Acerca da extensão de esquema

Esta página descreve como funciona a extensão do esquema no serviço gerido para o Microsoft Active Directory.

Vista geral

O Active Directory baseia-se no esquema para organizar e armazenar os dados do diretório. O esquema do AD define as classes de objetos e os respetivos atributos que são usados para armazenar os dados do diretório.

Pode usar extensões de esquema para fazer alterações ao esquema e ativar o suporte para aplicações que dependem de classes ou atributos específicos no Active Directory.

Pode estender o esquema do AD predefinido definindo novas classes e atributos ou modificando as definições ou as propriedades das classes e dos atributos existentes. O Microsoft AD gerido permite-lhe expandir o esquema através de um ficheiro LDIF (intercâmbio de dados padrão LDAP) que contém comandos para alterações ao esquema. Para mais informações, consulte o artigo Estender o esquema.

Para mais informações sobre o LDIF, consulte o artigo Intercâmbio de dados padrão LDAP.

Como preparar o ficheiro LDIF

Um ficheiro LDIF é um formato de intercâmbio de dados de texto simples padrão para representar o conteúdo do diretório do protocolo LDAP (Lightweight Directory Access Protocol) e os pedidos de atualização. Um ficheiro LDIF consiste numa série de registos que representam uma coleção de pedidos de atualização, como adicionar, modificar e mudar o nome. As linhas em branco separam o conjunto de registos no ficheiro LDIF que representa cada entrada do pedido de atualização. Recomendamos que compreenda o formato dos ficheiros LDIF antes de criar o seu ficheiro com alterações ao esquema. Para mais informações, consulte o artigo Scripts LDIF.

Antes de preparar o seu ficheiro LDIF, leia as seguintes diretrizes.

Elementos de esquema

Os elementos de esquema, como classes, atributos e objetos, são os componentes fundamentais de um esquema de dados de anúncios. Recomendamos que aprenda os conceitos-chave relacionados com os elementos do esquema, como atributos, classes de objetos, identificadores de objetos e atributos associados. Para mais informações, consulte o artigo Esquema do Active Directory (AD DS).

Estrutura do ficheiro LDIF

Tem de organizar as entradas num ficheiro LDIF através da estrutura da árvore de informações do diretório (DIT). A estrutura de um ficheiro LDIF válido tem de cumprir as seguintes diretrizes:

• Indique as entradas principais antes das entradas secundárias.
• Separe as entradas num ficheiro LDIF com uma linha em branco.
• Qualquer classe ou atributo que usar numa entrada tem de existir no esquema. Antes de usar uma classe ou um atributo, certifique-se de que verifica se está disponível no esquema. Caso contrário, tem de adicionar a classe ou o atributo ao esquema. Por exemplo, tem de criar um atributo antes de o anexar a uma classe.

Formato do nome distinto

Todas as entradas num ficheiro LDIF começam com um nome distinto (DN). Especifica o objeto do AD no qual os registos operam. Caso os registos atualizem a cache do esquema, o DN tem de estar vazio. Para alterações ao esquema, o DN tem de estar no seguinte formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Substitua o seguinte:

• CLASS_OR_ATTRIBUTE: o nome de uma classe ou de um atributo. Por exemplo, example-attribute.
• ROOT_DOMAIN: o domínio raiz do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, introduza example.
• TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, introduza com.

Por exemplo, o DN de um atributo example-attribute para o nome de domínio example.com tem de estar no seguinte formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de alterações LDIF suportados

O Microsoft AD gerido suporta os seguintes tipos de alterações LDIF para a extensão do esquema:

Considerações

Antes de estender o esquema, certifique-se de que tem em atenção as seguintes considerações.

• A Microsoft fornece avisos detalhados que descrevem o impacto das extensões de esquemas no seu ambiente do Active Directory. Certifique-se de que os revê atentamente antes de expandir o esquema. Para mais informações, consulte o artigo O que tem de saber antes de expandir o esquema.
• A adição de uma classe ou um atributo ao esquema é permanente. No entanto, pode desativar uma classe ou um atributo que já não necessita depois de o adicionar. Para mais informações, consulte o artigo Desativar classes e atributos existentes.

Como funciona a extensão de esquema

Quando inicia a extensão do esquema para um domínio, o Microsoft AD gerido valida o ficheiro LDIF quanto à estrutura, ao formato dos elementos do esquema e aos tipos de alterações ou ações suportados.

Se o ficheiro LDIF for válido, o Managed Microsoft AD faz uma cópia de segurança do domínio antes de aplicar as alterações ao esquema. Se encontrar problemas com a sua aplicação após a atualização do esquema, pode usar esta cópia de segurança para restaurar o domínio. Em seguida, o Microsoft AD gerido isola um dos controladores de domínio do domínio e aplica as alterações de esquema através da ferramenta Ldifde. Enquanto as alterações ao esquema estão em curso, outros controladores de domínio no seu domínio servem o tráfego de clientes.

Se as alterações ao esquema forem bem-sucedidas, o controlador de domínio isolado volta a ligar-se ao domínio e replica estas alterações ao esquema para outros controladores de domínio no domínio.

Se as alterações ao esquema falharem, o Managed Microsoft AD reverte o controlador de domínio para o estado de cópia de segurança.

O Microsoft AD gerido não suporta a extensão parcial do esquema num domínio. Por outras palavras, se algum dos comandos no ficheiro LDIF não for aplicado no domínio, o pedido de extensão do esquema falha. O Microsoft AD gerido também reverte o seu domínio para o estado em que se encontrava antes da aplicação das alterações ao esquema.

O que se segue?

• Saiba como estender o esquema no AD da Microsoft gerido.
• Restrições à extensão do esquema