Um esquema dos Serviços LDS do Active Directory (AD LDS) define, utilizando classes de objectos e atributos, os tipos de objectos e de dados que podem ser criados e armazenados num directório do AD LDS. Cada conjunto de configuração do AD LDS tem o seu próprio esquema passível de gestão independente, guardado na partição do directório de esquema. Seguindo os conceitos de concepção do AD LDS em termos de simplicidade e de flexibilidade, o esquema base (ou predefinição) do AD LDS contém apenas as classes e os atributos necessários para iniciar uma instância do AD LDS. O esquema pode ser expandido com novas classes e atributos, por administradores ou pelas próprias aplicações. Para além disso, classes e atributos de esquema desnecessários podem ser desactivados. Tal como para todos os objectos no directório, as listas de controlo de acesso (ACLs) protegem os objectos de esquema para que apenas os utilizadores autorizados possam alterar o esquema. Cada objecto num directório do AD LDS é uma instância de uma classe de objecto definida num esquema, tal como é mostrado na seguinte imagem.

Esquema AD LDS

Classes de objecto

Uma classe de objecto representa uma categoria de objectos, tais como utilizadores, impressoras ou programas de aplicação, que partilham um conjunto de características comuns. A definição para cada classe de objecto contém uma lista dos atributos que podem ser utilizados para descrever instâncias da classe. Por exemplo, a classe User tem atributos tais como givenName, surname e streetAddress. A lista de atributos de uma classe está dividida nesses atributos que um objecto dessa classe tem de conter, e atributos adicionais que um objecto pode conter. A definição de cada classe lista também as classes cujos objectos podem ser principais de objectos de uma determinada classe.

Por exemplo, a seguinte tabela mostra a definição para a classe User do AD LDS.

Atributo Valor

Dn

CN=Utilizador,CN=Esquema,CN=Configuração

objectClass

top; classSchema;

cn

Utilizador;

nomeDistinto

CN=Utilizador,CN=Esquema,CN=Configuração;

subClassOf

organizationalPerson;

mayContain

audio; carLicense; departmentNumber; displayName; employeeNumber; employeeType; givenName; homePostalAddress; jpegPhoto; labeledURI; photo; preferredLanguage; roomNumber; secretary; uid; userPKCS12; userSMIMECertificate; x500uniqueIdentifier;

rDNAttID

cn;

adminDisplayName

User;

adminDescription

User;

objectClassCategory

1;

lDAPDisplayName

user;

name

Utilizador;

objectGUID

dac9093a-d2aa-408a-81bb-0fe8179165da;

schemaIDGUID

bf967aba-0de6-11d0-a285-00aa003049e2;

objectCategory

CN=Class-Schema,CN=Schema,CN=Configuration;

defaultObjectCategory

CN=Person,CN=Schema,CN=Configuration;

Atributos

O esquema também define cada atributo. A definição de cada atributo inclui identificadores exclusivos do atributo, a sintaxe do atributo, limites de intervalo opcionais dos valores do atributo, se o atributo pode ter apenas um valor ou vários e se o atributo está indexado. O esquema de directório define cada atributo exactamente uma vez. Cada atributo pode então ser referenciado por várias classes de objecto. Por exemplo, o atributo description é referido uma vez e, em seguida, referenciado por várias classes de objecto.

A seguinte tabela mostra a definição de atributo para número de telefone, um atributo de esquema representativo.

Atributo Valor

objectClass

top; attributeSchema;

cn

Número-Telefone;

distinguishedName

CN=Telephone-Number,CN=Schema,CN=Configuration;

instanceType

0x4 = ( IT_WRITE );

whenCreated

11/12/2002 13

22

14 Pacific Standard Time Pacific Daylight Time;

whenChanged

11/12/2002 13

22

14 Pacific Standard Time Pacific Daylight Time;

uSNCreated

217;

attributeID

2.5.4.20;

attributeSyntax

2.5.5.12;

isSingleValued

TRUE;

rangeLower

1;

rangeUpper

64;

uSNChanged

217;

showInAdvancedViewOnly

TRUE;

adminDisplayName

Telephone-Number;

adminDescription

Telephone-Number;

oMSyntax

64;

searchFlags

0;

lDAPDisplayName

telephoneNumber;

name

Telephone-Number;

objectGUID

bf19d7eb-ea0f-4f2d-af67-f439a037d8a4;

schemaIDGUID

bf967a49-0de6-11d0-a285-00aa003049e2;

attributeSecurityGUID

77b5b886-944a-11d1-aebd-0000f80367c1;

systemOnly

FALSE;

systemFlags

0x10 = ( FLAG_SCHEMA_BASE_OBJECT );

isMemberOfPartialAttributeSet

TRUE;

objectCategory

CN=Attribute-Schema,CN=Schema,CN=Configuration;

Atributos de valor único e de valor múltiplo

Os atributos podem ser de valor único ou de valor múltiplo. Uma instância de um atributo de valor único só pode conter um único valor. Uma instância de um atributo de valor múltiplo pode conter vários valores, que terão de utilizar todos a mesma sintaxe. Cada valor de um atributo de valor múltiplo tem de ser único.

Nota

Um atributo de valor múltiplo armazena os respectivos valores por ordem aleatória. Assim, o utilizador não deverá tomar decisões de directório, programáticas ou manuais, com base na ordem de valores num atributo de valor múltiplo.

Atributos indexados

A indexação de atributos ajuda a melhorar o desempenho de consultas baseadas no atributo indexado. Os atributos de valor único e de valor múltiplo podem ser indexados; as classes não podem ser indexadas. Os atributos podem ser marcados para indexação através da respectiva definição de esquema. Indexar um atributo permite também aos utilizadores utilizar caracteres universais (*) como prefixos e sufixos quando especificam uma cadeia de pesquisa. Ao marcar um atributo como indexado, todas as instâncias desse atributo são adicionadas ao índice, não apenas as que são membros de uma determinada classe. Indexar atributos, particularmente os de valor múltiplo, pode afectar negativamente a replicação e o tempo de criação de objecto, bem como o tamanho da base de dados do directório. Assim, só deverá indexar atributos utilizados com frequência.

Para obter informações genéricas sobre esquemas, consulte o Esquema do Active Directory (https://go.microsoft.com/fwlink/?LinkId=80809) (Esta página poderá estar em Inglês).

Referências adicionais


Sumário