Compartilhar via

Restrições na extensão de esquema

  • Artigo

Para reduzir a possibilidade de alterações de esquema por um aplicativo quebrar outros aplicativos e manter a consistência do esquema, os Serviços de Domínio Active Directory impõem restrições ao tipo de alterações de esquema que um aplicativo ou usuário tem permissão para fazer.

As restrições são impostas somente na modificação de objetos de esquema existentes. O esquema é categorizado em duas categorias. Os objetos de esquema fornecidos com o Windows 2000 no esquema base pertencem à Categoria 1. Todos os objetos de esquema adicionados posteriormente por outros aplicativos ou usuários por meio da extensão de esquema dinâmico pertencem à Categoria 2. A categoria de um objeto de esquema pode ser determinada pelo conjunto de 0x10 bits no atributo systemFlags no objeto classSchema. Esse bit é definido apenas em objetos de Categoria 1 e não pode ser alterado, nem pode ser definido em qualquer objeto de Categoria 2.

O atributo systemFlags é usado internamente pelos Serviços de Domínio Active Directory para identificar características especiais de objetos de "infraestrutura" no esquema base. Além de identificar objetos de Categoria 1, systemFlags controla se um objeto pode ser movido, excluído ou renomeado. Essas operações são impedidas para objetos que o Windows 2000 depende para executar.

Em qualquer objeto de esquema, Categoria 1 ou 2, os Serviços de Domínio Active Directory impõem as seguintes restrições:

  • Não é possível adicionar um novo mustContain a uma classe (diretamente ou por meio de herança, adicionando uma classe auxiliar).
  • Não é possível excluir nenhum mustContain da classe (diretamente ou por herança).

Além disso, as seguintes restrições adicionais são impostas aos objetos de esquema da Categoria 1:

  • Não é possível alterar os seguintes atributos de um atributo de Categoria 1:

    • rangeLower e rangeUpper (intervalo de valores).
    • attributeSecurityGuid (determina a qual conjunto de propriedades o atributo pertence, se houver).

  • Não é possível alterar o defaultObjectCategory de uma classe Category 1.

  • Não é possível alterar o objectCategory de qualquer instância de uma classe Category 1.

  • Não é possível extinguir uma classe ou atributo de Categoria 1.

  • Não é possível alterar o lDAPDisplayName de uma classe ou atributo Category 1.

  • Não é possível renomear uma classe ou atributo de Categoria 1.