

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Tutorial: Estendendo seu esquema AWS gerenciado do Microsoft AD
<a name="ms_ad_tutorial_extend_schema"></a>

Neste tutorial, você aprenderá como estender o esquema do AWS diretório Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, adicionando *atributos* e *classes* exclusivos que atendam aos seus requisitos específicos. AWS As extensões de esquema gerenciadas do Microsoft AD só podem ser carregadas e aplicadas usando um arquivo de script LDIF (Lightweight Directory Interchange Format) válido.

Os atributos (attributeSchema) definem os campos no banco de dados, enquanto as classes (classSchema) definem as tabelas no banco de dados. Por exemplo, todos os objetos de usuário no Active Directory estão definidos pela classe de esquema *User*, enquanto as propriedades individuais do usuário, como endereço de e-mail ou número de telefone, são definidas por um atributo. 

Se você quiser adicionar uma nova propriedade, como Shoe-Size, seria preciso definir um novo atributo do tipo *integer*. Você também pode definir limites inferior e superior, como 1 a 20. Após o objeto attributeSchema Shoe-Size ser criado, você alteraria o objeto de classSchema *User* para conter o atributo. Atributos podem ser vinculados a várias classes. O Shoe-Size também poderia ser adicionado à classe *Contact*, por exemplo. Para obter mais informações sobre esquemas do Active Directory, consulte [Quando estender seu esquema AWS gerenciado do Microsoft AD](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend).

Esse fluxo de trabalho tem três etapas básicas. 

![\[Diagrama mostrando as etapas do tutorial: 1 criar um arquivo LDIF, 2 importar o arquivo LDIF e 3 verificar as alterações no esquema.\]](http://docs.aws.amazon.com/pt_br/directoryservice/latest/admin-guide/images/tutorialextendadschema.png)


**[Etapa 1: criar seu arquivo LDIF](create.md)**  
Primeiro, crie um arquivo LDIF e defina os novos atributos e todas as classes aos quais os atributos devem ser adicionados. Você usa esse arquivo para a próxima fase do trabalho.

**[Etapa 2: importar seu arquivo LDIF](import.md)**  
Nesta etapa, você usa o AWS Directory Service console para importar o arquivo LDIF para seu ambiente Microsoft Active Directory.

**[Etapa 3: verificar se a extensão do esquema obteve êxito](verify.md)**  
Por fim, como administrador, você usa uma instância do EC2 para verificar se as novas extensões são exibidas no snap-in do esquema do Active Directory.

# Etapa 1: criar seu arquivo LDIF
<a name="create"></a>

Um arquivo LDIF é um formato de intercâmbio de dados de texto simples padrão para representar o conteúdo do diretório do [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) e atualizar solicitações. O LDIF transporta conteúdo do diretório como conjunto de registros, um registro para cada objeto (ou entrada). Isso também representa solicitações de atualização, como Adicionar, Modificar, Excluir e Renomear, como um conjunto de registros – um registro para cada solicitação de atualização. 

As AWS Directory Service importações do arquivo LDIF com as alterações de esquema ao executar o `ldifde.exe` aplicativo em seu diretório gerenciado do AWS Microsoft AD. Portanto, você achará útil entender a sintaxe do script em LDIF. Para obter mais informações, consulte [Scripts em LDIF](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx). 

Diversas ferramentas de LDIF de terceiros podem extrair, limpar e atualizar suas atualizações do esquema. Independentemente da ferramenta a ser usada, é importante compreender que todos os identificadores usados no arquivo LDIF devem ser exclusivos. 

Recomendamos enfaticamente que você revise os conceitos e dicas a seguir antes de criar seu arquivo LDIF.
+ **Elementos do esquema** — Saiba mais sobre os elementos do esquema, como atributos, classes IDs, objetos e atributos vinculados. Para obter mais informações, consulte [Elementos do esquema](ms_ad_key_concepts.md#ms_ad_schema_elements).
+ **Sequência itens**: certifique-se de que a ordem na qual os itens do seu arquivo LDIF são apresentados segue a [Directory Information Tree (DIT)](https://en.wikipedia.org/wiki/Directory_information_tree) de cima para baixo. As regras gerais para o sequenciamento em um arquivo LDIF incluem o seguinte: 

   
  + Itens separados com uma linha em branco.
  + Liste os itens-filho de lista após os itens-pai. 
  + Verifique se itens como atributos ou classes de objeto existem no esquema. Se não estiverem presentes, será preciso adicioná-los ao esquema antes de serem usados. Por exemplo, antes de você atribuir um atributo a uma classe, o atributo deverá ser criado. 
+ **Formato do DN**: para cada instrução nova no arquivo LDIF, defina o nome diferenciado (DN) como a primeira linha da instrução. O DN identifica um objeto do Active Directory dentro da árvore de objeto do Active Directory e deve conter os componentes de domínio do diretório. Por exemplo, os componentes de domínio do diretório neste tutorial são `DC=example,DC=com`.

