei controller di dominio dal dominio e applica le modifiche allo schema utilizzando lo strumento Ldifde. Mentre le modifiche allo schema sono in corso, altri controller di dominio nel tuo dominio gestiscono il traffico client.

Se le modifiche allo schema vanno a buon fine, il controller di dominio isolato si riconnette al dominio e replica queste modifiche allo schema agli altri controller di dominio nel dominio.

Se le modifiche allo schema non riescono, Managed Microsoft AD ripristina il controller di dominio allo stato di cui è stato eseguito il backup.

Microsoft AD gestito non supporta l'estensione parziale dello schema in un dominio. In altre parole, se uno dei comandi nel file LDIF non viene applicato al dominio, la richiesta di estensione dello schema non va a buon fine. Anche AD Microsoft gestito ripristina il dominio allo stato precedente all'applicazione delle modifiche allo schema.

Passaggi successivi

• Scopri come estendere lo schema in AD Microsoft gestito.
• Limitazioni all'estensione dello schema