En esta página, se describe cómo funciona la extensión de esquema en el servicio administrado para Microsoft Active Directory.
Descripción general
Active Directory usa un esquema para organizar y almacenar los datos del directorio. El esquema de AD define las clases de objetos y sus atributos que se usan para almacenar los datos del directorio.
Puedes usar extensiones de esquema para realizar cambios de esquema y habilitar la compatibilidad para aplicaciones que dependen de clases o atributos específicos en Active Directory.
Puedes ampliar el esquema de AD predeterminado; para ello, define clases y atributos nuevos o modifica las definiciones o propiedades de las clases y los atributos existentes. Microsoft AD administrado te permite extender el esquema con un archivo de formato de intercambio de datos LDAP (LDIF) que contiene comandos para cambios de esquema. Para obtener más información, consulta Cómo extender el esquema.
Para obtener más información sobre LDIF, consulta Formato de intercambio de datos de LDAP.
Cómo preparar tu archivo LDIF
Un archivo LDIF es un formato estándar de intercambio de datos de texto sin formato que representa el contenido del directorio del protocolo ligero de acceso a directorios (LDAP) y las solicitudes de actualización. Un archivo LDIF consta de una serie de registros que representan una colección de solicitudes de actualización, como agregar, modificar o cambiar el nombre. Las líneas en blanco separan el conjunto de registros en el archivo LDIF que representa cada entrada de la solicitud de actualización. Te recomendamos que comprendas el formato de los archivos LDIF antes de crear tu archivo con cambios de esquema. Para obtener más información, consulta Secuencias de comandos de LDIF.
Antes de preparar el archivo LDIF, lee los siguientes lineamientos.
Elementos de esquema
Los elementos de esquema, como clases, atributos y objetos, son los componentes básicos de un esquema de AD. Recomendamos que aprendas los conceptos clave relacionados con los elementos del esquema, como los atributos, las clases de objetos, los identificadores de objetos y los atributos vinculados. Para obtener más información, consulta Esquema de Active Directory (AD DS).
Estructura de archivos LDIF
Debes organizar las entradas en un archivo LDIF con la estructura del árbol de información del directorio (DIT). La estructura de un archivo LDIF válido debe cumplir con los siguientes lineamientos:
- Enumera las entradas superiores antes de las entradas secundarias.
- Separa las entradas en un archivo LDIF con una línea en blanco.
- Cualquier clase o atributo que uses en una entrada debe existir en el esquema. Antes de usar una clase o un atributo, asegúrate de verificar si están disponibles en el esquema. De lo contrario, debes agregar la clase o el atributo al esquema. Por ejemplo, debes crear un atributo antes de adjuntarlo a una clase.
Formato de nombre distinguido
Todas las entradas de un archivo LDIF comienzan con un nombre distinguido (DN). Especifica el objeto de AD en el que operan los registros. En caso de que los registros actualicen la caché del esquema, el DN debe estar vacío. Para los cambios de esquema, el DN debe tener el siguiente formato:
dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN
Reemplaza lo siguiente:
- CLASS_OR_ATTRIBUTE: Es el nombre de una clase o un atributo. Por ejemplo,
example-attribute
- ROOT_DOMAIN: Es el dominio raíz de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es
example.com
, ingresaexample
. - TOP_LEVEL_DOMAIN: Es el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es
example.com
, ingresacom
.
Por ejemplo, el DN de un atributo example-attribute
para el nombre de dominio example.com
debe tener el siguiente formato:
dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com
Tipos de cambio de LDIF admitidos
Microsoft AD administrado admite los siguientes tipos de cambio de LDIF para la extensión de esquema:
Tipo de cambio de LDIF | Acción de extensión de esquema |
---|---|
add |
Crea una clase o un atributo nuevos en el esquema. |
modify |
Actualiza las propiedades de una clase o un atributo en el esquema. En la siguiente lista, se describen algunas de las posibles actualizaciones de propiedades:
ldapDisplayName de una clase o un atributo |
modrdn o moddn |
Cambia el nombre del nombre distinguido relativo (RDN) de una clase o un atributo. |
Consideraciones
Antes de extender el esquema, asegúrate de consultar las siguientes consideraciones.
- Microsoft proporciona recomendaciones detalladas que describen el impacto de las extensiones de esquema en tu entorno de Active Directory. Asegúrate de revisarlos con cuidado antes de extender el esquema. Para obtener más información, consulta Lo que debes saber antes de ampliar el esquema.
- La acción de agregar una clase o un atributo al esquema es permanente. Sin embargo, puedes inhabilitar una clase o un atributo que ya no necesites después de agregarlo. Para obtener más información, consulta Inhabilitar clases y atributos existentes.
Cómo funciona la extensión de esquemas
Cuando inicias la extensión del esquema de un dominio, Microsoft AD administrado valida el archivo LDIF para la estructura, el formato de los elementos del esquema y los tipos de cambio o las acciones compatibles.
Si el archivo LDIF es válido, Microsoft AD administrado realiza una copia de seguridad del dominio antes de aplicar los cambios de esquema. Si encuentras algún problema con tu aplicación después de actualizar el esquema, puedes usar esta copia de seguridad para restablecer el dominio. Luego, Microsoft AD administrado aísla uno de tus controladores de dominio del dominio y aplica los cambios de esquema con la herramienta Ldifde. Mientras los cambios de esquema están en curso, otros controladores de tu dominio entregan el tráfico del cliente.
Si los cambios de esquema se realizan de forma correcta, el controlador de dominio aislado se vuelve a conectar al dominio y replica los cambios de esquema en otros controladores de dominio en el dominio.
Si los cambios de esquema fallan, Microsoft AD administrado revierte el controlador de dominio al estado de copia de seguridad.
Microsoft AD administrado no admite la extensión de esquema parcial en un dominio. En otras palabras, si alguno de los comandos del archivo LDIF no se aplica al dominio, la solicitud de extensión de esquema falla. Microsoft AD administrado también restablece tu dominio al estado que tenía antes de aplicar los cambios en el esquema.
¿Qué sigue?
- Obtén información para extender el esquema en Microsoft AD administrado.
- Restricciones en la extensión de esquemas