Acerca de la extensión de esquema

En esta página, se describe cómo funciona la extensión de esquema en el servicio administrado para Microsoft Active Directory.

Descripción general

Active Directory se basa en un esquema para organizar y almacenar los datos del directorio. El esquema de AD define las clases de objetos y sus atributos que se usan para almacenar los datos del directorio.

Puedes usar extensiones de esquema para realizar cambios de esquema y habilitar la compatibilidad con aplicaciones que dependen de clases o atributos específicos en Active Directory.

Para extender el esquema de AD predeterminado, define clases y atributos nuevos o modifica las definiciones o propiedades de las clases y los atributos existentes. Microsoft AD administrado te permite extender el esquema con un archivo de formato de intercambio de datos LDAP (LDIF) que contiene comandos para cambios de esquema. Para obtener más información, consulta Extensión del esquema.

Para obtener más información sobre LDIF, consulta Formato de intercambio de datos de LDAP.

Cómo preparar tu archivo LDIF

Un archivo LDIF es un formato estándar de intercambio de datos de texto sin formato para representar el contenido de directorios y las solicitudes de actualización del protocolo ligero de acceso a directorios (LDAP). Un archivo LDIF consta de una serie de registros que representa una colección de solicitudes de actualización, como agregar, modificar o cambiar el nombre. Las líneas en blanco separan el conjunto de registros en el archivo LDIF que representa cada entrada de solicitud de actualización. Te recomendamos que comprendas el formato de los archivos LDIF antes de crear tu archivo con cambios de esquema. Para obtener más información, consulta Secuencias de comandos de LDIF.

Antes de preparar el archivo LDIF, lee los siguientes lineamientos.

Elementos del esquema

Los elementos del esquema, como clases, atributos y objetos, son los componentes básicos de un esquema de AD. Te recomendamos que aprendas los conceptos clave relacionados con los elementos del esquema, como los atributos, las clases de objetos, los identificadores de objetos y los atributos vinculados. Para obtener más información, consulta Esquema de Active Directory (AD DS).

Estructura de archivos LDIF

Debes organizar las entradas en un archivo LDIF con la estructura de árbol de información de directorio (DIT). La estructura de un archivo LDIF válido debe cumplir con los siguientes lineamientos:

  • Muestra las entradas principales antes que las secundarias.
  • Separa las entradas en un archivo LDIF con una línea en blanco.
  • Cualquier clase o atributo que uses en una entrada debe existir en el esquema. Antes de usar una clase o un atributo, asegúrate de verificar si están disponibles en el esquema. De lo contrario, debes agregar la clase o el atributo al esquema. Por ejemplo, debes crear un atributo antes de adjuntarlo a una clase.

Formato de nombre distinguido

Todas las entradas de un archivo LDIF comienzan con un nombre distinguido (DN). Especifica el objeto de AD en el que operan los registros. En caso de que los registros actualicen la caché del esquema, el DN debe estar vacío. Para los cambios de esquema, el DN debe tener el siguiente formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Reemplaza lo siguiente:

  • CLASS_OR_ATTRIBUTE: Es el nombre de una clase o un atributo. Por ejemplo, example-attribute
  • ROOT_DOMAIN: El dominio raíz de tu nombre de dominio. Por ejemplo, si tu nombre de dominio es example.com, ingresa example.
  • TOP_LEVEL_DOMAIN: Es el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si tu nombre de dominio es example.com, ingresa com.

Por ejemplo, el DN de un atributo example-attribute para el nombre de dominio example.com debe tener el siguiente formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de cambio de LDIF admitidos

Microsoft AD administrado admite los siguientes tipos de cambio LDIF para la extensión de esquema:

Tipo de cambio de LDIF Acción de extensión de esquema
add Crea una clase o un atributo nuevos en el esquema.
modify Actualiza las propiedades de una clase o un atributo en el esquema. En la siguiente lista, se describen algunas de las posibles actualizaciones de propiedades:
  • Adjuntar un atributo a una clase
  • Actualizar la propiedad ldapDisplayName de una clase o un atributo
  • Inhabilita una clase o un atributo.
    		•
    modrdn o moddn Cambia el nombre del nombre distinguido relativo (RDN) de una clase o un atributo.

    Consideraciones

    Antes de extender el esquema, asegúrate de consultar las siguientes consideraciones.

    • Microsoft proporciona recomendaciones detalladas que describen el impacto de las extensiones de esquema en tu entorno de Active Directory. Asegúrate de revisarlos con cuidado antes de extender el esquema. Para obtener más información, consulta Qué debes saber antes de extender el esquema.
    • La adición de una clase o un atributo al esquema es permanente. Sin embargo, puedes inhabilitar una clase o un atributo que ya no necesites después de agregarlos. Para obtener más información, consulta Cómo inhabilitar clases y atributos existentes.

    Cómo funciona la extensión de esquema

    Cuando inicias la extensión del esquema para un dominio, Microsoft AD administrado valida el archivo LDIF para la estructura, el formato de los elementos del esquema y los tipos de cambio o las acciones compatibles.

    Si el archivo LDIF es válido, Microsoft AD administrado realiza una copia de seguridad del dominio antes de aplicar los cambios de esquema. Si tienes algún problema con tu aplicación después de actualizar el esquema, puedes usar esta copia de seguridad para restablecer el dominio. Luego, Microsoft AD administrado aísla uno de tus controladores de dominio del dominio y aplica los cambios de esquema con la herramienta Linda. Mientras los cambios de esquema están en curso, otros controladores de dominio de tu dominio entregan el tráfico del cliente.

    Si los cambios de esquema se realizan correctamente, el controlador de dominio aislado se vuelve a conectar al dominio y replica los cambios de esquema en otros controladores del dominio.

    Si los cambios del esquema fallan, Microsoft AD administrado revierte el controlador de dominio al estado de copia de seguridad.

    Microsoft AD administrado no admite la extensión de esquema parcial en un dominio. En otras palabras, si alguno de los comandos del archivo LDIF no se aplica en el dominio, la solicitud de extensión del esquema falla. Microsoft AD administrado también revierte tu dominio al estado que tenía antes de aplicar los cambios en el esquema.

    ¿Qué sigue?