Sobre a extensão do esquema

Esta página descreve como a extensão de esquema funciona no Serviço Gerenciado para Microsoft Active Directory.

Visão geral

O Active Directory usa o esquema para organizar e armazenar os dados do diretório. O esquema do AD define as classes de objetos e os respectivos atributos usados para armazenar os dados do diretório.

É possível usar extensões de esquema para realizar alterações de esquema e ativar o suporte a aplicativos que dependem de classes ou atributos específicos no Active Directory.

É possível estender o esquema de anúncios padrão definindo novas classes e atributos ou modificando as definições ou propriedades de classes e atributos existentes. O Microsoft AD gerenciado permite estender o esquema usando um arquivo de Formato de troca de dados LDAP (LDIF, na sigla em inglês) que contém comandos para mudanças no esquema. Para mais informações, consulte Como estender o esquema.

Para mais informações sobre o LDIF, consulte LDAP Data Interchange Format.

Como preparar seu arquivo LDIF

Um arquivo LDIF é um formato padrão de intercâmbio de dados de texto simples para representar solicitações de atualização e conteúdo de diretório do Protocolo leve de acesso a diretórios (LDAP). Um arquivo LDIF consiste em uma série de registros que representam uma coleção de solicitações de atualização, como adicionar, modificar, renomear. Linhas em branco separam o conjunto de registros no arquivo LDIF que representam cada entrada de solicitação de atualização. Recomendamos que você entenda o formato dos arquivos LDIF antes de criar um arquivo com alterações de esquema. Para mais informações, consulte Scripts LDIF.

Antes de preparar o arquivo LDIF, leia as diretrizes a seguir.

Elementos do esquema

Os elementos do esquema, como classes, atributos e objetos, são os elementos básicos de um esquema do AD. Recomendamos que você aprenda os principais conceitos relacionados aos elementos de esquema, como atributos, classes de objetos, identificadores de objetos e atributos vinculados. Para mais informações, consulte Esquema do Active Directory (AD DS).

Estrutura de arquivos LDIF

Você precisa organizar as entradas em um arquivo LDIF usando a estrutura da árvore de informações do diretório (DIT, na sigla em inglês). A estrutura de um arquivo LDIF válido precisa aderir às seguintes diretrizes:

  • Liste as entradas pai antes das entradas filhas.
  • Separe as entradas em um arquivo LDIF com uma linha em branco.
  • Qualquer classe ou atributo usado em uma entrada precisa existir no esquema. Antes de usar uma classe ou um atributo, verifique se ele está disponível no esquema. Caso contrário, será preciso adicionar a classe ou o atributo ao esquema. Por exemplo, você precisa criar um atributo antes de anexar a uma classe.

Formato de nome distinto

Todas as entradas em um arquivo LDIF começam com um nome distinto (DN). Ele especifica o objeto do AD em que os registros operam. Caso os registros atualizem o cache do esquema, o DN precisa estar vazio. Para alterações de esquema, o DN precisa estar no seguinte formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Substitua:

  • CLASS_OR_ATTRIBUTE: o nome de uma classe ou de um atributo. Por exemplo, example-attribute.
  • ROOT_DOMAIN: o domínio raiz do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, digite example.
  • TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, insira com.

Por exemplo, o DN de um atributo example-attribute do nome de domínio example.com precisa estar no seguinte formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de alteração de LDIF compatíveis

O Microsoft AD gerenciado é compatível com os seguintes tipos de mudança de LDIF para extensão de esquema:

Tipo de alteração do LDIF Ação de extensão do esquema
add Cria uma nova classe ou atributo no esquema.
modify Atualiza as propriedades de uma classe ou atributo no esquema. A lista a seguir descreve algumas das possíveis atualizações de propriedade:
  • Anexando um atributo a uma classe.
  • Atualizar a propriedade ldapDisplayName de uma classe ou um atributo.
  • Desativar uma classe ou um atributo.
  • modrdn ou moddn Renomeia o nome distinto relativo (RDN, na sigla em inglês) para uma classe ou um atributo.

    Considerações

    Antes de estender o esquema, consulte as considerações a seguir.

    • A Microsoft fornece avisos detalhados que descrevem o impacto das extensões de esquema no seu ambiente do Active Directory. Revise-os com atenção antes de estender o esquema. Para mais informações, consulte O que você precisa saber antes de estender o esquema.
    • A adição de uma classe ou atributo ao esquema é permanente. No entanto, você pode desativar uma classe ou atributo que não for mais necessário após a adição. Para mais informações, consulte Como desativar classes e atributos.

    Como a extensão de esquema funciona

    Quando você inicia a extensão do esquema para um domínio, o Microsoft AD gerenciado valida o arquivo LDIF quanto à estrutura, formato dos elementos do esquema e tipos de alteração ou ações compatíveis.

    Se o arquivo LDIF for válido, o Managed Microsoft AD vai fazer um backup do domínio antes de aplicar as mudanças no esquema. Caso você encontre problemas no aplicativo após atualizar o esquema, use esse backup para restaurar o domínio. Em seguida, o Managed Microsoft AD isola um dos controladores de domínio do domínio e aplica as mudanças de esquema usando a ferramenta Ldifde. Enquanto as mudanças no esquema estão em andamento, outros controladores de domínio no seu domínio atendem ao tráfego do cliente.

    Se as alterações do esquema forem bem-sucedidas, o controlador de domínio isolado se conecta de volta ao domínio e replica essas alterações de esquema para outros controladores de domínio no domínio.

    Se as alterações do esquema falharem, o Microsoft AD gerenciado vai reverter o controlador de domínio para o estado de backup.

    O Microsoft AD gerenciado não é compatível com a extensão de esquema parcial em um domínio. Em outras palavras, se algum dos comandos no arquivo LDIF não for aplicado ao domínio, a solicitação de extensão do esquema falhará. Além disso, o Microsoft AD gerenciado reverte o domínio ao estado em que ele estava antes de aplicar as alterações do esquema.

    A seguir