  O DN deve incluir o nome comum (CN) do objeto do Active Directory. A primeira entrada de CN representa o nome de classe ou atributo. Para estender o esquema do Active Directory, use `CN=Schema,CN=Configuration`. Lembre-se de que você não pode modificar o conteúdo do objeto do Active Directory. O formato geral do DN vem a seguir.

  ```
  dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
  ```

  Para este tutorial, o DN para o novo atributo Shoe-Size seria da seguinte forma:

  ```
  dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
  ```
+ **Avisos** – Reveja os avisos abaixo antes de ampliar seu esquema.
  + Antes de você estender seu esquema do Active Directory, é importante analisar os avisos da Microsoft sobre o impacto dessa operação. Para obter mais informações, consulte [O que você precisa saber antes de ampliar o esquema](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx).
  + Você não pode excluir um atributo nem uma classe do esquema. Portanto, se cometer um erro e não quiser restaurar a partir backup, só poderá desabilitar o objeto. Para mais informações, consulte [Desabilitação de classes e atributos existentes](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx).
  + As alterações em não defaultSecurityDescriptor são suportadas.

Para saber mais sobre como os arquivos LDIF são criados e ver um exemplo de arquivo LDIF que pode ser usado para testar extensões do esquema gerenciado AWS do Microsoft AD, consulte o artigo [Como estender seu esquema de diretório gerenciado do AWS Microsoft AD](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/) no blog de segurança. AWS 

**Próxima etapa**

[Etapa 2: importar seu arquivo LDIF](import.md)

# Etapa 2: importar seu arquivo LDIF
<a name="import"></a>

Você pode estender seu esquema importando um arquivo LDIF do AWS Directory Service console ou usando a API. Para obter mais informações sobre como fazer isso com a extensão do esquema APIs, consulte a [https://docs.aws.amazon.com/directoryservice/latest/devguide/](https://docs.aws.amazon.com/directoryservice/latest/devguide/). No momento, a AWS não oferece suporte a aplicativos externos, como Microsoft Exchange, para executar diretamente atualizações do esquema. 

**Importante**  
Quando você faz uma atualização no esquema de diretório AWS gerenciado do Microsoft AD, a operação não é reversível. Em outras palavras: assim que você criar uma classe ou um atributo novos, o Active Directory não permitirá que você os remova. No entanto, você poderá desabilitá-lo.   
Se você precisar excluir as alterações do esquema, uma opção é restaurar o diretório de um snapshot anterior. Restaurar um snapshot rola tanto o esquema quanto os dados do diretório de volta para um ponto anterior, não apenas o esquema. Observe que a idade máxima aceita para um snapshot é 180 dias. Para obter mais informações, consulte [Prazo de validade útil de um backup de estado do sistema do Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad) no site da Microsoft.

Antes do início do processo de atualização, o AWS Managed Microsoft AD tira um instantâneo para preservar o estado atual do seu diretório.

**nota**  
As extensões de esquema são um recurso global do AWS Managed Microsoft AD. Se você estiver usando o [Configurar a replicação multirregional para o AWS Microsoft AD gerenciado](ms_ad_configure_multi_region_replication.md), os procedimentos a seguir deverão ser executados no [Região principal](multi-region-global-primary-additional.md#multi-region-primary). As alterações serão aplicadas automaticamente em todas as regiões replicadas. Para obter mais informações, consulte [Recursos globais versus regionais](multi-region-global-region-features.md).

**Para importar seu arquivo LDIF**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Detalhes do diretório**, siga um destes procedimentos:
   + Se houver várias regiões exibidas em **Replicação em várias regiões**, selecione a região principal e, em seguida, escolha a guia **Manutenção**. Para obter mais informações, consulte [Regiões principais versus adicionais](multi-region-global-primary-additional.md).
   + Se não houver nenhuma região exibida em **Replicação em várias regiões**, escolha a guia **Manutenção**.

1. Na seção **Schema extensions (Extensões do esquema)**, selecione **Actions (Ações)** e selecione **Upload and update schema (Carregar e atualizar esquema)**.

1. Na caixa de diálogo, clique em **Browse**, selecione um arquivo LDIF válido, digite uma descrição e escolha **Update Schema**.
**Importante**  
Estender o esquema é uma operação essencial. Não aplique nenhuma atualização do esquema no ambiente de produção sem primeiro testá-lo com a aplicação em um ambiente de desenvolvimento ou de teste.

## Como o arquivo LDIF é aplicado
<a name="howapplied"></a>

Após o upload do arquivo LDIF, o AWS Managed Microsoft AD toma medidas para proteger seu diretório contra erros, pois aplica as alterações na seguinte ordem. 

