Как определяются объекты каталога
В схеме класс объектов представляет собой категорию объектов каталога, таких как пользователи, принтеры или прикладные программы, совместно использующих набор общих характеристик. Определение каждого класса объектов содержит список атрибутов схемы, которые можно использовать для описания экземпляров этого класса. Например, класс User имеет атрибуты, такие как givenName, surname и streetAddress. При создании нового пользователя в каталоге этот пользователь становится экземпляром класса User, а введенные сведения об этом пользователе становятся экземплярами атрибутов. Дополнительные сведения см. в разделе Классы и атрибуты схемы.
Как хранится схема
В каждом лесу может быть только одна схема, которая хранится в разделе каталога схемы. ,Раздел каталога схемы, вместе с разделом каталога конфигурации, реплицируется на все контроллеры домена в лесу. Но структурой и содержанием схемы управляет только один контроллер домена, хозяин схемы. Дополнительные сведения о хозяине схемы см. в разделе Роли хозяев операций.
Кэш схемы
Для повышения скорости выполнения операций схемы (таких как проверка новых объектов) копия схемы хранится в памяти каждого контроллера домена (вдобавок к копии, хранящейся на его диске). Эта кэшированная версия автоматически обновляется (с небольшой задержкой) при каждом обновлении схемы. Либо, для немедленного обновления, можно вручную загрузить в кэш обновленную схему. Дополнительные сведения см. в разделе Перезагрузка схемы.
Обеспечение безопасности схемы
Как и любой объект в Active Directory, объекты схемы защищены от несанкционированного использования с помощью списков управления доступом (ACL). По умолчанию доступ на запись к схеме имеют только члены группы «Администраторы схемы». Поэтому расширение схемы возможно только с использованием учетной записи члена группы «Администраторы схемы». Единственным членом по умолчанию группы «Администраторы схемы» является учетная запись администратора в корневом домене леса. Членство в группе «Администраторы схемы» следует ограничить, поскольку неправильное расширение схемы может иметь серьезные последствия для сети. Дополнительные сведения см. в разделах Управление доступом в Active Directory и Группы по умолчанию.
Дополнительные сведения о схеме Active Directory см. на веб-узле Microsoft Windows Resource Kits и на веб-узле Microsoft MSDN.
Классы и атрибуты схемы
Классы и атрибуты схемы
Каждый создаваемый объект каталога представляет собой экземпляр класса объектов, хранящегося в схеме. Каждый класс объектов содержит список связанных атрибутов, определяющих данные, которые может содержать этот объект. Классы и атрибуты определяются независимо, чтобы один атрибут можно было связывать с несколькими классами. Все классы и атрибуты схемы определяются объектами classSchema и attributeSchema соответственно.
Классы
Для определения классов в схеме используются объекты ClassSchema. Объект classSchema предоставляет шаблон для построения объектов схемы соответствующего класса. Примерами объектов classSchema могут быть объекты User и Server. Среди прочих данных объект classSchema содержит следующие:
- тип класса (структурный, абстрактный или особый);
- общее имя и выводимое имя LDAP;
- списки атрибутов, которые должны содержать и которые могут содержать экземпляры этого объекта;
- атрибут относительного различаемого имени;
- список возможных родительских классов.
Типы классов
В схеме существуют различные типы классов.
Тип класса | Назначение |
Структурный | Используется для определения объектов (пользователей, серверов и т. д.) в каталоге. |
Абстрактный | Предоставляет шаблоны для построения структурных классов. |
Особый | Содержит предопределенные списки атрибутов, которые могут быть включены в структурные и абстрактные классы. |
Примечания
- В семействе Windows Server 2003 класс inetOrgPerson теперь входит в основную схему. Этот класс можно использовать в качестве участника безопасности, так же как класс user.
Атрибуты
Для определения атрибутов в схеме используются объекты AttributeSchema. Объект attributeSchema определяет допустимые содержимое и синтаксис для экземпляров этого атрибута в каталоге. Примерами объектов attributeSchema могут быть объекты User-Principal-Name и Telex-Number. Среди прочих данных объект attributeSchema содержит следующие:
- общее имя и выводимое имя LDAP;
- правила синтаксиса;
- ограничения данных (одно или несколько значений, наименьшее и наибольшие допустимые значения);
- условия и правила индексирования этого атрибута.