Sobre a extensão de esquema

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, descrevemos como a extensão de esquema funciona no Serviço gerenciado para Microsoft Active Directory.

Visão geral

O Active Directory depende do esquema para organizar e armazenar os dados do diretório. O esquema do AD define as classes de objeto e os atributos que são usados para armazenar os dados do diretório.

É possível usar extensões de esquema para executar alterações de esquema e ativar o suporte para aplicativos que dependem de classes ou atributos específicos no Active Directory.

É possível estender o esquema padrão do AD definindo novas classes e atributos ou modificando as definições ou propriedades das classes e atributos existentes. O Microsoft AD gerenciado permite estender o esquema usando um arquivo LDAP Data Exchange Exchange (LDIF) com comandos para alterações de esquema. Saiba mais em Como estender o esquema.

Para mais informações sobre o LDIF, consulte Formato de troca de dados LDAP (em inglês).

Como preparar o arquivo LDIF

Um arquivo LDIF é um formato padrão de troca de dados de texto simples para representar o conteúdo do diretório do Acesso leve para diretórios e as solicitações de atualização. Um arquivo LDIF consiste em uma série de registros que representa uma coleção de solicitações de atualização, como adicionar, modificar e renomear. As linhas em branco separam o conjunto de registros no arquivo LDIF que representa cada entrada da solicitação de atualização. Recomendamos que você entenda o formato dos arquivos LDIF antes de criar arquivos com mudanças no esquema. Para mais informações, consulte Scripts LDIF.

Antes de preparar seu arquivo LDIF, leia as diretrizes a seguir.

Elementos de esquema

Os elementos de esquema, como classes, atributos e objetos, são os elementos básicos de um esquema do AD. Recomendamos que você aprenda os principais conceitos relacionados a elementos de esquema, como atributos, classes de objetos, identificadores de objetos e atributos vinculados. Para mais informações, consulte Esquema do Active Directory (AD DS).

Estrutura de arquivo LDIF

É necessário organizar as entradas em um arquivo LDIF usando a estrutura de Árvore de informações do diretório (DIT, na sigla em inglês). A estrutura de um arquivo LDIF válido precisa seguir estas diretrizes:

  • Liste as entradas mãe antes das entradas filhas.
  • Separe as entradas em um arquivo LDIF com uma linha em branco.
  • Qualquer classe ou atributo usado em uma entrada precisa existir no esquema. Antes de usar uma classe ou um atributo, verifique se ele está disponível no esquema. Caso contrário, adicione a classe ou o atributo ao esquema. Por exemplo, é necessário criar um atributo antes de anexá-lo a uma classe.

Formato de nome distinto

Todas as entradas em um arquivo LDIF começam com um nome distinto (DN). Especifica o objeto AD em que os registros operam. Caso os registros atualizem o cache do esquema, o DN precisa estar vazio. Para alterações de esquema, o DN precisa estar no seguinte formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Substitua:

  • CLASS_OR_ATTRIBUTE: o nome de uma classe ou atributo. Por exemplo, example-attribute.
  • ROOT_DOMAIN: o domínio raiz do nome de domínio. Por exemplo, se o nome do domínio for example.com, digite example.
  • TOP_LEVEL_DOMAIN: o domínio de nível superior do seu nome de domínio. Por exemplo, se o nome do domínio for example.com, digite com.

Por exemplo, o DN de um atributo example-attribute para o nome de domínio example.com precisa estar neste formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de alteração de LDIF compatíveis

O Microsoft AD gerenciado é compatível com os seguintes tipos de alteração LDIF para extensão de esquema:

Tipo de alteração de LDIF Ação de extensão do esquema
add Cria uma nova classe ou atributo no esquema.
modify Atualiza as propriedades de uma classe ou atributo no esquema. A lista a seguir descreve algumas das possíveis atualizações de propriedade:
  • Anexar um atributo a uma classe.
  • Como atualizar a propriedade ldapDisplayName de uma classe ou atributo.
  • Como desativar uma classe ou um atributo.
    		•
    modrdn ou moddn Renomeia o nome distinto (RDN) relativo para uma classe ou um atributo.

    Considerações

    Antes de estender o esquema, consulte as seguintes considerações.

    • A Microsoft oferece orientações detalhadas descrevendo o impacto das extensões de esquema no ambiente do Active Directory. Revise-os cuidadosamente antes de estender o esquema. Para saber mais, consulte O que você precisa saber antes de estender o esquema.
    • A adição de uma classe ou atributo ao esquema é permanente. No entanto, é possível desativar uma classe ou um atributo que você não precisa mais depois de adicioná-lo. Para mais informações, consulte Como desativar classes e atributos existentes.

    Como a extensão de esquema funciona

    Quando você inicia a extensão do esquema para um domínio, o Microsoft AD gerenciado valida o arquivo LDIF de estrutura, formato dos elementos do esquema e mudanças nos tipos ou ações compatíveis.

    Se o arquivo LDIF for válido, o Microsoft AD gerenciado fará um backup do domínio antes de aplicar as alterações no esquema. Se você tiver problemas com o aplicativo após atualizar o esquema, use esse backup para restaurar o domínio. Depois disso, o Microsoft AD gerenciado isola um dos seus controladores de domínio do domínio e aplica as alterações no esquema com a ferramenta Ldifde. Enquanto as alterações do esquema estão em andamento, outros controladores de domínio no seu domínio veiculam o tráfego do cliente.

    Se o esquema for alterado, o controlador de domínio isolado vai se conectar de volta ao domínio e replicar essas alterações para outros controladores no domínio.

    Se as alterações no esquema falharem, o Managed Microsoft AD vai reverter o controlador de domínio para o estado de backup.

    O Microsoft AD gerenciado não é compatível com a extensão de esquema parcial em um domínio. Em outras palavras, se qualquer um dos comandos no arquivo LDIF não for aplicado no domínio, a solicitação da extensão do esquema falhará. O Microsoft AD gerenciado também reverte seu domínio ao estado em que estava antes de aplicar as alterações no esquema.

    A seguir