Sobre a extensão de esquema

Esta página descreve como a extensão de esquema funciona no Serviço Gerenciado para Microsoft Active Directory.

Visão geral

O Active Directory usa o esquema para organizar e armazenar os dados do diretório. O esquema do AD define as classes de objetos e os atributos usados para armazenar os dados do diretório.

É possível usar extensões de esquema para realizar mudanças no esquema e ativar o suporte a aplicativos que dependem de classes ou atributos específicos no Active Directory.

É possível estender o esquema de anúncios padrão definindo novas classes e atributos ou modificando as definições ou propriedades de classes e atributos existentes. O Microsoft AD gerenciado permite estender o esquema usando um arquivo LDIF (Formato de troca de dados LDAP) que contém comandos para mudanças no esquema. Para mais informações, consulte Como estender o esquema.

Para mais informações sobre o LDIF, consulte Formato de troca de dados LDAP.

Como preparar seu arquivo LDIF

Um arquivo LDIF é um formato padrão de troca de dados em texto simples para representar o conteúdo do diretório do Protocolo leve de acesso a diretórios (LDAP) e solicitações de atualização. Um arquivo LDIF consiste em uma série de registros que representa uma coleção de solicitações de atualização, como adicionar, modificar e renomear. Linhas em branco separam o conjunto de registros no arquivo LDIF que representam cada entrada de solicitação de atualização. Recomendamos que você entenda o formato dos arquivos LDIF antes de criar um arquivo com alterações de esquema. Para mais informações, consulte Scripts LDIF.

Antes de preparar o arquivo LDIF, leia as diretrizes a seguir.

Elementos do esquema

Os elementos do esquema, como classes, atributos e objetos, são os blocos de construção de um esquema de anúncios dinâmicos. Recomendamos que você aprenda os principais conceitos relacionados aos elementos do esquema, como atributos, classes de objetos, identificadores de objetos e atributos vinculados. Para mais informações, consulte Esquema do Active Directory (AD DS).

Estrutura de arquivos LDIF

Você precisa organizar as entradas em um arquivo LDIF usando a estrutura da árvore de informações do diretório (DIT, na sigla em inglês). A estrutura de um arquivo LDIF válido precisa seguir estas diretrizes:

• Liste as entradas principais antes das filhas.
• Separe as entradas em um arquivo LDIF com uma linha em branco.
• Qualquer classe ou atributo usado em uma entrada precisa existir no esquema. Antes de usar uma classe ou um atributo, verifique se ele está disponível no esquema. Caso contrário, adicione a classe ou o atributo ao esquema. Por exemplo, você precisa criar um atributo antes de anexar o atributo a uma classe.

Formato de nome distinto

Todas as entradas em um arquivo LDIF começam com um nome distinto (DN). Ele especifica o objeto do AD em que os registros operam. Caso os registros atualizem o cache do esquema, o DN precisa estar vazio. Para mudanças de esquema, o DN precisa estar no seguinte formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Substitua:

• CLASS_OR_ATTRIBUTE: o nome de uma classe ou atributo. Por exemplo, example-attribute.
• ROOT_DOMAIN: o domínio raiz do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, insira example.
• TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, insira com.

Por exemplo, o DN de um atributo example-attribute para o nome de domínio example.com precisa ter o seguinte formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de mudança de LDIF compatíveis

O Microsoft AD gerenciado é compatível com os seguintes tipos de mudança de LDIF para extensão de esquema:

Considerações

Antes de estender o esquema, consulte as considerações a seguir.

• A Microsoft fornece avisos detalhados que descrevem o impacto das extensões de esquema no seu ambiente do Active Directory. Leia com atenção antes de estender o esquema. Para mais informações, consulte O que você precisa saber antes de estender o esquema.
• A adição de uma classe ou atributo ao esquema é permanente. No entanto, você pode desativar uma classe ou atributo que não for mais necessário após a adição. Para mais informações, consulte Como desativar classes e atributos.

Como a extensão de esquema funciona

Quando você inicia a extensão de esquema de um domínio, o Managed Microsoft AD valida o arquivo LDIF para estrutura, formato de elementos de esquema e tipos ou ações de mudança aceitos.

Se o arquivo LDIF for válido, o Managed Microsoft AD vai fazer um backup do domínio antes de aplicar as mudanças no esquema. Se você tiver problemas com seu aplicativo após atualizar o esquema, use esse backup para restaurar o domínio. Em seguida, o Managed Microsoft AD isola um dos controladores de domínio do domínio e aplica as mudanças de esquema usando a ferramenta Ldifde. Enquanto as mudanças no esquema estão em andamento, outros controladores de domínio no seu domínio atendem o tráfego do cliente.

Se as mudanças no esquema forem bem-sucedidas, o controlador de domínio isolado se conectará novamente ao domínio e replicará essas mudanças em outros controladores de domínio no domínio.

Se as mudanças no esquema falharem, o Managed Microsoft AD vai reverter o controlador de domínio para o estado de backup.

O Microsoft AD gerenciado não oferece suporte à extensão parcial do esquema em um domínio. Em outras palavras, se algum dos comandos no arquivo LDIF não for aplicado no domínio, a solicitação de extensão do esquema vai falhar. O Microsoft AD gerenciado também reverte o domínio para o estado em que estava antes da aplicação das mudanças no esquema.

A seguir

• Saiba como estender o esquema no Managed Microsoft AD.
• Restrições na extensão de esquema