Esta página se ha traducido con Cloud Translation API.

Acerca de la extensión de esquema

En esta página se describe cómo funciona la extensión de esquema en el servicio gestionado para Microsoft Active Directory.

Información general

Active Directory se basa en el esquema para organizar y almacenar los datos del directorio. El esquema de AD define las clases de objeto y sus atributos, que se usan para almacenar los datos del directorio.

Puede usar extensiones de esquema para hacer cambios en el esquema y habilitar la compatibilidad con aplicaciones que dependan de clases o atributos específicos en Active Directory.

Puede ampliar el esquema de AD predeterminado definiendo nuevas clases y atributos, o modificando las definiciones o las propiedades de las clases y los atributos que ya tenga. Microsoft AD gestionado te permite ampliar el esquema mediante un archivo de formato de intercambio de datos LDAP (LDIF) que contiene comandos para cambiar el esquema. Para obtener más información, consulta Extender el esquema.

Para obtener más información sobre LDIF, consulta Formato de intercambio de datos LDAP.

Cómo preparar un archivo LDIF

Un archivo LDIF es un formato de intercambio de datos de texto sin formato estándar que se usa para representar el contenido de un directorio LDAP (protocolo ligero de acceso a directorios) y las solicitudes de actualización. Un archivo LDIF consta de una serie de registros que representan una colección de solicitudes de actualización, como añadir, modificar o cambiar el nombre. Las líneas en blanco separan el conjunto de registros del archivo LDIF que representa cada entrada de la solicitud de actualización. Te recomendamos que conozcas el formato de los archivos LDIF antes de crear el tuyo con los cambios en el esquema. Para obtener más información, consulta Secuencias de comandos LDIF.

Antes de preparar el archivo LDIF, lee las siguientes directrices.

Elementos de esquema

Los elementos de esquema, como las clases, los atributos y los objetos, son los componentes básicos de un esquema de AD. Te recomendamos que conozcas los conceptos clave relacionados con los elementos de esquema, como los atributos, las clases de objeto, los identificadores de objeto y los atributos vinculados. Para obtener más información, consulta Esquema de Active Directory (AD DS).

Estructura de archivos LDIF

Debes organizar las entradas de un archivo LDIF mediante la estructura del árbol de información del directorio (DIT). La estructura de un archivo LDIF válido debe cumplir las siguientes directrices:

Enumera las entradas principales antes de las secundarias.
Separa las entradas de un archivo LDIF con una línea en blanco.
Cualquier clase o atributo que utilices en una entrada debe existir en el esquema. Antes de usar una clase o un atributo, comprueba si está disponible en el esquema. Si no es así, debe añadir la clase o el atributo al esquema. Por ejemplo, debes crear un atributo antes de adjuntarlo a una clase.

Formato de nombre distintivo

Todas las entradas de un archivo LDIF empiezan por un nombre distintivo (DN). Especifica el objeto de AD en el que operan los registros. Si los registros actualizan la caché del esquema, el DN debe estar vacío. En el caso de los cambios de esquema, el DN debe tener el siguiente formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Haz los cambios siguientes:

CLASS_OR_ATTRIBUTE: el nombre de una clase o un atributo. Por ejemplo, example-attribute.
ROOT_DOMAIN: el dominio raíz de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, introduce example.
TOP_LEVEL_DOMAIN: el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, introduce com.

Por ejemplo, el DN de un atributo example-attribute del nombre de dominio example.com debe tener el siguiente formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de cambios de LDIF admitidos

Managed Microsoft AD admite los siguientes tipos de cambio de LDIF para la extensión de esquemas:

LDIF changetype	Acción de extensión de esquema
`add`	Crea una clase o un atributo en el esquema.
`modify`	Actualiza las propiedades de una clase o un atributo del esquema. En la siguiente lista se describen algunos de los posibles cambios en las propiedades: Asignar un atributo a una clase. Actualizar la propiedad `ldapDisplayName` de una clase o un atributo. Inhabilitar una clase o un atributo. Nota: Managed Microsoft AD no admite la modificación del atributo `defaultSecurityDescriptor` por motivos de seguridad.
`modrdn` o `moddn`	Cambia el nombre distintivo relativo (RDN) de una clase o un atributo.

Cuestiones importantes

Antes de ampliar el esquema, consulta las siguientes consideraciones.

Microsoft proporciona avisos detallados que describen el impacto de las extensiones de esquema en tu entorno de Active Directory. Revísalas detenidamente antes de ampliar el esquema. Para obtener más información, consulta Qué debes saber antes de ampliar el esquema.
Añadir una clase o un atributo al esquema es permanente. Sin embargo, puedes inhabilitar una clase o un atributo que ya no necesites después de añadirlo. Para obtener más información, consulta Inhabilitar clases y atributos.

Cómo funciona la extensión de esquema

Cuando inicias la extensión del esquema de un dominio, Managed Microsoft AD valida el archivo LDIF para comprobar la estructura, el formato de los elementos del esquema y los tipos de cambios o las acciones admitidos.

Si el archivo LDIF es válido, Managed Microsoft AD crea una copia de seguridad del dominio antes de aplicar los cambios en el esquema. Si tienes algún problema con tu aplicación después de actualizar el esquema, puedes usar esta copia de seguridad para restaurar el dominio. A continuación, Managed Microsoft AD aísla uno de tus controladores de dominio del dominio y aplica los cambios de esquema mediante la herramienta Ldifde. Mientras se realizan los cambios en el esquema, otros controladores de dominio de tu dominio atienden el tráfico de clientes.

Si los cambios de esquema se realizan correctamente, el controlador de dominio aislado vuelve a conectarse al dominio y replica estos cambios de esquema en otros controladores de dominio del dominio.

Si los cambios de esquema fallan, Microsoft AD gestionado restaura el controlador de dominio al estado de la copia de seguridad.

Microsoft AD gestionado no admite la extensión parcial del esquema en un dominio. Es decir, si no se puede aplicar alguno de los comandos del archivo LDIF en el dominio, la solicitud de extensión de esquema fallará. Managed Microsoft AD también restaura el dominio al estado en el que se encontraba antes de aplicar los cambios en el esquema.

Siguientes pasos

Consulta cómo ampliar el esquema en Microsoft AD gestionado.
Restricciones de extensión de esquema