Cette page a été traduite par l'API Cloud Translation.

À propos de l'extension de schéma

Cette page décrit le fonctionnement de l'extension de schéma dans le service géré pour Microsoft Active Directory.

Présentation

Active Directory s’appuie sur un schéma pour organiser et stocker les données d’annuaire. Le schéma AD définit les classes d'objets et ses attributs qui sont utilisés pour stocker les données d'annuaire.

Vous pouvez utiliser des extensions de schéma pour effectuer des modifications de schéma et activer la compatibilité avec les applications qui dépendent de classes ou d'attributs spécifiques dans Active Directory.

Vous pouvez étendre le schéma AD par défaut en définissant de nouvelles classes et attributs ou en modifiant les définitions ou les propriétés des classes et attributs existants. Le service Microsoft AD géré vous permet d'étendre le schéma à l'aide d'un fichier LDIF (LDAP Data Interchange Format) contenant des commandes permettant de modifier le schéma. Pour en savoir plus, consultez Étendre le schéma.

Pour en savoir plus sur LDIF, consultez LDAP Data Interchange Format (Format d'échange de données LDAP).

Préparer votre fichier LDIF

Un fichier LDIF est un format d'échange de données en texte brut standard permettant de représenter les demandes de mise à jour et le contenu d'un annuaire LDAP (Lightweight Directory Access Protocol). Un fichier LDIF est constitué d'une série d'enregistrements représentant un ensemble de demandes de mise à jour, telles que l'ajout, la modification ou le changement de nom. Des lignes vides séparent l'ensemble d'enregistrements du fichier LDIF représentant chaque entrée de demande de mise à jour. Nous vous recommandons de comprendre le format des fichiers LDIF avant de créer un fichier avec des modifications de schéma. Pour en savoir plus, consultez Scripts LDIF.

Avant de préparer votre fichier LDIF, lisez les consignes suivantes.

Éléments du schéma

Les éléments de schéma, tels que les classes, les attributs et les objets, sont les blocs de construction d'un schéma AD. Nous vous recommandons de vous familiariser avec les concepts clés liés aux éléments du schéma, tels que les attributs, les classes d'objets, les identifiants d'objets et les attributs associés. Pour en savoir plus, consultez la page Schéma Active Directory (AD DS).

Structure du fichier LDIF

Vous devez organiser les entrées dans un fichier LDIF en utilisant la structure Directory Information Tree (DIT). La structure d'un fichier LDIF valide doit respecter les consignes suivantes:

Listez les entrées parentes avant les entrées enfants.
Séparez les entrées d'un fichier LDIF par une ligne vide.
Toute classe ou tout attribut que vous utilisez dans une entrée doit exister dans le schéma. Avant d'utiliser une classe ou un attribut, vérifiez qu'ils sont disponibles dans le schéma. Sinon, vous devez ajouter la classe ou l'attribut au schéma. Par exemple, vous devez créer un attribut avant de l'associer à une classe.

Format du nom distinctif

Toutes les entrées d'un fichier LDIF commencent par un nom distingué (DN). Il spécifie l'objet AD sur lequel fonctionnent les enregistrements. Si les enregistrements mettent à jour le cache de schéma, le DN doit être vide. Pour toute modification de schéma, le nom distinctif doit respecter le format suivant:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Remplacez les éléments suivants :

CLASS_OR_ATTRIBUTE: nom d'une classe ou d'un attribut. Exemple :example-attribute
ROOT_DOMAIN: domaine racine de votre nom de domaine Par exemple, si votre nom de domaine est example.com, saisissez example.
TOP_LEVEL_DOMAIN: domaine de premier niveau de votre nom de domaine Par exemple, si votre nom de domaine est example.com, saisissez com.

Par exemple, le nom distinctif d'un attribut example-attribute pour le nom de domaine example.com doit être au format suivant:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Types de modifications LDIF compatibles

Le service Microsoft AD géré accepte les types de modification LDIF suivants pour l'extension de schéma:

Type de modification LDIF	Action d'extension de schéma
`add`	Crée une classe ou un attribut dans le schéma.
`modify`	Met à jour les propriétés d'une classe ou d'un attribut dans le schéma. La liste suivante décrit certaines des mises à jour possibles des propriétés: Association d'un attribut à une classe. Mettre à jour la propriété `ldapDisplayName` d'une classe ou d'un attribut Désactivation d'une classe ou d'un attribut Remarque : Pour des raisons de sécurité, le service Microsoft AD géré n'est pas compatible avec la modification de l'attribut `defaultSecurityDescriptor`.
`modrdn` ou `moddn`	Renomme le nom distinctif relatif (RDN) d'une classe ou d'un attribut.

Remarques

Avant d'étendre le schéma, veillez à prendre en compte les points suivants.

Microsoft fournit des conseils détaillés décrivant l'impact des extensions de schéma sur votre environnement Active Directory. Examinez-les attentivement avant d'étendre le schéma. Pour en savoir plus, consultez Ce que vous devez savoir avant d'étendre le schéma.
L'ajout d'une classe ou d'un attribut au schéma est permanent. Toutefois, vous pouvez désactiver une classe ou un attribut dont vous n'avez plus besoin après l'avoir ajouté. Pour en savoir plus, consultez la section Désactiver des classes et des attributs existants.

Fonctionnement de l'extension de schéma

Lorsque vous lancez l'extension de schéma pour un domaine, Microsoft AD géré valide la structure, le format des éléments de schéma et les types de modifications ou actions compatibles du fichier LDIF.

Si le fichier LDIF est valide, Microsoft AD géré effectue une sauvegarde du domaine avant d'appliquer les modifications apportées au schéma. Si vous rencontrez des problèmes avec votre application après la mise à jour du schéma, vous pouvez utiliser cette sauvegarde pour restaurer le domaine. Microsoft AD géré isole ensuite l'un de vos contrôleurs de domaine du domaine et applique les modifications de schéma à l'aide de l'outil Ldifde. Pendant que les modifications du schéma sont en cours, d'autres contrôleurs de domaine de votre domaine diffusent le trafic client.

Si les modifications de schéma aboutissent, le contrôleur de domaine isolé se reconnecte au domaine et réplique ces modifications de schéma sur les autres contrôleurs de domaine du domaine.

Si les modifications de schéma échouent, le service Microsoft AD géré rétablit l'état de sauvegarde du contrôleur de domaine.

Le service Microsoft AD géré n'est pas compatible avec l'extension de schéma partielle sur un domaine. En d'autres termes, si l'une des commandes du fichier LDIF ne s'applique pas au domaine, la requête d'extension de schéma échoue. Managed Microsoft AD rétablit également l'état de votre domaine tel qu'il était avant l'application des modifications de schéma.

Étape suivante

Découvrez comment étendre le schéma dans le service Microsoft AD géré.
Restrictions concernant l'extension de schéma