В двух словах, схема Active Directory Domain Services (AD DS) содержит описания для всех объектов, которые могут храниться в службе каталогов. Как правило, менять схему не требуется — более того, лучше это делать только при крайней необходимости. В данной инструкции пойдет речь о том, как открыть на просмотр и редактирование схему AD DS.
Подготовка к работе
Создание оснастки для управления схемой
Просмотр
Редактирование атрибутов
Создание нового атрибута
Подготовка
Для работы со схемой, необходимо выполнить следующие требования:
- Убедиться, что мы работаем на компьютере, который введен в домен.
- Пользователь, под которым работаем должен обладать необходимыми правами:
- Чтобы добавить оснастку в MMC, быть в группе Пользователи домена (Domain Users).
- Для регистрации schmmgmt.dll — локальный администратор.
- Для редактирования схемы — Администратор схемы (Schema Admins).
Добавление оснастки в MMC
По умолчанию, в MMC нет возможности выбрать нужную оснастку. Сначала необходимо запустить командную строку от имени администратора и ввести:
regsvr32 schmmgmt.dll
Мы должны увидеть окно «Успешное выполнение DllRegisterServer в schmmgmt.dll.»:
Нажимаем OK.
Запускаем MMC (команда mmc) — в открывшемся окне кликаем по Файл — Добавить или удалить оснастку:
Выбираем оснастку Схема Active Directory и нажимаем по Добавить — оснастка должна появиться в правой части окна:
Нажимаем OK.
Просмотр схемы
Оснастка автоматически подключается к хозяину операций «Schema Master». Раскрываем дерево — мы увидим наборы классов и атрибутов. Раскрыв их мы можем выбрать любой объект и, кликнув по нему дважды, посмотреть его параметры, настройки и значения полей.
Классы определяют, какие объекты могут существовать в AD. Атрибуты — какие атрибуты будет иметь тот или иной объект.
Редактирование атрибутов
Оснастка Схема Active Directory позволяет нам редактировать настройки для атрибутов и их описание. Но некоторые поля могут быть недоступны для изменений. В этом случае необходимо отредактировать их с помощью оснастки Редактирование ADSI.
В качестве примера, изменим максимальную длину для названия отдела, где работает сотрудник.
Оснастку можно открыть несколькими способами.
а) В Диспетчере серверов открываем оснастку Редактирование ADSI:
…
б) Вводим команду:
adsiedit.msc
Должна открыться оснастка Редактирование ADSI.
Помните, что прямое редактирование схемы через ADSI Edit — операция повышенного риска. Необходимо строго следовать документации Microsoft или рекомендациям вендора приложения, для которого вносятся изменения.
В открывшейся оснастке кликаем правой кнопкой по корню (Редактирование ADSI) — выбираем Подключение к…:
В качестве точки подключения выбираем Схема:
… и нажимаем OK.
Слева раскрываем добавленный пункт — находим в нем CN=Schema… — в окне справа находим нужный нам атрибут (в нашем примере, для названия отдела или Department) — кликаем по нему дважды — в открывшемся окне выбираем нужный нам параметр и открываем его на редактирование — задаем нужное значение и нажимаем OK:
В течение минут 15 настройка должна примениться.
Добавление атрибута
Важно отметить, что расширять схему, добавляя атрибуты — нежелательно. Трудно предсказать, как изменения могут повлиять на работу системы в будущем, например, когда необходимо развернуть приложение, меняющее схему, например, MS Exchange. Если вы точно уверены в необходимости добаваления нового атрибута, это можно сделать через соответствующую оснастку.
В зависимости от того, что нужно добавить наши действия будут немного отличаться. Но принцип остается таким же. Рассмотрим пример добавления пользовательского атрибута, скажем, для указания статуса пользователя.
Открываем оснастку для работы со схемой, как было показано выше. Кликаем правой кнопкой мыши по Атрибуты — Создать атрибут:
Мы будем уведомлены, что внесенные изменения необратимы. Кликаем Продолжить:
Заполняем поля для создания атрибута:
* где:
- Общее имя — системное, внутреннее имя объекта-атрибута в базе данных схемы Active Directory.
- Выводимое имя LDAP — техническое, программируемое имя, которое используется в LDAP-запросах. Для удобства, чаще всего, задают таким же, как общее имя.
- X500-код объекта — уникальная цифровая последовательность, которая идентифицирует классы и атрибуты в базе данных Active Directory. Очень важно, чтобы это был уникальный в мире номер. В противном случае, если возникнет необходимость слить схемы, в которых окажется атрибут с одинаковым номером, произойдет ошибка. Получить максимально уникальный номер можно с помощью сценария Powershell. В тестовой среде можно сгенерировать случайный номер.
- Описание — произвольное описание для атрибута.
- Синтаксис — тип данных.
** в нашем примере создан атрибут строчного типа данных с названием tgUserStatus.
Чтобы атрибут стал виден при редактировании объекта (в нашем случае, пользователя), нам нужно добавить созданный атрибут в класс.
В оснастке управления схемой переходим на Классы и кликаем дважды по user:
В открывшемся окне переходим на вкладку Атрибуты и кликаем по кнопке Добавить:
Выбираем созданный атрибут и нажимаем OK:
Ждем окло 15 минут (в больших структурах AD может потребоваться больше времени). В списке атрибутов пользователя должен появится созданный.
Добавить комментарий