Partager via


Restrictions sur l’extension de schéma

Afin de réduire la possibilité de modifications de schéma par une application cassant d’autres applications et de maintenir la cohérence du schéma, services de domaine Active Directory appliquer des restrictions sur le type de modifications de schéma qu’une application ou un utilisateur est autorisé à effectuer.

Les restrictions sont imposées uniquement sur la modification d’objets de schéma existants. Le schéma est classé en deux catégories. Les objets de schéma fournis avec Windows 2000 dans le schéma de base appartiennent à la catégorie 1. Tous les objets de schéma ajoutés ultérieurement par d’autres applications ou utilisateurs via l’extension de schéma dynamique appartiennent à la catégorie 2. La catégorie d’un objet de schéma peut être déterminée par le bit 0x10 défini dans l’attribut systemFlags sur l’objet classSchema . Ce bit est défini uniquement sur les objets de catégorie 1 et ne peut pas être modifié, ni sur un objet de catégorie 2.

L’attribut systemFlags est utilisé en interne par services de domaine Active Directory pour identifier les caractéristiques spéciales des objets « infrastructure » dans le schéma de base. En plus d’identifier les objets de catégorie 1, systemFlags contrôle si un objet peut être déplacé, supprimé ou renommé. Ces opérations sont empêchées pour les objets dont windows 2000 dépend pour s’exécuter.

Sur tous les objets de schéma, catégorie 1 ou 2, services de domaine Active Directory imposer les restrictions suivantes :

  • Vous ne pouvez pas ajouter un nouveau mustContain à une classe (directement ou via l’héritage en ajoutant une classe auxiliaire).
  • Vous ne pouvez pas supprimer de mustContain de la classe (directement ou via l’héritage).

En outre, les restrictions supplémentaires suivantes sont imposées aux objets de schéma de catégorie 1 :

  • Vous ne pouvez pas modifier les attributs suivants d’un attribut de catégorie 1 :

    • rangeLower et rangeUpper (plage de valeurs).
    • attributeSecurityGuid (détermine à quelle propriété l’attribut appartient, le cas échéant).
  • Vous ne pouvez pas modifier la valeur defaultObjectCategory d’une classe Category 1.

  • Vous ne pouvez pas modifier l’objetCategory d’un instance d’une classe catégorie 1.

  • Vous ne pouvez pas rendre une classe ou un attribut de catégorie 1 obsolète.

  • Vous ne pouvez pas modifier le lDAPDisplayName d’une classe ou d’un attribut Category 1.

  • Vous ne pouvez pas renommer une classe ou un attribut de catégorie 1.