Impacto de los cambios de esquema
Una extensión de esquema afecta a un bosque de dominio controlado por Servicios de dominio de Active Directory de varias maneras:
Los cambios de esquema son globales. Hay un único esquema para un bosque completo. El esquema se replica globalmente: existe una copia del esquema en cada controlador de dominio del bosque. Al extender el esquema, se extiende para todo el bosque.
No se pueden invertir las adiciones de objetos de esquema. Cuando se agrega un nuevo objeto de clase o atributo al esquema, no se puede quitar. Se puede deshabilitar un atributo o clase existente, pero no quitarse. Para obtener más información, vea Deshabilitar clases y atributos existentes. Deshabilitar una clase o atributo no afecta a las instancias existentes de la clase o atributo, pero impide la creación de nuevas instancias. No se puede deshabilitar un atributo si se incluye en ninguna clase que no está deshabilitada.
Los OID deben ser únicos. Cuando se agrega un atributo o una clase al esquema, no se puede agregar ningún atributo o clase con el mismo OID. Esto es true incluso si se ha deshabilitado una clase o atributo. Por este motivo, es necesario usar identificadores de acceso válidos. No sintetizar un OID y no reutilizar un OID existente. Para obtener más información sobre cómo obtener un OID válido, vea Obtener un identificador de objeto raíz.
Algunos cambios se pueden realizar después de la creación:
- Para una clase de categoría 1 o categoría 2, puede agregar o quitar valores en el atributo possSuperiors . Los valores possSuperiors especifican las clases de objeto que pueden contener la clase .
- Para una clase de categoría 1 o categoría 2, puede agregar o quitar valores en el atributo mayContain . Los valores mayContain especifican los atributos opcionales, pero pueden estar presentes en una instancia de la clase .
LDAPDisplayName para una clase o atributo category 2 se puede cambiar después de crearlo. Normalmente, no debe cambiar lDAPDisplayName. Sin embargo, hay una razón legítima para cambiar el nombre LDAP y es que si ha cometido un error al definir el atributo o la clase y debe crear uno nuevo para reemplazar el anterior. No es necesario cambiar el nombre del nombre distintivo relativo (RDN) del atributo o esquema de clase para hacerlo. Cuando se cambia el nombre LDAP, esto le permite solucionar un error en lugar de volver a generar toda la infraestructura de Windows 2000. Para obtener más información, vea Deshabilitar clases y atributos existentes.
No se pueden cambiar las clases o atributos lDAPDisplayName para clases predefinidas (categoría 1). Para obtener más información sobre los objetos de esquema de categoría 1 y 2, vea Restricciones en la extensión de esquema.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de