本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 1:创建 LDIF 文件 LDIF 文件是用于表示 [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) (轻量目录访问协议) 目录内容和更新请求的标准纯文本数据交换格式。LDIF 将目录内容作为一组记录来传递,每个对象 (或条目) 对应一条记录。它将更新请求 (如添加、修改、删除和重命名) 也表示为一组记录,每个更新请求对应一条记录。 通过在 AWS Directory Service 托管 AWS Microsoft AD 目录上运行`ldifde.exe`应用程序,导入带有架构更改的 LDIF 文件。因此,您会发现理解 LDIF 脚本语法很有帮助。有关更多信息,请参阅 [LDIF 脚本](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx)。 多种第三方 LDIF 工具均可提取、清理和更新您的架构更新。无论您使用哪种工具,都要了解 LDIF 文件中使用的所有标识符都必须唯一,这一点很重要。 强烈建议您在创建自己的 LDIF 文件之前先查看以下概念和提示。 + **架构元素**-了解架构元素,例如属性、类 IDs、对象和链接属性。有关更多信息,请参阅 [架构元素](ms_ad_key_concepts.md#ms_ad_schema_elements)。 + **项目序列** – 确保 LDIF 文件中的项目布局顺序自上而下按照[目录信息树(DIT)](https://en.wikipedia.org/wiki/Directory_information_tree)进行。LDIF 文件中确定顺序的一般规则如下: + 各项目之间以空白行分隔。 + 子项目列在其父项目之后。 + 确保架构中存在属性或对象类等项目。如果不存在,则必须先将其添加到架构中,然后才能使用。例如,在将属性分配给类之前,必须先创建该属性。 + **DN 的格式** – 对于 LDIF 文件中的每个新指令,将可分辨名称 (DN)定义为指令的第一行。DN 在 Active Directory 对象树中标识 Active Directory 对象,并且必须包含目录的域组件。例如,在本教程中,目录的域组件为 `DC=example,DC=com`。 DN 还必须包含 Active Directory 对象的公用名(CN)。第一个 CN 条目代表属性或类名称。要扩展 Active Directory 架构,请使用 `CN=Schema,CN=Configuration`。请记住,不能修改 Active Directory 对象内容。DN 的一般格式如下所示。 ``` dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name] ``` 在本教程中,新 Shoe-Size 属性的 DN 类似于: ``` dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com ``` + **警告** – 请在扩展架构前查看下面的警告。 + 在扩展 Active Directory 架构之前,必须先查看 Microsoft 有关此操作的影响的警告。有关更多信息,请参阅[在扩展架构之前需要了解的事项](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx)。 + 您不能删除架构属性或类。因此,如果您犯了错误且不想从备份中还原,则只能禁用该对象。有关更多信息,请参阅[禁用现有的类和属性](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx)。 + 不支持 defaultSecurityDescriptor 对的更改。 要详细了解如何构建 LDIF 文件并查看可用于测试托管 AWS Microsoft AD 架构扩展的 LDIF 文件示例,请参阅安全博客上的 “[如何扩展托管 AWS Microsoft AD 目录架构”](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/) 一文。 AWS **下一步** [步骤 2:导入 LDIF 文件](import.md)