Compartir a través de

Restricciones en la extensión de esquema

  • Artículo

Para reducir la posibilidad de cambios de esquema por una aplicación que rompe otras aplicaciones y mantener la coherencia del esquema, Active Directory Domain Services aplica restricciones sobre el tipo de cambios de esquema que una aplicación o usuario puede realizar.

Las restricciones solo se imponen a la modificación de objetos de esquema existentes. El esquema se clasifica en dos categorías. Los objetos de esquema que se incluyen con Windows 2000 en el esquema base pertenecen a la categoría 1. Los objetos de esquema agregados más adelante por otras aplicaciones o usuarios a través de la extensión de esquema dinámico pertenecen a la categoría 2. La categoría de un objeto de esquema se puede determinar mediante el 0x10 bit establecido en el atributo systemFlags en el objeto classSchema. Este bit solo se establece en objetos Category 1 y no se puede modificar ni se puede establecer en ningún objeto Category 2.

Active Directory Domain Services usa internamente el atributo systemFlags para identificar características especiales de objetos "infraestructura" en el esquema base. Además de identificar objetos de categoría 1, systemFlags controla si se puede mover, eliminar o cambiar el nombre de un objeto. Estas operaciones se impiden para los objetos de los que depende Windows 2000.

En cualquier objeto de esquema, categoría 1 o 2, Active Directory Domain Services impone las restricciones siguientes:

  • No se puede agregar un nuevo mustContain a una clase (directamente o a través de la herencia agregando una clase auxiliar).
  • No se puede eliminar ningún mustContain de la clase (directamente o a través de la herencia).

Además, se imponen las siguientes restricciones adicionales a los objetos de esquema de categoría 1:

  • No se pueden cambiar los atributos siguientes de un atributo Category 1:

    • rangeLower y rangeUpper (intervalo de valores).
    • atributoSecurityGuid (determina en qué propiedad se establece el atributo, si existe).

  • No se puede cambiar el defaultObjectCategory de una clase Category 1.

  • No se puede cambiar el objectCategory de ninguna instancia de una clase Category 1.

  • No se puede desactivar una clase o atributo de categoría 1.

  • No se puede cambiar el lDAPDisplayName de una clase o atributo de categoría 1.

  • No se puede cambiar el nombre de una clase o atributo de categoría 1.