Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tutorial: estensione dello schema AWS Managed Microsoft AD
<a name="ms_ad_tutorial_extend_schema"></a>

In questo tutorial, imparerai come estendere lo schema della tua AWS directory Directory Service for Microsoft Active Directory, nota anche come AWS Managed Microsoft AD, aggiungendo *attributi* e *classi* univoci che soddisfano i tuoi requisiti specifici. AWS Le estensioni dello schema Microsoft AD gestite possono essere caricate e applicate solo utilizzando un file di script LDIF (Lightweight Directory Interchange Format) valido.

Gli attributi (attributeSchema) definiscono i campi nel database mentre le classi (classSchema) definiscono le tabelle nel database. Ad esempio, tutti gli oggetti utente in Active Directory sono definiti dalla classe di schema *user*, mentre le singole proprietà di un utente, come l'indirizzo e-mail o il numero di telefono, sono definite da un attributo. 

Se desideri aggiungere una nuova proprietà, ad esempio Dimensione-piede, dovrai definire un nuovo attributo, che sarebbe di tipo *integer*. Puoi anche definire limiti superiore e inferiore, ad esempio da 1 a 20. Una volta creato l'oggetto attributeSchema Dimensione-piede, devi modificare l'oggetto classSchema *utente* per contenere tale attributo. Gli attributi possono essere collegati a più classi. Ad esempio, Dimensione-piede può anche essere aggiunto alla classe *contatto*. Per ulteriori informazioni sugli schemi Active Directory, consulta [Quando estendere lo schema AWS Managed Microsoft AD](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend).

Questo flusso di lavoro ha tre fasi di base. 

![\[Diagramma che mostra i passaggi del tutorial: 1 creare un file LDIF, 2 importare il file LDIF e 3 verificare le modifiche allo schema.\]](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/tutorialextendadschema.png)


**[Fase 1: creazione del file LDIF](create.md)**  
In primo luogo, devi creare un file LDIF e definire i nuovi attributi e le classi a cui gli attributi devono essere aggiunti. Puoi usare questo file per la prossima fase del flusso di lavoro.

**[Fase 2: importazione del file LDIF](import.md)**  
In questo passaggio, si utilizza la AWS Directory Service console per importare il file LDIF nell'ambiente Microsoft Active Directory.

**[Fase 3: verifica della corretta esecuzione dell'estensione dello schema](verify.md)**  
Infine, come amministratore, utilizzi un'istanza EC2 per verificare che le nuove estensioni vengano visualizzate nello snap-in Active Directory Schema (Schema Active Directory).

# Fase 1: creazione del file LDIF
<a name="create"></a>

Un file LDIF è un formato standard per lo scambio di dati in testo semplice per rappresentare il contenuto della directory [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) (Lightweight Directory Access Protocol) e le richieste di aggiornamento. LDIF trasmette il contenuto della directory come un insieme di record, un record per ogni oggetto (o voce). Rappresenta anche le richieste di aggiornamento, come Add (Aggiungi), Modify (Modifica), Delete (Elimina) e Rename (Rinomina), come insieme di record, un record per ogni richiesta di aggiornamento. 

 AWS Directory Service Importa il file LDIF con le modifiche dello schema eseguendo l'`ldifde.exe`applicazione nella directory Managed AWS Microsoft AD. Pertanto, sarà utile comprendere la sintassi dello script LDIF. Per ulteriori informazioni, consulta la sezione relativa alle [LDIF Scripts](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx). 

Diversi strumenti LDIF di terze parti possono estrarre, ripulire e aggiornare gli aggiornamenti dello schema. Indipendentemente dallo strumento che utilizzi, è importante capire che tutti gli identificatori utilizzati nel file LDIF devono essere unici. 

Consigliamo vivamente di rivedere i seguenti concetti e suggerimenti prima di creare il file LDIF.
+ **Elementi dello schema**: scopri gli elementi dello schema come attributi, classi IDs, oggetti e attributi collegati. Per ulteriori informazioni, consulta [Elementi dello schema](ms_ad_key_concepts.md#ms_ad_schema_elements).
+ **Sequenza di elementi**: assicurati che l'ordine in cui sono disposti gli elementi nel file LDIF segua il [Directory Information Tree (DIT)](https://en.wikipedia.org/wiki/Directory_information_tree) dall'alto verso il basso. Le regole generali per il sequenziamento in un file LDIF includono quanto segue: 

   
  + Separare gli elementi con una riga vuota.
  + Elencare gli elementi figlio dopo i loro elementi padre. 
  + Verificare che gli elementi, come attributi o classi di oggetti, esistano nello schema. Se non sono presenti, devi aggiungerli allo schema prima che possa essere utilizzato. Ad esempio, prima di poter assegnare un attributo a una classe, l'attributo deve essere creato. 
+ **Formato del DN**: per ogni nuova istruzione nel file LDIF, definisci il nome distinto (DN) come prima riga dell'istruzione. Il DN identifica un oggetto Active Directory all'interno dell'albero dell'oggetto Active Directory e deve contenere i componenti del dominio per la directory. Ad esempio, i componenti del dominio per la directory in questo tutorial sono `DC=example,DC=com`.

