In een AD LDS-schema (Active Directory Lightweight Directory Services) wordt, met behulp van objectklassen en kenmerken, gedefinieerd welk soort objecten en gegevens in een AD LDS-map kunnen worden gemaakt en opgeslagen. Elke AD LDS-configuratieset heeft een eigen schema dat onafhankelijk kan worden beheerd en dat is opgeslagen in de schemamappartitie. Omdat het ontwerp van AD LDS is gebaseerd op eenvoud en flexibiliteit, bevat het AD LDS-basisschema (of standaardschema) alleen de klassen en kenmerken die nodig zijn om een AD LDS-exemplaar te starten. Het schema kan door beheerders of door de toepassingen zelf worden uitgebreid met nieuwe klassen en kenmerken. Bovendien kunnen overbodige schemaklassen en -kenmerken worden gedeactiveerd. Net als alle objecten in de directory worden schemaobjecten door toegangsbeheerlijsten (ACL's) beveiligd, zodat alleen geautoriseerde gebruikers het schema kunnen wijzigen. Elk object in een AD LDS-directory is een exemplaar van een objectklasse die is gedefinieerd in een schema, zoals te zien is in de volgende afbeelding.
Objectklassen
Een objectklasse vertegenwoordigt een categorie met objecten die een gemeenschappelijke set met kenmerken bevatten, zoals gebruikers, printers of toepassingsprogramma's. De definitie van elke objectklasse bevat een lijst met de kenmerken die kunnen worden gebruikt om exemplaren van de klasse te beschrijven. De klasse User heeft bijvoorbeeld kenmerken zoals givenName, surname en streetAddress. De lijst met kenmerken voor een klasse is verdeeld in kenmerken die een object van die klasse moet bevatten en extra kenmerken die een object mag bevatten. In de definitie van elke klasse worden ook de klassen weergegeven van objecten die bovenliggende objecten kunnen zijn van een bepaalde klasse.
De volgende tabel bevat de definitie voor de AD LDS-klasse User.
| Kenmerk | Waarde |
|---|---|
|
Dn |
CN=User,CN=Schema,CN=Configuration |
|
objectClass |
top; classSchema; |
|
cn |
User; |
|
distinguishedName |
CN=User,CN=Schema,CN=Configuration; |
|
subClassOf |
organizationalPerson; |
|
mayContain |
audio; carLicense; departmentNumber; displayName; employeeNumber; employeeType; givenName; homePostalAddress; jpegPhoto; labeledURI; photo; preferredLanguage; roomNumber; secretary; uid; userPKCS12; userSMIMECertificate; x500uniqueIdentifier; |
|
rDNAttID |
cn; |
|
adminDisplayName |
User; |
|
adminDescription |
User; |
|
objectClassCategory |
1; |
|
lDAPDisplayName |
user; |
|
name |
User; |
|
objectGUID |
dac9093a-d2aa-408a-81bb-0fe8179165da; |
|
schemaIDGUID |
bf967aba-0de6-11d0-a285-00aa003049e2; |
|
objectCategory |
CN=Class-Schema,CN=Schema,CN=Configuration; |
|
defaultObjectCategory |
CN=Person,CN=Schema,CN=Configuration; |
Kenmerken
In het schema wordt ook elk kenmerk gedefinieerd. De definitie voor elk kenmerk bevat unieke id's voor het kenmerk, de syntaxis voor het kenmerk, optionele bereiklimieten voor de waarden van het kenmerk, een aanduiding of het kenmerk slechts één of juist meerdere waarden kan hebben en of het kenmerk geïndexeerd is. In het mapschema wordt elk kenmerk precies één keer gedefinieerd. Er kan naar elk kenmerk worden verwezen door meerdere objectklassen. Het kenmerk description wordt bijvoorbeeld één keer gedefinieerd en vervolgens wordt er door een groot aantal objectklassen naar verwezen.
De volgende tabel bevat de kenmerkdefinitie voor telephone number, een representatief schemakenmerk.
| Kenmerk | Waarde |
|---|---|
|
objectClass |
top; attributeSchema; |
|
cn |
Telephone-Number; |
|
distinguishedName |
CN=Telephone-Number,CN=Schema,CN=Configuration; |
|
instanceType |
0x4 = ( IT_WRITE ); |
|
whenCreated |
11/12/2002 13 |
|
22 |
14 Pacific Standard Time Pacific Daylight Time; |
|
whenChanged |
11/12/2002 13 |
|
22 |
14 Pacific Standard Time Pacific Daylight Time; |
|
uSNCreated |
217; |
|
attributeID |
2.5.4.20; |
|
attributeSyntax |
2.5.5.12; |
|
isSingleValued |
TRUE; |
|
rangeLower |
1; |
|
rangeUpper |
64; |
|
uSNChanged |
217; |
|
showInAdvancedViewOnly |
TRUE; |
|
adminDisplayName |
Telephone-Number; |
|
adminDescription |
Telephone-Number; |
|
oMSyntax |
64; |
|
searchFlags |
0; |
|
lDAPDisplayName |
telephoneNumber; |
|
name |
Telephone-Number; |
|
objectGUID |
bf19d7eb-ea0f-4f2d-af67-f439a037d8a4; |
|
schemaIDGUID |
bf967a49-0de6-11d0-a285-00aa003049e2; |
|
attributeSecurityGUID |
77b5b886-944a-11d1-aebd-0000f80367c1; |
|
systemOnly |
FALSE; |
|
systemFlags |
0x10 = ( FLAG_SCHEMA_BASE_OBJECT ); |
|
isMemberOfPartialAttributeSet |
TRUE; |
|
objectCategory |
CN=Attribute-Schema,CN=Schema,CN=Configuration; |
Kenmerken met één waarde en met meerdere waarden
Kenmerken kunnen één waarde of meerdere waarden hebben. Een exemplaar van een kenmerk met één waarde kan slechts één waarde bevatten. Een exemplaar van een kenmerk met meerdere waarden kan meerdere waarden bevatten die alle dezelfde syntaxis moeten gebruiken. Elke waarde van een kenmerk met meerdere waarden moet uniek zijn.
 | Opmerking |
|
In een kenmerk met meerdere waarden worden de waarden in willekeurige volgorde opgeslagen. U moet daarom, in programmacode of handmatig, geen beslissingen aangaande de directory nemen op basis van de volgorde van de waarden in een kenmerk met meerdere waarden. |
Geïndexeerde kenmerken
Geïndexeerde kenmerken verbeteren de prestaties van query's die zijn gebaseerd op een geïndexeerd kenmerk. Zowel kenmerken met één waarde als kenmerken met meerdere waarden kunnen worden geïndexeerd. Klassen kunnen niet worden geïndexeerd. Kenmerken kunnen voor indexering worden gemarkeerd via hun schemadefinitie. Als een kenmerk is geïndexeerd, kunnen gebruikers jokertekens (*) gebruiken als voor- en achtervoegsels bij het opgeven van een zoekreeks. Als u een kenmerk markeert als geïndexeerd, worden alle exemplaren van het kenmerk toegevoegd aan de index, niet alleen de exemplaren die lid zijn van een bepaalde klasse. Het indexeren van kenmerken, met name kenmerken met meerdere waarden, kan een negatieve invloed hebben op de tijd die nodig is voor replicatie en het maken van objecten. Bovendien kan hierdoor de directorydatabase aanzienlijk groter worden. U moet daarom alleen kenmerken indexeren die vaak worden gebruikt.
Zie Active Directory-schema (