Einschränkungen für die Schemaerweiterung
Um die Möglichkeit von Schemaänderungen durch eine Anwendung zu verringern, die andere Anwendungen unterbricht, und um die Schemakonsistenz aufrechtzuerhalten, Active Directory Domain Services Einschränkungen für den Typ der Schemaänderungen erzwingen, die eine Anwendung oder ein Benutzer vornehmen darf.
Die Einschränkungen gelten nur für Änderungen vorhandener Schemaobjekte. Das Schema ist in zwei Kategorien unterteilt. Die Schemaobjekte, die mit Windows 2000 im Basisschema ausgeliefert werden, gehören zur Kategorie 1. Alle Schemaobjekte, die später von anderen Anwendungen oder Benutzern über die dynamische Schemaerweiterung hinzugefügt werden, gehören zur Kategorie 2. Die Kategorie eines Schemaobjekts kann durch das im systemFlags-Attribut für das classSchema-Objekt festgelegte 0x10 Bit bestimmt werden. Dieses Bit wird nur für Objekte der Kategorie 1 festgelegt und kann weder geändert noch für jedes Kategorie 2-Objekt festgelegt werden.
Das systemFlags-Attribut wird intern von Active Directory Domain Services verwendet, um besondere Merkmale von "Infrastructure"-Objekten im Basisschema zu identifizieren. Neben der Identifizierung von Objekten der Kategorie 1 steuert systemFlags , ob ein Objekt verschoben, gelöscht oder umbenannt werden kann. Diese Vorgänge werden für Objekte verhindert, von denen Windows 2000 zur Ausführung abhängig ist.
Für Schemaobjekte der Kategorie 1 oder 2 Active Directory Domain Services die folgenden Einschränkungen festlegen:
- Sie können keine neue mustContain-Klasse (direkt oder durch Vererbung durch Hinzufügen einer Hilfsklasse) hinzufügen.
- Sie können keine mustContain-Klasse löschen (direkt oder durch Vererbung).
Darüber hinaus gelten die folgenden zusätzlichen Einschränkungen für Schemaobjekte der Kategorie 1:
Sie können die folgenden Attribute eines Attributs der Kategorie 1 nicht ändern:
- rangeLower und rangeUpper (Wertbereich).
- attributeSecurityGuid (bestimmt, in welchen Eigenschaftssatz das Attribut gehört, falls vorhanden).
Sie können die defaultObjectCategory-Klasse einer Klasse der Kategorie 1 nicht ändern.
Sie können die objectCategory-Klasse keiner instance einer Klasse der Kategorie 1 ändern.
Sie können keine Klasse oder ein Attribut der Kategorie 1 als veraltet festlegen.
Sie können den lDAPDisplayName einer Klasse oder eines Attributs der Kategorie 1 nicht ändern.
Eine Klasse oder ein Attribut der Kategorie 1 kann nicht umbenannt werden.