1. **Valida o arquivo LDIF.** Como os scripts LDIF podem manipular qualquer objeto no domínio, o Managed AWS Microsoft AD executa verificações logo após o upload para ajudar a garantir que a operação de importação não falhe. Isso inclui verificações para garantir o seguinte:
   + Os objetos a serem atualizados são mantidos somente no contêiner do esquema
   + A parte DC (controladores de domínio) corresponde ao nome de domínio onde o script de LDIF está sendo executado

1. **Faz um snapshot do seu diretório.** Você pode usar o snapshot para restaurar seu diretório no caso de encontra problemas com seu aplicativo após atualizar o esquema. 

1. **Aplica as alterações a um único DC.** AWS O Microsoft AD gerenciado isola um dos seus DCs e aplica as atualizações no arquivo LDIF ao DC isolado. Em seguida, ele seleciona um dos seus DCs para ser o esquema principal, remove esse DC da replicação de diretórios e aplica seu arquivo LDIF usando. `Ldifde.exe`

1. **A replicação ocorre para todos DCs.** AWS O Microsoft AD gerenciado adiciona o DC isolado novamente à replicação para concluir a atualização. Quando isso tudo estiver acontecendo, seu diretório continuará a prestar o serviço do Active Directory aos seus aplicativos sem interrupções.

**Próxima etapa**

[Etapa 3: verificar se a extensão do esquema obteve êxito](verify.md)

# Etapa 3: verificar se a extensão do esquema obteve êxito
<a name="verify"></a>

Depois de concluir o processo de importação, é importante verificar se as atualizações do esquema foram aplicadas ao diretório. Isso é especialmente crítico antes de migrar ou atualizar qualquer aplicativo que depende da atualização do esquema. Você pode fazer isso usando uma variedade de ferramentas diferentes de LDAP ou gravando uma ferramenta de teste que emita os comandos LDAP apropriados. 

Esse procedimento usa o Snap-in do Esquema do Active Directory and/or PowerShell para verificar se as atualizações do esquema foram aplicadas. Você deve executar essas ferramentas em um computador que esteja associado ao seu Microsoft AD AWS gerenciado. Isso pode ser um Windows Server em execução na sua rede on-premises com acesso à sua nuvem privada virtual (VPC) ou por meio de uma conexão de rede privada virtual (VPN). Você também pode executar essas ferramentas em uma instância Windows do Amazon EC2 (consulte [Como executar uma nova instância do EC2 com associação direta a um domínio](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console)).

**Para verificar usando o snap-in do esquema do Active Directory**

1. Instale o Snap-In do Esquema do Active Directory usando as instruções no site. [TechNet](https://technet.microsoft.com/en-us/library/cc732110.aspx) 

1. Abra o Microsoft Management Console (MMC) e expanda a árvore **AD Schema** para o seu diretório. 

1. Navegue nas pastas **Classes** e **Attributes** até encontrar as alterações do esquema feitas anteriormente.

**Para verificar usando PowerShell**

1. Abra uma PowerShell janela.

1. Use o cmdlet `Get-ADObject` como mostrado abaixo para verificar a alteração do esquema. Por exemplo:

   `get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *`

**Etapa opcional**

[Adição de um valor ao novo atributo: opcional](addvalue.md)

# Adição de um valor ao novo atributo: opcional
<a name="addvalue"></a>

Use essa etapa opcional quando tiver criado um novo atributo e quiser adicionar um novo valor ao atributo em seu diretório AWS gerenciado do Microsoft AD.

**Para adicionar um valor a um atributo**

1. Abra o utilitário da linha de comando do PowerShell e defina o novo atributo com o comando a seguir. Neste exemplo, adicionaremos um novo valor de EC2 instanceID ao atributo de um computador específico.

   `PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID = 'EC2 instance ID'}`

1. Você pode validar se o valor EC2 InstanceID foi adicionado ao objeto do computador executando o seguinte comando:

   `PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID`

# Recursos relacionados
<a name="additional"></a>

Os links de recursos a seguir estão localizados no site da Microsoft e fornecem informações relacionadas. 

 
+ [Estendendo o esquema (Windows)](https://msdn.microsoft.com/en-us/library/ms676900(v=vs.85).aspx)
+ [Esquema do Active Directory (Windows)](https://msdn.microsoft.com/en-us/library/ms674984(v=vs.85).aspx)
+ [Esquema do Active Directory](https://technet.microsoft.com/en-us/library/cc961581.aspx)
+ [Administração do Windows: Estendendo o Active Directory Schema](https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5)
+ [Restrições sobre a extensão do esquema (Windows)](https://msdn.microsoft.com/en-us/library/ms677924(v=vs.85).aspx)
+ [Ldifde](https://technet.microsoft.com/en-us/library/cc731033(v=ws.11).aspx)