À propos de l'extension de schéma

Cette page décrit le fonctionnement de l'extension de schéma dans le service géré pour Microsoft Active Directory.

Présentation

Active Directory s'appuie sur un schéma pour organiser et stocker les données d'annuaire. Le schéma AD définit les classes d'objets et ses attributs utilisés pour stocker les données de l'annuaire.

Vous pouvez utiliser des extensions de schéma pour modifier le schéma et activer la compatibilité avec les applications qui dépendent de classes ou d'attributs spécifiques dans Active Directory.

Vous pouvez étendre le schéma AD par défaut en définissant de nouvelles classes et de nouveaux attributs, ou en modifiant les définitions ou les propriétés des classes et attributs existants. Le service Microsoft AD géré vous permet d'étendre le schéma à l'aide d'un fichier LDIF (LDAP Data Interchange Format) qui contient des commandes permettant de modifier le schéma. Pour en savoir plus, consultez Étendre le schéma.

Pour en savoir plus sur LDIF, consultez la page LDAP Data Interchange Format (Format d'échange de données LDAP).

Préparer votre fichier LDIF

Un fichier LDIF est un format standard d'échange de données en texte brut qui représente le contenu de l'annuaire LDAP (Lightweight Directory Access Protocol) et les requêtes de mise à jour. Un fichier LDIF est composé d'une série d'enregistrements qui représente une collection de requêtes de mise à jour (par exemple, ajouter, modifier, renommer). Des lignes vides séparent l'ensemble d'enregistrements du fichier LDIF, qui représente chaque entrée de la demande de mise à jour. Nous vous recommandons de comprendre le format des fichiers LDIF avant de créer votre fichier avec des modifications de schéma. Pour en savoir plus, consultez Scripts LDIF.

Avant de préparer votre fichier LDIF, lisez les consignes suivantes.

Éléments de schéma

Les éléments de schéma, tels que les classes, les attributs et les objets, sont les éléments de base d'un schéma AD. Nous vous recommandons de vous familiariser avec les concepts clés liés aux éléments de schéma, tels que les attributs, les classes d'objets, les identifiants d'objets et les attributs associés. Pour en savoir plus, consultez la page Schéma Active Directory (AD DS).

Structure du fichier LDIF

Vous devez organiser les entrées dans un fichier LDIF à l'aide de la structure Directory Information Tree (DIT). La structure d'un fichier LDIF valide doit respecter les directives suivantes:

Répertorie les entrées parentes avant les entrées enfants.
Séparez les entrées d’un fichier LDIF par une ligne vide.
La classe ou l'attribut que vous utilisez dans une entrée doit exister dans le schéma. Avant d'utiliser une classe ou un attribut, vérifiez qu'ils sont disponibles dans le schéma. Si ce n'est pas le cas, vous devez ajouter la classe ou l'attribut au schéma. Par exemple, vous devez créer un attribut avant de l'associer à une classe.

Format du nom distinctif

Toutes les entrées d'un fichier LDIF commencent par un nom distinctif (DN). Il spécifie l'objet AD sur lequel les enregistrements opèrent. Pour que les enregistrements mettent à jour le cache du schéma, le nom distinctif doit être vide. Pour pouvoir apporter des modifications de schéma, le nom distinctif doit être au format suivant:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Remplacez les éléments suivants :

CLASS_OR_ATTRIBUTE: nom d'une classe ou d'un attribut. Par exemple, example-attribute.
ROOT_DOMAIN: domaine racine de votre nom de domaine Par exemple, si votre nom de domaine est example.com, saisissez example.
TOP_LEVEL_DOMAIN: domaine de premier niveau de votre nom de domaine. Par exemple, si votre nom de domaine est example.com, saisissez com.

Par exemple, le nom distinctif d'un attribut example-attribute pour le nom de domaine example.com doit être au format suivant:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Types de modifications LDIF compatibles

Le service Microsoft AD géré accepte les types de modification LDIF suivants pour les extensions de schéma:

Type de modification LDIF	Action de l'extension de schéma
`add`	Crée une classe ou un attribut dans le schéma.
`modify`	Met à jour les propriétés d'une classe ou d'un attribut dans le schéma. La liste suivante décrit certaines des modifications possibles des établissements: Associer un attribut à une classe Mettre à jour la propriété `ldapDisplayName` d'une classe ou d'un attribut Désactivation d'une classe ou d'un attribut Remarque : Pour des raisons de sécurité, le service Microsoft AD géré ne permet pas de modifier l'attribut `defaultSecurityDescriptor`.
`modrdn` ou `moddn`	Renomme le nom distinctif relatif (RDN) d'une classe ou d'un attribut.

Points à prendre en compte

Avant d'étendre le schéma, veillez à tenir compte des considérations suivantes.

Microsoft fournit des conseils détaillés décrivant l'impact des extensions de schéma sur votre environnement Active Directory. Veillez à les examiner attentivement avant d'étendre le schéma. Pour en savoir plus, consultez Ce que vous devez savoir avant d'étendre le schéma.
L'ajout d'une classe ou d'un attribut au schéma est définitif. Toutefois, vous pouvez désactiver une classe ou un attribut dont vous n'avez plus besoin après l'avoir ajouté. Pour en savoir plus, consultez Désactiver des classes et des attributs existants.

Fonctionnement de l'extension de schéma

Lorsque vous lancez une extension de schéma pour un domaine, le service Microsoft AD géré valide le fichier LDIF pour la structure, le format des éléments de schéma, ainsi que les types de modifications ou actions compatibles.

Si le fichier LDIF est valide, le service Microsoft AD géré effectue une sauvegarde du domaine avant d'appliquer les modifications de schéma. Si vous rencontrez des problèmes avec votre application après avoir mis à jour le schéma, vous pouvez utiliser cette sauvegarde pour restaurer le domaine. Ensuite, le service Microsoft AD géré isole l'un de vos contrôleurs de domaine du domaine et applique les modifications de schéma à l'aide de l'outil Ldifde. Pendant que les modifications de schéma sont en cours, les autres contrôleurs de domaine de votre domaine diffusent le trafic client.

Si les modifications de schéma réussissent, le contrôleur de domaine isolé se reconnecte au domaine et réplique ces modifications de schéma vers les autres contrôleurs de domaine du domaine.

Si les modifications de schéma échouent, le service Microsoft AD géré rétablit l'état de sauvegarde du contrôleur de domaine.

Le service Microsoft AD géré n'est pas compatible avec l'extension de schéma partielle sur un domaine. En d'autres termes, si l'une des commandes du fichier LDIF ne s'applique pas au domaine, la demande d'extension de schéma échoue. Le service Microsoft AD géré rétablit également votre domaine à l'état dans lequel il se trouvait avant l'application des modifications de schéma.

Étapes suivantes

Découvrez comment étendre un schéma dans le service Microsoft AD géré.
Restrictions concernant l'extension de schéma