Cette page a été traduite par l'API Cloud Translation.

À propos de l'extension de schéma

Cette page décrit le fonctionnement de l'extension de schéma dans le service géré pour Microsoft Active Directory.

Présentation

Active Directory s'appuie sur un schéma pour organiser et stocker les données du répertoire. Le schéma AD définit les classes d'objets et ses attributs qui sont utilisés pour stocker les données de répertoire.

Vous pouvez utiliser des extensions de schéma pour effectuer des modifications de schéma et activer la prise en charge des applications qui dépendent de classes ou d'attributs spécifiques dans Active Directory.

Vous pouvez étendre le schéma AD par défaut en définissant de nouvelles classes et attributs, ou en modifiant les définitions ou les propriétés des classes et attributs existants. Microsoft AD géré vous permet d'étendre le schéma à l'aide d'un fichier LDIF (LDAP Data Interchange Format) contenant des commandes pour les modifications de schéma. Pour en savoir plus, consultez la section Étendre le schéma.

Pour en savoir plus sur le format LDIF, consultez LDAP Data Interchange Format (Format d'échange de données LDAP).

Préparer votre fichier LDIF

Un fichier LDIF est un format d'échange de données en texte brut standard permettant de représenter le contenu d'un répertoire LDAP (Lightweight Directory Access Protocol) et les demandes de mise à jour. Un fichier LDIF se compose d'une série d'enregistrements représentant une collection de requêtes de modification, telles que l'ajout, la modification ou le renommage. Des lignes vides séparent l'ensemble d'enregistrements du fichier LDIF représentant chaque entrée de demande de mise à jour. Nous vous recommandons de comprendre le format des fichiers LDIF avant de créer un fichier avec des modifications de schéma. Pour en savoir plus, consultez Scripts LDIF.

Avant de préparer votre fichier LDIF, lisez les consignes suivantes.

Éléments du schéma

Les éléments de schéma, tels que les classes, les attributs et les objets, sont les composants de base d'un schéma AD. Nous vous recommandons de vous familiariser avec les concepts clés liés aux éléments de schéma, tels que les attributs, les classes d'objets, les identifiants d'objets et les attributs associés. Pour en savoir plus, consultez Schéma Active Directory (AD DS).

Structure du fichier LDIF

Vous devez organiser les entrées dans un fichier LDIF en utilisant la structure Directory Information Tree (DIT). La structure d'un fichier LDIF valide doit respecter les consignes suivantes:

Listez les entrées parentes avant les entrées enfants.
Séparez les entrées d'un fichier LDIF par une ligne vide.
Toute classe ou attribut que vous utilisez dans une entrée doit exister dans le schéma. Avant d'utiliser une classe ou un attribut, vérifiez qu'ils sont disponibles dans le schéma. Si ce n'est pas le cas, vous devez ajouter la classe ou l'attribut au schéma. Par exemple, vous devez créer un attribut avant de l'associer à une classe.

Format du nom distinctif

Toutes les entrées d'un fichier LDIF commencent par un nom distinctif (DN). Il spécifie l'objet AD sur lequel fonctionnent les enregistrements. Si les enregistrements mettent à jour le cache de schéma, le DN doit être vide. Pour toute modification de schéma, le nom distinctif doit respecter le format suivant:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Remplacez les éléments suivants :

CLASS_OR_ATTRIBUTE: nom d'une classe ou d'un attribut. Exemple :example-attribute
ROOT_DOMAIN : domaine racine de votre nom de domaine. Par exemple, si votre nom de domaine est example.com, saisissez example.
TOP_LEVEL_DOMAIN : domaine de premier niveau de votre nom de domaine. Par exemple, si votre nom de domaine est example.com, saisissez com.

Par exemple, le nom distinctif d'un attribut example-attribute pour le nom de domaine example.com doit être au format suivant:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Types de modifications LDIF compatibles

Le service Microsoft AD géré est compatible avec les types de modifications LDIF suivants pour l'extension de schéma :

Type de modification LDIF	Action d'extension de schéma
`add`	Crée une classe ou un attribut dans le schéma.
`modify`	Met à jour les propriétés d'une classe ou d'un attribut dans le schéma. La liste suivante décrit certaines des mises à jour possibles des propriétés: Associer un attribut à une classe Mettre à jour la propriété `ldapDisplayName` d'une classe ou d'un attribut Désactivation d'une classe ou d'un attribut Remarque : Pour des raisons de sécurité, Microsoft AD géré n'est pas compatible avec la modification de l'attribut `defaultSecurityDescriptor`.
`modrdn` ou `moddn`	Renomme le nom distinctif relatif (RDN) d'une classe ou d'un attribut.

Remarques

Avant d'étendre le schéma, consultez les points suivants.

Microsoft fournit des conseils détaillés décrivant l'impact des extensions de schéma sur votre environnement Active Directory. Examinez-les attentivement avant d'étendre le schéma. Pour en savoir plus, consultez Ce que vous devez savoir avant d'étendre le schéma.
L'ajout d'une classe ou d'un attribut au schéma est définitif. Toutefois, vous pouvez désactiver une classe ou un attribut dont vous n'avez plus besoin après l'avoir ajouté. Pour en savoir plus, consultez la page Désactiver des classes et des attributs existants.

Fonctionnement de l'extension de schéma

Lorsque vous lancez l'extension de schéma pour un domaine, Microsoft AD géré valide la structure et le format des éléments de schéma, ainsi que les types de modifications ou d'actions acceptés dans le fichier LDIF.

Si le fichier LDIF est valide, le service Microsoft AD géré effectue une sauvegarde du domaine avant d'appliquer les modifications du schéma. Si vous rencontrez des problèmes avec votre application après avoir mis à jour le schéma, vous pouvez utiliser cette sauvegarde pour restaurer le domaine. Ensuite, le service Microsoft AD géré isole l'un de vos contrôleurs de domaine du domaine et applique les modifications de schéma à l'aide de l'outil Ldifde. Pendant que les modifications de schéma sont en cours, d'autres contrôleurs de domaine de votre domaine gèrent le trafic client.

Si les modifications de schéma aboutissent, le contrôleur de domaine isolé se reconnecte au domaine et réplique ces modifications de schéma sur les autres contrôleurs de domaine du domaine.

Si les modifications du schéma échouent, Managed Microsoft AD rétablit l'état de sauvegarde du contrôleur de domaine.

Microsoft AD géré n'est pas compatible avec l'extension partielle du schéma sur un domaine. En d'autres termes, si l'une des commandes du fichier LDIF ne s'applique pas au domaine, la requête d'extension de schéma échoue. Le service Microsoft AD géré rétablit également l'état de votre domaine avant l'application des modifications de schéma.

Étape suivante

Découvrez comment étendre le schéma dans le service Microsoft AD géré.
Restrictions concernant l'extension de schéma