AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

步骤 1:创建 LDIF 文件

LDIF 文件是用于表示 LDAP (轻量目录访问协议) 目录内容和更新请求的标准纯文本数据交换格式。LDIF 将目录内容作为一组记录来传递,每个对象 (或条目) 对应一条记录。它将更新请求 (如添加、修改、删除和重命名) 也表示为一组记录,每个更新请求对应一条记录。

AWS Directory Service 通过对 AWS Managed Microsoft AD 目录运行 ldifde.exe 应用程序来导入包含架构更改的 LDIF 文件。因此,您会发现理解 LDIF 脚本语法很有帮助。有关更多信息,请参阅 LDIF 脚本

多种第三方 LDIF 工具均可提取、清理和更新您的架构更新。无论您使用哪种工具,都要了解 LDIF 文件中使用的所有标识符都必须唯一,这一点很重要。

强烈建议您在创建自己的 LDIF 文件之前先查看以下概念和提示。

  • 架构元素 – 了解架构元素,如属性、类、对象 ID 和关联属性。有关更多信息,请参阅架构元素

  • 项目序列 – 确保 LDIF 文件中的项目布局顺序自上而下按照目录信息树 (DIT) 进行。LDIF 文件中确定顺序的一般规则如下:

    • 各项目之间以空白行分隔。

    • 子项目列在其父项目之后。

    • 确保架构中存在属性或对象类等项目。如果不存在,则必须先将其添加到架构中,然后才能使用。例如,在将属性分配给类之前,必须先创建该属性。

  • DN 的格式 – 对于 LDIF 文件中的每个新指令,将可分辨名称 (DN) 定义为指令的第一行。DN 在 Active Directory 对象树中标识 Active Directory 对象,并且必须包含目录的域组件。例如,在本教程中,目录的域组件为 DC=example,DC=com

    DN 还必须包含 Active Directory 对象的公用名 (CN)。第一个 CN 条目是属性或类名称。接下来,必须使用 CN=Schema,CN=Configuration。此 CN 可确保您能够扩展 Active Directory 架构。如前所述,您无法添加或修改 Active Directory 对象的内容。DN 的一般格式如下所示。

    dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]

    在本教程中,新 Shoe-Size 属性的 DN 类似于:

    dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
  • 警告 – 请在扩展架构前查看下面的警告。

    • 在扩展 Active Directory 架构之前,必须先查看 Microsoft 有关此操作的影响的警告。有关更多信息,请参阅在扩展架构之前需要了解的事项

    • 您不能删除架构属性或类。因此,如果您犯了错误且不想从备份中还原,则只能禁用该对象。有关更多信息,请参阅禁用现有的类和属性

要了解有关 LDIF 文件构造方式的更多信息并查看可用于测试 AWS Managed Microsoft AD 架构扩展的示例 LDIF 文件,请参阅 AWS 安全博客中的文章如何扩展 AWS Managed Microsoft AD 目录架构

下一步

步骤 2:导入 LDIF 文件