Désactiver les extensions de schémas

par Alain Lissoir - Mis en ligne le 11/05/2005 - Publié en Mai 2004

Windows 2003 simplifie le processus

Une extension de schéma d'AD (Active Directory) ajoute une classe ou un attribut au schéma de base (c'est-à -dire, la version du schéma qui accompagne Windows Server 2003 ou Windows 2000 Server). L'extension du schéma Win2K a toujours exigé une planification rigoureuse parce que Microsoft ne supporte aucune méthode pour supprimer des objets du schéma ...Cette limitation a souvent dissuadé les entreprises qui auraient aimé utiliser AD pour stocker des informations à  caractère interne.
Toutefois, on peut désactiver certaines classes et attributs dans Win2K. Mieux encore, Windows 2003 permet de désactiver la définition d'une extension afin que cette dernière semble disparaître de l'AD. Après quoi on pourra réutiliser des éléments (IDAPDisplayName, ObjectIdentifier - OID, par exemple) à  partir de l'extension désactivée. Cependant, la désactivation d'une extension de schéma d'AD exige le même soin et la même planification que la création d'une extension. Il faut prendre en compte plusieurs facteurs, y compris la raison pour laquelle vous voulez désactiver l'extension, la conception originale et l'implémentation de l'extension, quelle version d'AD vous utilisez (c'est-à -dire, Windows 2003 ou Win2K) et en quel mode (on dit aussi niveau fonctionnel) vous utilisez AD. (Dans Windows 2003, les niveaux fonctionnels du domaine et de la forêt déterminent les fonctions AD disponibles. Le niveau fonctionnel dépend des OS sur lesquels vos DC (domain controllers) fonctionnent. Vous ne pouvez configurer le niveau fonctionnel de la forêt Windows Server 2003 que quand tous les DC d'une forêt utilisent Windows 2003. Ce niveau vous donne accès aux fonctions AD les plus nouvelles. (Pour plus d'informations sur les niveaux fonctionnels, voir l'article Microsoft « HOW TO: Raise Domain and Forest Functional Levels in Windows Server 2003 », http:// support.microsoft.com/?kbid=322 692.). Après avoir déterminé les ramifications et complications dues à  la désactivation de l'extension, vous pouvez utiliser ADSI Edit, le snap-in Microsoft Management Console (MMC) Active Directory Schema (schmmgmt.dll), un fichier LDIF (Data Interchange Format) LDAP (Lightweight Directory Access Protocol), ou un script pour exécuter la tâche.
Avant de poursuivre la lecture de cet article, il faut bien comprendre le principe de fonctionnement du schéma. Pour en savoir plus sur les schémas: terminologie, mécanisme et création des extensions, voir l'article « Faites le grand saut en étendant le schéma AD » Janvier 2002 ou www.itpro. fr .

Avant de désactiver une extension de schéma, vous devez vous en demander la raison. En principe, vous fonderez votre décision sur l'une des trois raisons possibles expliquées dans l'encadré « Raisons de la désactivation ». La raison déterminera le niveau de difficulté et donc l'importance du planning qui vous attend.
Deuxièmement, vous devez bien comprendre la conception et la mise en oeuvre de l'extension que vous voulez désactiver. Faites très attention aux divers liens objet classSchema et attributSchema que l'extension implique. Comme les définitions d'objet classSchema et attributSchema de l'extension de schéma se réfèrent l'une à  l'autre (c'est-à -dire qu'un ensemble d'attributs est toujours associé à  une certaine classe), vous devez délier ces objets avant de pouvoir désactiver la définition d'objet schéma de l'extension de schéma.
Troisièmement, considérez soigneusement l'information utilisée pour créer l'extension de schéma. Si vous envisagez de recréer une version mise à  jour de l'extension, sachez que, selon l'OS et le mode sous lequel AD opère, certaines informations ne seront pas réutilisables même après désactivation de l'extension originale . Le tableau Web 1 (http://www. itpro.fr Club Abonnés) énumère plusieurs attributs class- Schema qui sont souvent impliqués dans la création d'un nouvel objet classSchema (c'est-à -dire, une nouvelle classe) et qui pourraient ne pas être réutilisables. Le tableau Web 2 donne la liste des attributs qui sont souvent impliqués dans la création d'un nouvel objet attributeSchema (c'est-à -dire, un nouvel attribut) et qui pourrait ne pas être réutilisable.
Plusieurs outils permettent d'examiner les extensions de schéma existantes et de recueillir ces types d'informations. Outre ADSI Edit, le snap-in Active Directory Schema, et LDP (sous Support Tools de Windows 2003), vous pouvez utiliser le programme Schema Documentation de Microsoft qui est disponible à  http:// msdn.microsoft.com/library/en-us/ dnactdir/html/schemadoc.asp. Ce programme peu connu, qui supporte les serveurs Windows 2003 ou Win2K, extrait une extension de schéma vers un fichier .xml ; ensuite, vous pouvez examiner l'extension dans un éditeur XML quelconque.