Compartilhar via

Restrições na extensão de esquema

  • Artigo

Para reduzir a possibilidade de alterações de esquema por um aplicativo quebrando outros aplicativos e manter a consistência do esquema, os Serviços de Domínio do Active Directory impõem restrições ao tipo de alterações de esquema que um aplicativo ou usuário tem permissão para fazer.

As restrições são impostas somente na modificação de objetos de esquema existentes. O esquema é categorizado em duas categorias. Os objetos de esquema que são enviados com o Windows 2000 no esquema base pertencem à Categoria 1. Todos os objetos de esquema adicionados posteriormente por outros aplicativos ou usuários por meio da extensão de esquema dinâmico pertencem à Categoria 2. A categoria de um objeto de esquema pode ser determinada pelo 0x10 bit definido no atributo systemFlags no objeto classSchema. Esse bit só é definido em objetos de Categoria 1 e não pode ser alterado, nem pode ser definido em qualquer objeto de Categoria 2.

O atributo systemFlags é usado internamente pelo Active Directory Domain Services para identificar características especiais de objetos de "infraestrutura" no esquema base. Além de identificar objetos de Categoria 1, systemFlags controla se um objeto pode ser movido, excluído ou renomeado. Essas operações são impedidas para objetos dos quais o Windows 2000 depende para ser executado.

Em qualquer objeto de esquema, categoria 1 ou 2, os Serviços de Domínio do Active Directory impõem as seguintes restrições:

  • Você não pode adicionar um novo mustContain a uma classe (diretamente ou por meio de herança adicionando uma classe auxiliar).
  • Você não pode excluir nenhuma mustContain da classe (diretamente ou por meio de herança).

Além disso, as seguintes restrições adicionais são impostas aos objetos de esquema de Categoria 1:

  • Você não pode alterar os seguintes atributos de um atributo de Categoria 1:

    • rangeLower e rangeUpper (intervalo de valor).
    • attributeSecurityGuid (determina em qual propriedade o atributo pertence, se houver).

  • Não é possível alterar o defaultObjectCategory de uma classe de Categoria 1.

  • Não é possível alterar o objectCategory de qualquer instância de uma classe de Categoria 1.

  • Não é possível tornar uma classe de Categoria 1 ou um atributo extinto.

  • Não é possível alterar o lDAPDisplayName de uma classe ou atributo de Categoria 1.

  • Você não pode renomear uma classe ou atributo de Categoria 1.