

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Tutoriel : extension de votre schéma Microsoft AD AWS géré
<a name="ms_ad_tutorial_extend_schema"></a>

Dans ce didacticiel, vous allez apprendre à étendre le schéma de votre AWS annuaire Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, en ajoutant des *attributs* et *des classes* uniques répondant à vos besoins spécifiques. AWS Les extensions de schéma Microsoft AD gérées ne peuvent être téléchargées et appliquées qu'à l'aide d'un fichier de script LDIF (Lightweight Directory Interchange Format) valide.

Les attributs (attributeSchema) définissent les champs de la base de données, tandis que les classes (classSchema) définissent les tables de la base de données. Par exemple, tous les objets utilisateur dans Active Directory sont définis par la classe de schéma *Utilisateur*, tandis que les propriétés individuelles d'un utilisateur, telles que l'adresse e-mail ou le numéro de téléphone, sont chacune définies par un attribut. 

Si vous souhaitez ajouter une nouvelle propriété, telle que la taille de chaussure, vous définissez un nouvel attribut, qui serait de type *entier*. Vous pouvez également définir des limites inférieure et supérieure allant de 1 à 20. Une fois que l'objet attributeSchema taille de chaussure a été créé, vous modifiez ensuite l'objet classSchema *Utilisateur* pour contenir cet attribut. Les attributs peuvent être liés à plusieurs classes. La taille de chaussure peut être ajoutée à la classe *Contact* par exemple. Pour plus d'informations sur les schémas Active Directory, veuillez consulter [Quand étendre votre schéma AWS Managed Microsoft AD](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend).

Ce flux de travail se compose de trois étapes de base. 

![\[Schéma illustrant les étapes du didacticiel : 1 créer un fichier LDIF, 2 importer le fichier LDIF et 3 vérifier les modifications du schéma.\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/tutorialextendadschema.png)


**[Étape 1 : créer votre fichier LDIF](create.md)**  
Tout d'abord, vous créez un fichier LDIF et définissez les nouveaux attributs et les classes auxquelles ils doivent être ajoutés. Vous utilisez ce fichier pour la prochaine étape du flux de travail.

**[Étape 2 : importer votre fichier LDIF](import.md)**  
Au cours de cette étape, vous allez utiliser la AWS Directory Service console pour importer le fichier LDIF dans votre environnement Microsoft Active Directory.

**[Étape 3 : vérifier si l'extension de schéma a réussi](verify.md)**  
Enfin, en tant qu'administrateur, vous utilisez une instance EC2 pour vérifier que les nouvelles extensions apparaissent dans le composant logiciel enfichable du schéma Active Directory.

# Étape 1 : créer votre fichier LDIF
<a name="create"></a>

Un fichier LDIF est un format d'échange de données standard en texte brut qui représente le contenu de l'annuaire [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) (Lightweight Directory Access Protocol) et les demandes de mise à jour. LDIF transmet le contenu de l'annuaire en tant qu'ensemble d'enregistrements, un enregistrement pour chaque objet (ou entrée). Il représente également des demandes de mise à jour, comme Ajouter, Modifier, Supprimer et Renommer en tant qu'ensemble d'enregistrements, un enregistrement pour chaque demande de mise à jour. 

 AWS Directory Service Importe ensuite votre fichier LDIF avec les modifications de schéma en exécutant l'`ldifde.exe`application sur votre répertoire AWS Microsoft AD géré. Il vous sera donc utile de comprendre la syntaxe du script LDIF. Pour plus d'informations, veuillez consulter [LDIF Scripts](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx) (français non garanti). 

Plusieurs outils LDIF tiers peuvent extraire, nettoyer et mettre à jour vos mises à jour de schéma. Quel que soit l'outil utilisé, vous devez comprendre que tous les identificateurs utilisés dans votre fichier LDIF doivent être uniques. 

Nous vous recommandons vivement d'examiner les concepts et conseils suivants avant de créer votre fichier LDIF.
+ **Éléments de schéma** : découvrez les éléments de schéma tels que les attributs, les classes, les objets IDs et les attributs liés. Pour de plus amples informations, veuillez consulter [Éléments du schéma](ms_ad_key_concepts.md#ms_ad_schema_elements).
+ **Séquence d'éléments** : veillez à ce que l'ordre dans lequel les éléments de votre fichier LDIF sont disposés respecte le [Directory Information Tree (DIT)](https://en.wikipedia.org/wiki/Directory_information_tree) de haut en bas. Les règles générales pour effectuer le séquençage d'un fichier LDIF incluent les éléments suivants : 

   
  + Séparer les éléments par une ligne vide.
  + Répertorier les éléments enfants en fonction de leurs éléments parents. 
  + Veillez à ce que des éléments tels que des attributs ou des classes d'objet existent dans le schéma. S'ils ne sont pas présents, vous devez les ajouter au schéma avant qu'ils puissent être utilisés. Par exemple, avant que vous puissiez assigner un attribut à une classe, ce dernier doit être créé. 
+ **Format du DN** : pour chaque nouvelle instruction dans le fichier LDIF, définissez le nom unique (DN) en tant que première ligne de l'instruction. Le DN identifie un objet Active Directory dans l'arborescence de l'objet Active Directory et doit contenir les composants de domaine de votre annuaire. Par exemple, les composants du domaine pour l'annuaire dans ce didacticiel sont `DC=example,DC=com`.