  Il DN deve includere il nome comune (CN) dell'oggetto Active Directory. La prima voce CN rappresenta l'attributo o il nome della classe. Per estendere lo schema di Active Directory, utilizzare`CN=Schema,CN=Configuration`. Ricorda che non puoi modificare il contenuto degli oggetti Active Directory. Segue il formato DN generale.

  ```
  dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
  ```

  Per questo tutorial, il DN per il nuovo attributo Dimensione-piede sarà simile a:

  ```
  dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
  ```
+ **Avvisi**: esamina gli avvisi di seguito prima di estendere lo schema.
  + Prima di estendere lo schema Active Directory, è importante esaminare gli avvisi di Microsoft sull'impatto di questa operazione. Per ulteriori informazioni, consulta [What You Must Know Before Extending the Schema](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx) (Che cosa sapere prima di estendere lo schema).
  + Non puoi eliminare un attributo o una classe dello schema. Pertanto, se si commette un errore e non si desidera eseguire il ripristino dal backup, è possibile solo disabilitare l'oggetto. Per ulteriori informazioni, consulta [Disabling Existing Classes and Attributes](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx) (Disabilitazione degli attributi e delle classi esistenti).
  + Le modifiche a non defaultSecurityDescriptor sono supportate.

Per ulteriori informazioni su come vengono costruiti i file LDIF e vedere un file LDIF di esempio che può essere utilizzato per testare le estensioni dello schema di AWS Microsoft AD gestito, consulta l'articolo [How to Extension your Managed AWS Microsoft AD Directory Schema](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/) sul Security Blog. AWS 

**Fase successiva**

[Fase 2: importazione del file LDIF](import.md)

# Fase 2: importazione del file LDIF
<a name="import"></a>

È possibile estendere lo schema importando un file LDIF dalla AWS Directory Service console o utilizzando l'API. [https://docs.aws.amazon.com/directoryservice/latest/devguide/](https://docs.aws.amazon.com/directoryservice/latest/devguide/) Al momento, AWS non supporta applicazioni esterne, come Microsoft Exchange, per eseguire direttamente gli aggiornamenti dello schema. 

**Importante**  
Quando si effettua un aggiornamento allo schema della directory AWS Managed Microsoft AD, l'operazione non è reversibile. In altre parole, una volta creata una nuova classe o attributo, Active Directory non consente di rimuoverla. Tuttavia, è possibile effettuarne la disabilitazione.   
Se devi eliminare le modifiche allo schema, un'opzione è il ripristino della directory da una snapshot precedente. Il ripristino di una snapshot riporta lo schema e i dati della directory a un punto precedente, non riguarda solo lo schema. Nota, l'età massima supportata di uno snapshot è di 180 giorni. Per ulteriori informazioni, consulta [Useful shelf life of a system-state backup of Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad) nel sito Web Microsoft.

Prima dell'inizio del processo di aggiornamento, AWS Managed Microsoft AD scatta un'istantanea per preservare lo stato corrente della directory.

**Nota**  
Le estensioni dello schema sono una funzionalità globale di AWS Managed Microsoft AD. Se utilizzi [Configurazione della replica multiarea per Managed AWS Microsoft AD](ms_ad_configure_multi_region_replication.md), è necessario eseguire le seguenti procedure in [Regione principale](multi-region-global-primary-additional.md#multi-region-primary). Le modifiche verranno applicate automaticamente in tutte le Regioni replicate. Per ulteriori informazioni, consulta [Funzionalità globali e regionali](multi-region-global-region-features.md).

**Per importare il file LDIF**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Nella pagina **Directories** (Directory), scegli l'ID della directory.

1. Nella pagina **Dettaglio report**, procedi in uno dei seguenti modi:
   + Se nella sezione **Replica multiregione** sono visualizzate più Regioni, seleziona quella principale, quindi scegli la scheda **Manutenzione**. Per ulteriori informazioni, consulta [Regioni primarie e regioni aggiuntive](multi-region-global-primary-additional.md).
   + Se non hai alcuna regione visualizzata in **Replica multi regione**, scegli la scheda **Manutenzione**.

1. Nella sezione **Schema extensions (Estensioni dello schema)**, seleziona **Actions (Azioni)**, quindi scegli **Upload and update schema (Carica e aggiorna schema)**.

1. Nella finestra di dialogo, fai clic su **Browse** (Cerca), seleziona un file LDIF valido, digita una descrizione e quindi scegli **Update Schema** (Aggiorna schema).
**Importante**  
Estendere lo schema è un'operazione critica. Non applicate alcun aggiornamento dello schema nell'ambiente di produzione senza prima averlo testato con l'applicazione in un ambiente di sviluppo o di test.

## Come si applica il file LDIF
<a name="howapplied"></a>

Dopo il caricamento del file LDIF, Managed AWS Microsoft AD adotta misure per proteggere la directory dagli errori in quanto applica le modifiche nell'ordine seguente. 

