此页面由 Cloud Translation API 翻译。

架构扩展简介

本页面介绍架构扩展在 Managed Service for Microsoft Active Directory 中的工作原理。

概览

Active Directory 依靠架构来整理和存储目录数据。AD 架构定义了用于存储目录数据的对象类及其属性。

您可以使用架构扩展来执行架构更改，并支持依赖于 Active Directory 中的特定类或属性的应用。

您可以通过定义新的类和属性或者修改现有类和属性的定义或属性来扩展默认 AD 架构。借助 Managed Microsoft AD，您可以使用包含架构更改命令的 LDAP 数据交换格式 (LDIF) 文件扩展架构。如需了解详情，请参阅扩展架构。

如需详细了解 LDIF，请参阅 LDAP 数据交换格式。

如何准备 LDIF 文件

LDIF 文件是一种标准的纯文本数据交换格式，用于表示轻量级目录访问协议 (LDAP) 目录内容和更新请求。LDIF 文件由一系列记录组成，这些记录代表一系列更新请求，例如添加、修改、重命名。空白行用于分隔 LDIF 文件中表示更新请求的每个条目的记录集。我们建议您先了解 LDIF 文件的格式，然后再创建包含架构更改的文件。如需了解详情，请参阅 LDIF 脚本。

在准备 LDIF 文件之前，请阅读以下准则。

架构元素

架构元素（例如类、属性、对象）是 AD 架构的组成要素。我们建议您了解与架构元素相关的关键概念，例如属性、对象类、对象标识符和关联的属性。如需了解详情，请参阅 Active Directory 架构 (AD DS)。

LDIF 文件结构

您需要使用目录信息树 (DIT) 结构在 LDIF 文件中排列条目。有效 LDIF 文件的结构必须遵循以下准则：

先列出父条目，然后再列出子条目。
使用空白行分隔 LDIF 文件中的条目。
您在条目中使用的任何类或属性都必须存在于架构中。在使用某个类或属性之前，请务必验证它是否在架构中可用。否则，您需要向架构中添加类或属性。例如，您需要先创建属性，然后才能为类附加属性。

标识名格式

LDIF 文件中的所有条目均以标识名 (DN) 开头。它指定对记录执行操作的 AD 对象。如果记录更新架构缓存，DN 必须为空。对于架构更改，DN 必须采用以下格式：

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

替换以下内容：

CLASS_OR_ATTRIBUTE：类或属性的名称。例如 example-attribute。
ROOT_DOMAIN：您的域名的根域名。例如，如果您的域名是 example.com，请输入 example。
TOP_LEVEL_DOMAIN：域名的顶级域名。例如，如果您的域名是 example.com，请输入 com。

例如，域名 example.com 的属性 example-attribute 的 DN 必须采用以下格式：

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

支持的 LDIF 更改类型

托管式 Microsoft AD 支持以下 LDIF 更改类型来扩展架构：

LDIF changetype	架构扩展操作
`add`	在架构中创建新类或属性。
`modify`	更新架构中类或属性的属性。以下列表介绍了一些可能的媒体资源更新：将属性附加到类。更新类或属性的 `ldapDisplayName` 属性。停用某个类或属性。注意：出于安全考虑，Managed Microsoft AD 不支持修改 `defaultSecurityDescriptor` 属性。
`modrdn` 或 `moddn`	重命名类或属性的相对标识名 (RDN)。

注意事项

在扩展架构之前，请务必参阅以下注意事项。

Microsoft 提供了详细的建议，说明了架构扩展对 Active Directory 环境的影响。请务必在扩展架构之前仔细检查这些值。如需了解详情，请参阅扩展架构之前必须了解的事项。
向架构添加类或属性是永久性操作。但是，您可以在添加后停用不再需要的类或属性。如需了解详情，请参阅停用现有类和属性。

架构扩展的工作原理

为网域启动架构扩展后，Managed Microsoft AD 会验证 LDIF 文件的结构、架构元素格式和支持的更改类型或操作。

如果 LDIF 文件有效，Managed Microsoft AD 会备份网域，然后再应用架构更改。如果您在更新架构后遇到任何应用问题，可以使用此备份恢复网域。然后，Managed Microsoft AD 会将您的其中一个网域控制器与网域隔离开来，并使用 Ldifde 工具应用架构更改。在架构更改进行期间，您网域中的其他网域控制器会为客户端流量处理流量。

如果架构更改成功，则隔离的网域控制器会重新连接到网域，并将这些架构更改复制到网域中的其他网域控制器。

如果架构更改失败，Managed Microsoft AD 会将网域控制器还原为备份状态。

Managed Microsoft AD 不支持网域上的部分架构扩展。换句话说，如果 LDIF 文件中的任何命令都无法应用于网域，则架构扩展请求会失败。Managed Microsoft AD 还会将您的网域还原为应用架构更改之前的状态。

后续步骤

了解如何在 Managed Microsoft AD 中扩展架构。
架构扩展限制