  Le DN doit inclure le nom commun (CN) de l'objet Active Directory. La première entrée CN représente le nom de l'attribut ou de la classe. Pour étendre le schéma Active Directory, utilisez`CN=Schema,CN=Configuration`. N'oubliez pas que vous ne pouvez pas modifier le contenu des objets Active Directory. Le format DN général est le suivant.

  ```
  dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
  ```

  Pour ce didacticiel, le DN pour le nouvel attribut taille de chaussure ressemblerait à :

  ```
  dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
  ```
+ **Avertissements** – Examinez les avertissements avant d'étendre votre schéma.
  + Avant d'étendre votre schéma Active Directory, il est important d'examiner les avertissements de Microsoft sur l'impact de cette opération. Pour plus d'informations, veuillez consulter [What You Must Know Before Extending the Schema](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx) (français non garanti).
  + Vous ne pouvez pas supprimer un attribut ou une classe de schéma. Par conséquent, si vous faites une erreur et que vous ne souhaitez pas effectuer de restauration à partir d'une sauvegarde, vous pouvez uniquement désactiver l'objet. Pour plus d'informations, veuillez consulter [Disabling Existing Classes and Attributes](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx) (français non garanti).
  + Les modifications apportées à ne defaultSecurityDescriptor sont pas prises en charge.

Pour en savoir plus sur le mode de construction des fichiers LDIF et consulter un exemple de fichier LDIF pouvant être utilisé pour tester les extensions de schéma AWS Microsoft AD gérées, consultez l'article [Comment étendre votre schéma de répertoire AWS Microsoft AD géré sur le blog de sécurité](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/). AWS 

**Étape suivante**

[Étape 2 : importer votre fichier LDIF](import.md)

# Étape 2 : importer votre fichier LDIF
<a name="import"></a>

Vous pouvez étendre votre schéma en important un fichier LDIF depuis la AWS Directory Service console ou à l'aide de l'API. Pour plus d'informations sur la procédure à suivre avec l'extension de schéma APIs, consultez la [https://docs.aws.amazon.com/directoryservice/latest/devguide/](https://docs.aws.amazon.com/directoryservice/latest/devguide/). Pour l'instant, AWS ne prend pas en charge les applications externes, telles que Microsoft Exchange, pour d'effectuer directement les mises à jour de schéma. 

**Important**  
Lorsque vous mettez à jour votre schéma d'annuaire Microsoft AD AWS géré, l'opération n'est pas réversible. En d'autres termes, une fois que vous avez créé une nouvelle classe ou un nouvel attribut, Active Directory ne vous permet pas de le supprimer. Cependant, vous pouvez la ou le désactiver.   
Si vous devez supprimer les modifications de schéma, une option consiste à restaurer l'annuaire à partir d'un instantané précédent. La restauration d'un instantané restaure à la fois le schéma et les données de l'annuaire à un point précédent, pas uniquement le schéma. Remarque : la durée maximale prise en charge pour un instantané est de 180 jours. Pour plus d'informations, veuillez consulter la section [Useful shelf life of a system-state backup of Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad) (français non garanti) sur le site web Microsoft.

Avant le début du processus de mise à jour, AWS Managed Microsoft AD prend un instantané pour conserver l'état actuel de votre annuaire.

**Note**  
Les extensions de schéma sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez [Configuration de la réplication multirégionale pour AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être effectuées dans [Région principale](multi-region-global-primary-additional.md#multi-region-primary). Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md).

**Pour importer votre fichier LDIF**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires).

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Détails de l'annuaire**, procédez de l'une des manières suivantes :
   + Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région principale, puis cliquez sur l'onglet **Maintenance**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
   + Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Maintenance**.

1. Dans la section**Schema extensions (Extensions de schéma)**, choisissez **Actions**, puis sélectionnez **Upload and update schema (Charger et mettre à jour le schéma)**.

1. Dans la boîte de dialogue, cliquez sur **Parcourir**, sélectionnez un fichier LDIF valide, saisissez une description, puis choisissez **Update Schema**.
**Important**  
L'extension du schéma est une opération critique. N'appliquez aucune mise à jour de schéma dans un environnement de production sans l'avoir d'abord testée avec votre application dans un environnement de développement ou de test.

## Comment le fichier LDIF est appliqué
<a name="howapplied"></a>

Une fois votre fichier LDIF chargé, Managed AWS Microsoft AD prend des mesures pour protéger votre répertoire contre les erreurs en appliquant les modifications dans l'ordre suivant. 

