Sobre a extensão de esquema

Esta página descreve como a extensão de esquema funciona no serviço gerenciado para o Microsoft Active Directory.

Informações gerais

O Active Directory depende do esquema para organizar e armazenar os dados do diretório. O esquema do AD define as classes de objeto e os atributos dele que são usados para armazenar os dados do diretório.

É possível usar extensões de esquema para fazer alterações no esquema e ativar o suporte a aplicativos que dependem de classes ou atributos específicos no Active Directory.

É possível estender o esquema padrão do AD definindo novas classes e atributos ou modificando as definições ou propriedades de classes e atributos atuais. O Microsoft AD gerenciado permite ampliar o esquema usando um arquivo LDAP Data Interchange Format (LDIF) com comandos para alterações de esquema. Para saber mais, consulte Estender o esquema.

Para mais informações sobre LDIF, consulte LDAP Data Interchange Format.

Como preparar seu arquivo LDIF

Um arquivo LDIF é um formato padrão de troca de dados em texto simples que representa o conteúdo do diretório LDAP e as solicitações de atualização. Um arquivo LDIF consiste em uma série de registros que representa uma coleção de solicitações de atualização, como adicionar, modificar e renomear. Linhas em branco separam o conjunto de registros no arquivo LDIF que representa cada entrada da solicitação de atualização. Recomendamos que você entenda o formato dos arquivos LDIF antes de criar um arquivo com alterações de esquema. Para mais informações, consulte Scripts LDIF.

Antes de preparar o arquivo LDIF, leia as seguintes diretrizes.

Elementos do esquema

Os elementos do esquema, como classes, atributos e objetos, são os elementos básicos de um esquema do AD. Recomendamos que você aprenda os principais conceitos relacionados a elementos de esquema, como atributos, classes de objetos, identificadores de objetos e atributos vinculados. Para mais informações, consulte Esquema do Active Directory (AD DS).

Estrutura do arquivo LDIF

É necessário organizar as entradas em um arquivo LDIF usando a estrutura da árvore de informações do diretório (DIT, na sigla em inglês). A estrutura de um arquivo LDIF válido precisa seguir estas diretrizes:

  • Liste as entradas pai antes das entradas filhas.
  • Separe as entradas em um arquivo LDIF com uma linha em branco.
  • Qualquer classe ou atributo usado em uma entrada precisa existir no esquema. Antes de usar uma classe ou um atributo, verifique se ele está disponível no esquema. Caso contrário, você vai precisar adicionar a classe ou o atributo ao esquema. Por exemplo, é preciso criar um atributo antes de anexar o atributo a uma classe.

Formato de nome distinto

Todas as entradas em um arquivo LDIF começam com um nome distinto (DN). Ele especifica o objeto AD no qual os registros operam. Caso os registros atualizem o cache do esquema, o DN precisa estar vazio. Para alterações de esquema, o DN precisa estar neste formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Substitua:

  • CLASS_OR_ATTRIBUTE: o nome de uma classe ou atributo. Por exemplo, example-attribute.
  • ROOT_DOMAIN: o domínio raiz do nome de domínio. Por exemplo, se o nome de domínio for example.com, digite example.
  • TOP_LEVEL_DOMAIN: o domínio de nível superior do nome de domínio. Por exemplo, se o nome de domínio for example.com, digite com.

Por exemplo, o DN de um atributo example-attribute para o nome de domínio example.com precisa estar no seguinte formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de alterações LDIF compatíveis

O Microsoft AD gerenciado é compatível com os seguintes tipos de alterações LDIF para extensão de esquema:

Tipo de alteração LDIF Ação de extensão do esquema
add Cria uma nova classe ou atributo no esquema.
modify Atualiza as propriedades de uma classe ou um atributo no esquema. A lista a seguir descreve algumas das possíveis atualizações de propriedade:
  • Anexar um atributo a uma classe.
  • Atualizar a propriedade ldapDisplayName de uma classe ou atributo.
  • Desativar uma classe ou um atributo.
    		•
    modrdn ou moddn Renomeia o nome distinto relativo (RDN) para uma classe ou atributo.

    Considerações

    Antes de estender o esquema, consulte as considerações a seguir.

    • A Microsoft oferece avisos detalhados que descrevem o impacto das extensões de esquema no ambiente do Active Directory. Não deixe de analisá-los com atenção antes de estender o esquema. Para mais informações, consulte O que você precisa saber antes de estender o esquema.
    • Adicionar uma classe ou um atributo ao esquema é permanente. No entanto, você pode desativar uma classe ou um atributo de que não precisa mais depois de adicioná-lo. Para mais informações, consulte Como desativar classes e atributos existentes.

    Como a extensão de esquema funciona

    Quando você inicia a extensão de esquema para um domínio, o Microsoft AD gerenciado valida o arquivo LDIF quanto à estrutura, formato dos elementos de esquema e tipos de alterações ou ações compatíveis.

    Se o arquivo LDIF for válido, o Microsoft AD gerenciado fará um backup do domínio antes de aplicar as alterações de esquema. Se você encontrar problemas com seu aplicativo depois de atualizar o esquema, use este backup para restaurar o domínio. Em seguida, o Microsoft AD gerenciado isola um dos controladores de domínio do domínio e aplica as alterações de esquema usando a ferramenta Ldifde. Enquanto as alterações do esquema estão em andamento, outros controladores de domínio no seu domínio veiculam o tráfego do cliente.

    Se as alterações no esquema forem bem-sucedidas, o controlador de domínio isolado se conectará ao domínio e replicará essas alterações em outros controladores de domínio no domínio.

    Se as alterações no esquema falharem, o Microsoft AD gerenciado vai reverter o controlador de domínio para o estado de backup.

    O Microsoft AD gerenciado não oferece suporte à extensão de esquema parcial em um domínio. Em outras palavras, se algum dos comandos no arquivo LDIF não for aplicado ao domínio, a solicitação de extensão do esquema falhará. O Microsoft AD gerenciado também reverte seu domínio para o estado anterior à aplicação das alterações de esquema.

    A seguir