par Alain Lissoir - Mis en ligne le 11/05/2005 - Publié en Mai 2004
Windows 2003 simplifie le processus
Une extension de schéma d'AD (Active Directory) ajoute une classe ou un attribut
au schéma de base (c'est-à -dire, la version du schéma qui accompagne
Windows Server 2003 ou Windows 2000 Server). L'extension du schéma Win2K a
toujours exigé une planification rigoureuse parce que Microsoft ne supporte aucune
méthode pour supprimer des objets du schéma ...Cette limitation a souvent dissuadé les entreprises qui auraient
aimé utiliser AD pour stocker des informations à caractère interne.
Toutefois, on peut désactiver certaines
classes et attributs dans Win2K. Mieux encore,
Windows 2003 permet de désactiver
la définition d'une extension afin que cette
dernière semble disparaître de l'AD. Après
quoi on pourra réutiliser des éléments
(IDAPDisplayName, ObjectIdentifier - OID,
par exemple) à partir de l'extension désactivée.
Cependant, la désactivation d'une extension
de schéma d'AD exige le même soin et la même planification que la
création d'une extension. Il faut
prendre en compte plusieurs facteurs,
y compris la raison pour laquelle vous
voulez désactiver l'extension, la
conception originale et l'implémentation
de l'extension, quelle version
d'AD vous utilisez (c'est-à -dire, Windows
2003 ou Win2K) et en quel mode
(on dit aussi niveau fonctionnel) vous
utilisez AD. (Dans Windows 2003, les
niveaux fonctionnels du domaine et de
la forêt déterminent les fonctions AD
disponibles. Le niveau fonctionnel dépend
des OS sur lesquels vos DC (domain
controllers) fonctionnent. Vous
ne pouvez configurer le niveau fonctionnel
de la forêt Windows Server
2003 que quand tous les DC d'une forêt
utilisent Windows 2003. Ce niveau
vous donne accès aux fonctions AD les
plus nouvelles. (Pour plus d'informations
sur les niveaux fonctionnels, voir
l'article Microsoft « HOW TO: Raise
Domain and Forest Functional Levels
in Windows Server 2003 », http://
support.microsoft.com/?kbid=322
692.). Après avoir déterminé les ramifications
et complications dues à la
désactivation de l'extension, vous pouvez
utiliser ADSI Edit, le snap-in
Microsoft Management Console
(MMC) Active Directory Schema
(schmmgmt.dll), un fichier LDIF
(Data Interchange Format) LDAP
(Lightweight Directory Access
Protocol), ou un script pour exécuter
la tâche.
Avant de poursuivre la lecture de
cet article, il faut bien comprendre le
principe de fonctionnement du
schéma. Pour en savoir plus sur les
schémas: terminologie, mécanisme et
création des extensions, voir l'article « Faites le grand saut en étendant le
schéma AD » Janvier 2002 ou www.itpro.
fr .
Désactiver les extensions de schémas
Avant de désactiver une extension de
schéma, vous devez vous en demander
la raison. En principe, vous fonderez
votre décision sur l’une des trois raisons
possibles expliquées dans l’encadré
« Raisons de la désactivation ». La
raison déterminera le niveau de difficulté
et donc l’importance du planning
qui vous attend.
Deuxièmement, vous devez bien
comprendre la conception et la mise
en oeuvre de l’extension que vous voulez
désactiver. Faites très attention aux
divers liens objet classSchema et
attributSchema que l’extension implique.
Comme les définitions d’objet
classSchema et attributSchema de
l’extension de schéma se réfèrent
l’une à l’autre (c’est-à -dire qu’un ensemble
d’attributs est toujours associé
à une certaine classe), vous devez délier
ces objets avant de pouvoir désactiver
la définition d’objet schéma de
l’extension de schéma.
Troisièmement, considérez soigneusement
l’information utilisée
pour créer l’extension de schéma. Si
vous envisagez de recréer une version
mise à jour de l’extension, sachez que,
selon l’OS et le mode sous lequel AD
opère, certaines informations ne seront
pas réutilisables même après
désactivation de l’extension
originale . Le tableau Web 1
(http://www. itpro.fr Club Abonnés)
énumère plusieurs attributs class-
Schema qui sont souvent impliqués
dans la création d’un nouvel objet
classSchema (c’est-à -dire, une nouvelle
classe) et qui pourraient ne pas
être réutilisables. Le tableau Web 2
donne la liste des attributs qui sont
souvent impliqués dans la création
d’un nouvel objet attributeSchema
(c’est-à -dire, un nouvel attribut) et qui
pourrait ne pas être réutilisable.
Plusieurs outils permettent d’examiner
les extensions de schéma existantes
et de recueillir ces types d’informations.
Outre ADSI Edit, le
snap-in Active Directory Schema, et
LDP (sous Support Tools de Windows
2003), vous pouvez utiliser le programme
Schema Documentation de
Microsoft qui est disponible à http://
msdn.microsoft.com/library/en-us/
dnactdir/html/schemadoc.asp. Ce
programme peu connu, qui supporte
les serveurs Windows 2003 ou Win2K,
extrait une extension de schéma vers
un fichier .xml ; ensuite, vous pouvez
examiner l’extension dans un éditeur
XML quelconque.
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
