Работа со схемой Active Directory

Обновлено Обновлено: Опубликовано Опубликовано:

В двух словах, схема Active Directory Domain Services (AD DS) содержит описания для всех объектов, которые могут храниться в службе каталогов. Как правило, менять схему не требуется — более того, лучше это делать только при крайней необходимости. В данной инструкции пойдет речь о том, как открыть на просмотр и редактирование схему AD DS.

Подготовка к работе
Создание оснастки для управления схемой
Просмотр
Редактирование атрибутов
Создание нового атрибута

Подготовка

Для работы со схемой, необходимо выполнить следующие требования:

  1. Убедиться, что мы работаем на компьютере, который введен в домен.
  2. Пользователь, под которым работаем должен обладать необходимыми правами:
    • Чтобы добавить оснастку в MMC, быть в группе Пользователи домена (Domain Users).
    • Для регистрации schmmgmt.dll — локальный администратор.
    • Для редактирования схемы — Администратор схемы (Schema Admins).

Добавление оснастки в MMC

По умолчанию, в MMC нет возможности выбрать нужную оснастку. Сначала необходимо запустить командную строку от имени администратора и ввести:

regsvr32 schmmgmt.dll

Мы должны увидеть окно «Успешное выполнение DllRegisterServer в schmmgmt.dll.»:

Успешная регистрация schmmgmt.dll

Нажимаем OK.

Запускаем MMC (команда mmc) - в открывшемся окне кликаем по Файл - Добавить или удалить оснастку:

Добавление оснастки в MMC

Выбираем оснастку Схема Active Directory и нажимаем по Добавить — оснастка должна появиться в правой части окна:

Добавление оснастки Схемы AD

Нажимаем OK.

Просмотр схемы

Оснастка автоматически подключается к хозяину операций «Schema Master». Раскрываем дерево — мы увидим наборы классов и атрибутов. Раскрыв их мы можем выбрать любой объект и, кликнув по нему дважды, посмотреть его параметры, настройки и значения полей.

Классы определяют, какие объекты могут существовать в AD. Атрибуты — какие атрибуты будет иметь тот или иной объект.

Редактирование атрибутов

Оснастка Схема Active Directory позволяет нам редактировать настройки для атрибутов и их описание. Но некоторые поля могут быть недоступны для изменений. В этом случае необходимо отредактировать их с помощью оснастки Редактирование ADSI.

В качестве примера, изменим максимальную длину для названия отдела, где работает сотрудник.

Оснастку можно открыть несколькими способами.

а) В Диспетчере серверов открываем оснастку Редактирование ADSI:

В диспетчере серверов кликаем по Средства

...

Выбираем Редактирование ADSI

б) Вводим команду:

adsiedit.msc

Должна открыться оснастка Редактирование ADSI.

Помните, что прямое редактирование схемы через ADSI Edit — операция повышенного риска. Необходимо строго следовать документации Microsoft или рекомендациям вендора приложения, для которого вносятся изменения.

В открывшейся оснастке кликаем правой кнопкой по корню (Редактирование ADSI) - выбираем Подключение к...:

Подключение к...

В качестве точки подключения выбираем Схема:

Выбираем схему в качестве точки подключения

... и нажимаем OK.

Слева раскрываем добавленный пункт - находим в нем CN=Schema... - в окне справа находим нужный нам атрибут (в нашем примере, для названия отдела или Department) - кликаем по нему дважды - в открывшемся окне выбираем нужный нам параметр и открываем его на редактирование - задаем нужное значение и нажимаем OK:

Редактируем атрибут схемы AD

В течение минут 15 настройка должна примениться.

Добавление атрибута

Важно отметить, что расширять схему, добавляя атрибуты — нежелательно. Трудно предсказать, как изменения могут повлиять на работу системы в будущем, например, когда необходимо развернуть приложение, меняющее схему, например, MS Exchange. Если вы точно уверены в необходимости добаваления нового атрибута, это можно сделать через соответствующую оснастку.

В зависимости от того, что нужно добавить наши действия будут немного отличаться. Но принцип остается таким же. Рассмотрим пример добавления пользовательского атрибута, скажем, для указания статуса пользователя.

Открываем оснастку для работы со схемой, как было показано выше. Кликаем правой кнопкой мыши по Атрибуты - Создать атрибут:

Переходим к созданию нового атрибута в оснастке управления схемой AD

Мы будем уведомлены, что внесенные изменения необратимы. Кликаем Продолжить:

Предупреждение о необратимости внесенных в схему изменений

Заполняем поля для создания атрибута:

Заполняем поля для создания нового атрибута

* где:

  • Общее имя — системное, внутреннее имя объекта-атрибута в базе данных схемы Active Directory.
  • Выводимое имя LDAP — техническое, программируемое имя, которое используется в LDAP-запросах. Для удобства, чаще всего, задают таким же, как общее имя.
  • X500-код объекта — уникальная цифровая последовательность, которая идентифицирует классы и атрибуты в базе данных Active Directory. Очень важно, чтобы это был уникальный в мире номер. В противном случае, если возникнет необходимость слить схемы, в которых окажется атрибут с одинаковым номером, произойдет ошибка. Получить максимально уникальный номер можно с помощью сценария Powershell. В тестовой среде можно сгенерировать случайный номер.
  • Описание — произвольное описание для атрибута.
  • Синтаксис — тип данных. 

** в нашем примере создан атрибут строчного типа данных с названием tgUserStatus.

Чтобы атрибут стал виден при редактировании объекта (в нашем случае, пользователя), нам нужно добавить созданный атрибут в класс.

В оснастке управления схемой переходим на Классы и кликаем дважды по user:

Переходим к списку классов в схеме Active Directory

Открываем на редактирование класс user

В открывшемся окне переходим на вкладку Атрибуты и кликаем по кнопке Добавить:

К списку существующих атрибутов добавляем созданный

Выбираем созданный атрибут и нажимаем OK:

Среди списка созданных атрибутов выбираем новый и нажимаем OK

Ждем окло 15 минут (в больших структурах AD может потребоваться больше времени). В списке атрибутов пользователя должен появится созданный.

# Active Directory # Windows # Серверы
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет

Дмитрий Моск
— IT-специалист.
Настройка серверов, услуги DevOps.

Заказать настройку контроллера домена

Нужна бесплатная консультация?

Мини-инструкции

Инструкция по установке и настройке phplist

Настройка консоли управления виртуализацией Hyper-V без домена

Установка и настройка Pflogsumm для получения почтовой статистики

Инструкция по работе со схемой службы каталогов Active Directory

Настройка связки Asterisk + MariaDB в Ubuntu для хранения конфигурации в СУБД

Как установить и быстро настроить Asterisk PBX на Linux Ubuntu

Использование динамических групп рассылки в MS Exchange Server

Другие инструкции

Все статьи

Нужна помощь? Пишите:






Реклама