Acerca de la extensión de esquemas

En esta página, se describe cómo funciona la extensión de esquemas en el servicio administrado para Microsoft Active Directory.

Descripción general

Active Directory se basa en un esquema para organizar y almacenar los datos del directorio. El esquema de AD define las clases de objetos y sus atributos que se usan para almacenar los datos del directorio.

Puedes usar extensiones de esquema para realizar cambios en el esquema y habilitar la compatibilidad con aplicaciones que dependen de clases o atributos específicos en Active Directory.

Para extender el esquema de AD predeterminado, define clases y atributos nuevos, o bien modifica las definiciones o propiedades de las clases y los atributos existentes. El AD administrado de Microsoft te permite extender el esquema con un archivo en formato de intercambio de datos LDAP (LDIF) que contiene comandos para realizar cambios en el esquema. Para obtener más información, consulta Cómo extender el esquema.

Para obtener más información sobre el LDIF, consulta Formato de intercambio de datos LDAP.

Cómo preparar tu archivo LDIF

Un archivo LDIF es un formato de intercambio de datos de texto sin formato estándar para representar el contenido del directorio y las solicitudes de actualización del Protocolo ligero de acceso a directorios (LDAP). Un archivo LDIF consta de una serie de registros que representan una colección de solicitudes de actualización, como agregar, modificar o cambiar el nombre. Las líneas en blanco separan el conjunto de registros del archivo LDIF que representan cada entrada de la solicitud de actualización. Te recomendamos que comprendas el formato de los archivos LDIF antes de crear tu archivo con cambios de esquema. Para obtener más información, consulta Secuencias de comandos LDIF.

Antes de preparar tu archivo LDIF, lee los siguientes lineamientos.

Elementos del esquema

Los elementos del esquema, como las clases, los atributos y los objetos, son los componentes básicos de un esquema de AD. Te recomendamos que aprendas los conceptos clave relacionados con los elementos del esquema, como los atributos, las clases de objetos, los identificadores de objetos y los atributos vinculados. Para obtener más información, consulta Esquema de Active Directory (AD DS).

Estructura del archivo LDIF

Debes organizar las entradas en un archivo LDIF con la estructura del árbol de información del directorio (DIT). La estructura de un archivo LDIF válido debe cumplir con los siguientes lineamientos:

  • Enumera las entradas superiores antes de las entradas secundarias.
  • Separa las entradas de un archivo LDIF con una línea en blanco.
  • Cualquier clase o atributo que uses en una entrada debe existir en el esquema. Antes de usar una clase o un atributo, asegúrate de verificar si está disponible en el esquema. De lo contrario, debes agregar la clase o el atributo al esquema. Por ejemplo, debes crear un atributo antes de adjuntarlo a una clase.

Formato de nombre distinguido

Todas las entradas de un archivo LDIF comienzan con un nombre distinguido (DN). Especifica el objeto AD en el que operan los registros. En caso de que los registros actualicen la caché del esquema, el DN debe estar vacío. Para los cambios de esquema, el DN debe tener el siguiente formato:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Reemplaza lo siguiente:

  • CLASS_OR_ATTRIBUTE: Es el nombre de una clase o un atributo. Por ejemplo, example-attribute
  • ROOT_DOMAIN: Es el dominio raíz de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, ingresa example.
  • TOP_LEVEL_DOMAIN: Es el dominio de nivel superior de tu nombre de dominio. Por ejemplo, si el nombre de tu dominio es example.com, ingresa com.

Por ejemplo, el DN de un atributo example-attribute para el nombre de dominio example.com debe tener el siguiente formato:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Tipos de cambios de LDIF admitidos

Microsoft AD administrado admite los siguientes tipos de cambios de LDIF para la extensión de esquemas:

changetype de LDIF Acción de extensión de esquema
add Crea una clase o un atributo nuevos en el esquema.
modify Actualiza las propiedades de una clase o un atributo en el esquema. En la siguiente lista, se describen algunas de las posibles actualizaciones de propiedades:
  • Adjunta un atributo a una clase.
  • Actualizar la propiedad ldapDisplayName de una clase o un atributo
  • Inhabilitar una clase o un atributo
  • modrdn o moddn Cambia el nombre del nombre distinguido relativo (RDN) de una clase o un atributo.

    Consideraciones

    Antes de extender el esquema, asegúrate de consultar las siguientes consideraciones.

    • Microsoft proporciona avisos detallados que describen el impacto de las extensiones de esquemas en tu entorno de Active Directory. Asegúrate de revisarlos cuidadosamente antes de extender el esquema. Para obtener más información, consulta Qué debes saber antes de extender el esquema.
    • Agregar una clase o un atributo al esquema es permanente. Sin embargo, puedes inhabilitar una clase o un atributo que ya no necesites después de agregarlos. Para obtener más información, consulta Cómo inhabilitar clases y atributos existentes.

    Cómo funciona la extensión de esquemas

    Cuando inicias la extensión de esquema para un dominio, Microsoft AD administrado valida el archivo LDIF en busca de estructura, formato de elementos de esquema y tipos de cambios o acciones admitidos.

    Si el archivo LDIF es válido, Microsoft AD administrado crea una copia de seguridad del dominio antes de aplicar los cambios en el esquema. Si tienes algún problema con tu aplicación después de actualizar el esquema, puedes usar esta copia de seguridad para restablecer el dominio. Luego, Microsoft AD administrado aísla uno de tus controladores de dominio del dominio y aplica los cambios de esquema con la herramienta Ldifde. Mientras se realizan los cambios en el esquema, otros controladores de dominio de tu dominio entregan el tráfico del cliente.

    Si los cambios de esquema se realizan correctamente, el controlador de dominio aislado se vuelve a conectar al dominio y replica estos cambios de esquema a otros controladores de dominio en el dominio.

    Si los cambios en el esquema fallan, Microsoft AD administrado revertirá el controlador de dominio al estado de la copia de seguridad.

    Microsoft AD administrado no admite la extensión de esquema parcial en un dominio. En otras palabras, si alguno de los comandos del archivo LDIF no se aplica en el dominio, la solicitud de extensión del esquema falla. Microsoft AD administrado también restablece tu dominio al estado que tenía antes de aplicar los cambios en el esquema.

    ¿Qué sigue?