1. **Convalida il file LDIF.** Poiché gli script LDIF possono manipolare qualsiasi oggetto nel dominio, Managed AWS Microsoft AD esegue controlli subito dopo il caricamento per garantire che l'operazione di importazione non abbia esito negativo. Questi includono anche controlli per garantire quanto segue:
   + Gli oggetti da aggiornare sono conservati solo nel container dello schema
   + La parte DC (controller dei domini) corrisponde al nome del dominio in cui è in esecuzione lo script LDIF

1. **Acquisisce una snapshot della directory.** Puoi usare la snapshot per ripristinare la directory in caso di problemi con l'applicazione dopo aver aggiornato lo schema. 

1. **Applica le modifiche a un singolo DC.** AWS Microsoft AD gestito isola uno dei tuoi DCs e applica gli aggiornamenti nel file LDIF al controller di dominio isolato. Quindi seleziona uno dei tuoi DCs schemi come schema principale, rimuove il controller di dominio dalla replica delle directory e applica il file LDIF utilizzando. `Ldifde.exe`

1. **La replica avviene per tutti. DCs** AWS Microsoft AD gestito aggiunge nuovamente il DC isolato alla replica per completare l'aggiornamento. Mentre ciò accade, la directory continua a fornire senza interruzioni il servizio Active Directory alle applicazioni.

**Approfondimenti**

[Fase 3: verifica della corretta esecuzione dell'estensione dello schema](verify.md)

# Fase 3: verifica della corretta esecuzione dell'estensione dello schema
<a name="verify"></a>

Dopo aver completato il processo di importazione, è importante verificare che gli aggiornamenti dello schema siano stati applicati alla directory. Questo è particolarmente importante prima di migrare o aggiornare qualsiasi applicazione che si basa sull'aggiornamento dello schema. Puoi farlo utilizzando una serie di strumenti LDAP o scrivendo uno strumento di test che emette i comandi LDAP appropriati. 

Questa procedura utilizza lo snap-in dello schema di Active Directory and/or PowerShell per verificare che gli aggiornamenti dello schema siano stati applicati. È necessario eseguire questi strumenti da un computer che fa parte del dominio appartenente al proprio AWS Managed Microsoft AD. Può trattarsi di un server Windows in esecuzione nella rete locale con accesso al cloud privato virtuale (VPC) o tramite una connessione VPN (Virtual Private Network). Puoi anche eseguire questi strumenti su un'istanza Amazon EC2 Windows (consulta [Come avviare una nuova istanza EC2 tramite l'aggiunta ottimizzata del dominio](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console)).

**Per verificare tramite lo snap-in Active Directory Schema (Schema Active Directory)**

1. Installa lo schema Snap-In di Active Directory seguendo le istruzioni sul [TechNet](https://technet.microsoft.com/en-us/library/cc732110.aspx)sito Web. 

1. Apri Microsoft Management Console (MMC) ed espandi l'albero **AD Schema** (Schema AD) per la directory. 

1. Esplora le cartelle **Classes** (Classi) e **Attributes** (Attributi) fino a trovare le modifiche dello schema apportate in precedenza.

**Per verificare utilizzando PowerShell**

1. Aprire una PowerShell finestra.

1. Utilizza il cmdlet `Get-ADObject` come mostrato di seguito per verificare la modifica dello schema. Esempio:

   `get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *`

**Fase facoltativa**

[Aggiungere un valore al nuovo attributo - Facoltativo](addvalue.md)

# Aggiungere un valore al nuovo attributo - Facoltativo
<a name="addvalue"></a>

Utilizza questo passaggio facoltativo quando hai creato un nuovo attributo e desideri aggiungere un nuovo valore all'attributo nella directory AWS Managed Microsoft AD.

**Per aggiungere un valore a un attributo**

1. Apri l'utilità della riga di PowerShell comando e imposta il nuovo attributo con il comando seguente. In questo esempio, aggiungeremo un nuovo valore EC2 InstanceID all'attributo per un computer specifico.

   `PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID = 'EC2 instance ID'}`

1. È possibile verificare se il valore EC2 InstanceID è stato aggiunto all'oggetto computer eseguendo il comando seguente:

   `PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID`

# Risorse correlate
<a name="additional"></a>

I seguenti collegamenti alle risorse si trovano sul sito Web di Microsoft e forniscono informazioni correlate. 

 
+ [Extending the Schema (Windows) (Estensione dello schema (Windows))](https://msdn.microsoft.com/en-us/library/ms676900(v=vs.85).aspx)
+ [Active Directory Schema (Windows) (Schema Active Directory (Windows))](https://msdn.microsoft.com/en-us/library/ms674984(v=vs.85).aspx)
+ [Active Directory Schema (Schema Active Directory)](https://technet.microsoft.com/en-us/library/cc961581.aspx)
+ [Amministrazione di Windows: Estensione dello schema di Active Directory](https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5)
+ [Restrictions on Schema Extension (Windows) (Restrizioni sull'estensione dello schema (Windows))](https://msdn.microsoft.com/en-us/library/ms677924(v=vs.85).aspx)
+ [Ldifde](https://technet.microsoft.com/en-us/library/cc731033(v=ws.11).aspx)