Dela via

Begränsningar för schematillägg

  • Artikel

För att minska risken för schemaändringar av ett program som bryter andra program och för att upprätthålla schemakonsekvens, tillämpar Active Directory Domain Services begränsningar för vilken typ av schemaändringar som ett program eller en användare tillåts göra.

Begränsningarna tillämpas endast på ändringar av befintliga schemaobjekt. Schemat kategoriseras i två kategorier. Schemaobjekten som levereras med Windows 2000 i basschemat tillhör kategori 1. Alla schemaobjekt som läggs till senare av andra program eller användare via dynamiskt schematillägg tillhör kategori 2. Kategorin för ett schemaobjekt kan bestämmas av den 0x10 bituppsättningen i attributet systemFlagsclassSchema-objektet. Den här biten anges bara på kategori 1-objekt och kan inte ändras och kan inte heller anges på något kategori 2-objekt.

Attributet systemFlags används internt av Active Directory Domain Services för att identifiera särskilda egenskaper för "infrastruktur"-objekt i basschemat. Förutom att identifiera kategori 1-objekt styr systemFlags om ett objekt kan flyttas, tas bort eller byta namn. Dessa åtgärder förhindras för objekt som Windows 2000 är beroende av för att köras.

På alla schemaobjekt, kategori 1 eller 2, tillämpar Active Directory Domain Services följande begränsningar:

  • Du kan inte lägga till en ny mustContain till en klass (direkt eller genom arv genom att lägga till en extra klass).
  • Du kan inte ta bort någon mustContain av klassen (direkt eller via arv).

Dessutom införs följande ytterligare begränsningar för schemaobjekt i kategori 1:

  • Du kan inte ändra följande attribut för ett kategori 1-attribut:

    • rangeLower och rangeUpper (värdeintervall).
    • attributeSecurityGuid (avgör vilken egenskap som attributet tillhör, om det finns).

  • Du kan inte ändra defaultObjectCategory för en kategori 1-klass.

  • Du kan inte ändra objectCategory för någon instans av en kategori 1-klass.

  • Du kan inte göra en kategori 1-klass eller ett attribut inaktiverat.

  • Du kan inte ändra lDAPDisplayName för en kategori 1-klass eller ett attribut.

  • Du kan inte byta namn på en kategori 1-klass eller ett attribut.