1. **Valide le fichier LDIF.** Étant donné que les scripts LDIF peuvent manipuler n'importe quel objet du domaine, AWS Managed Microsoft AD effectue des vérifications juste après le téléchargement pour s'assurer que l'opération d'importation n'échouera pas. Ces vérifications garantissent les points suivants :
   + Les objets à mettre à jour se trouvent uniquement dans le conteneur de schéma
   + La partie des DC (contrôleurs de domaine) correspond au nom du domaine dans lequel le script LDIF est en cours d'exécution

1. **Prend un instantané de votre annuaire.** Vous pouvez utiliser l'instantané pour restaurer votre annuaire au cas où vous rencontrez des problèmes avec votre application après la mise à jour du schéma. 

1. **Applique les modifications à un seul DC.** AWS Managed Microsoft AD isole l'un de vos contrôleurs DCs et applique les mises à jour du fichier LDIF au contrôleur de domaine isolé. Il sélectionne ensuite l'un de vos DCs schémas comme schéma principal, supprime ce contrôleur de domaine de la réplication de répertoire et applique votre fichier LDIF à l'aide de. `Ldifde.exe`

1. **La réplication s'applique à tous DCs.** AWS Managed Microsoft AD réintègre le contrôleur de domaine isolé à la réplication pour terminer la mise à jour. Pendant ce temps, votre annuaire continue de fournir l'Active Directory Service à vos applications sans interruption.

**Étape suivante**

[Étape 3 : vérifier si l'extension de schéma a réussi](verify.md)

# Étape 3 : vérifier si l'extension de schéma a réussi
<a name="verify"></a>

Lorsque vous avez terminé le processus d'importation, il est important de vérifier que les mises à jour de schéma ont été appliquées à votre annuaire. Cette étape est particulièrement importante avant de migrer ou mettre à jour toute application s'appuyant sur la mise à jour de schéma. Pour ce faire, utilisez différents outils LDAP ou écrivez un outil de test qui émet les commandes LDAP appropriées. 

Cette procédure utilise le composant logiciel enfichable du schéma Active Directory and/or PowerShell pour vérifier que les mises à jour du schéma ont été appliquées. Vous devez exécuter ces outils à partir d'un ordinateur joint au domaine à votre AWS Managed Microsoft AD. Il peut s'agir d'un serveur Windows en cours d'exécution dans votre réseau sur site avec accès à votre Virtual Private Cloud (VPC) ou via une connexion de réseau privé virtuel (VPN). Vous pouvez également exécuter ces outils sur une instance Windows Amazon EC2 (consultez [Comment lancer une nouvelle instance EC2 avec une jonction de domaine continue](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console)).

**Pour vérifier à l'aide du composant logiciel enfichable du schéma Active Directory**

1. Installez le composant logiciel enfichable du schéma Active Directory en suivant les instructions du site [TechNet](https://technet.microsoft.com/en-us/library/cc732110.aspx)Web. 

1. Ouvrez la Microsoft Management Console (MMC) et développez l'arborescence **Schéma AD** pour votre annuaire. 

1. Parcourez les dossiers **Classes** et **Attributs** jusqu'à ce que vous trouviez les modifications de schéma que vous avez fait précédemment.

**Pour vérifier en utilisant PowerShell**

1. Ouvrez une PowerShell fenêtre.

1. Utilisez l'applet de commande `Get-ADObject` comme illustré ci-dessous pour vérifier la modification de schéma. Par exemple :

   `get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *`

**Étape facultative**

[Ajouter une valeur au nouvel attribut - Facultatif](addvalue.md)

# Ajouter une valeur au nouvel attribut - Facultatif
<a name="addvalue"></a>

Utilisez cette étape facultative lorsque vous avez créé un nouvel attribut et que vous souhaitez ajouter une nouvelle valeur à l'attribut dans votre annuaire Microsoft AD AWS géré.

**Pour ajouter une valeur à un attribut**

1. Ouvrez l'utilitaire de ligne de PowerShell commande et définissez le nouvel attribut à l'aide de la commande suivante. Dans cet exemple, nous allons ajouter une nouvelle valeur EC2 InstanceID à l'attribut d'un ordinateur spécifique.

   `PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID = 'EC2 instance ID'}`

1. Vous pouvez vérifier si la valeur EC2 InstanceID a été ajoutée à l'objet ordinateur en exécutant la commande suivante :

   `PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID`

# Ressources connexes
<a name="additional"></a>

Les liens de ressource suivants se trouvent sur le site web Microsoft et fournissent des informations connexes. 

 
+ [Extension du schéma (Windows)](https://msdn.microsoft.com/en-us/library/ms676900(v=vs.85).aspx)
+ [Schéma Active Directory (Windows)](https://msdn.microsoft.com/en-us/library/ms674984(v=vs.85).aspx)
+ [Schéma Active Directory](https://technet.microsoft.com/en-us/library/cc961581.aspx)
+ [Administration Windows : Extension du schéma Active Directory](https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5)
+ [Restrictions sur l'extension du schéma (Windows)](https://msdn.microsoft.com/en-us/library/ms677924(v=vs.85).aspx)
+ [Ldifde](https://technet.microsoft.com/en-us/library/cc731033(v=ws.11).aspx)