> Tech > Désactiver les extensions de schémas

Désactiver les extensions de schémas

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Alain Lissoir - Mis en ligne le 11/05/2005 - Publié en Mai 2004

Windows 2003 simplifie le processus

Une extension de schéma d'AD (Active Directory) ajoute une classe ou un attribut au schéma de base (c'est-à -dire, la version du schéma qui accompagne Windows Server 2003 ou Windows 2000 Server). L'extension du schéma Win2K a toujours exigé une planification rigoureuse parce que Microsoft ne supporte aucune méthode pour supprimer des objets du schéma ...Cette limitation a souvent dissuadé les entreprises qui auraient aimé utiliser AD pour stocker des informations à  caractère interne.
Toutefois, on peut désactiver certaines classes et attributs dans Win2K. Mieux encore, Windows 2003 permet de désactiver la définition d'une extension afin que cette dernière semble disparaître de l'AD. Après quoi on pourra réutiliser des éléments (IDAPDisplayName, ObjectIdentifier - OID, par exemple) à  partir de l'extension désactivée. Cependant, la désactivation d'une extension de schéma d'AD exige le même soin et la même planification que la création d'une extension. Il faut prendre en compte plusieurs facteurs, y compris la raison pour laquelle vous voulez désactiver l'extension, la conception originale et l'implémentation de l'extension, quelle version d'AD vous utilisez (c'est-à -dire, Windows 2003 ou Win2K) et en quel mode (on dit aussi niveau fonctionnel) vous utilisez AD. (Dans Windows 2003, les niveaux fonctionnels du domaine et de la forêt déterminent les fonctions AD disponibles. Le niveau fonctionnel dépend des OS sur lesquels vos DC (domain controllers) fonctionnent. Vous ne pouvez configurer le niveau fonctionnel de la forêt Windows Server 2003 que quand tous les DC d'une forêt utilisent Windows 2003. Ce niveau vous donne accès aux fonctions AD les plus nouvelles. (Pour plus d'informations sur les niveaux fonctionnels, voir l'article Microsoft « HOW TO: Raise Domain and Forest Functional Levels in Windows Server 2003 », http:// support.microsoft.com/?kbid=322 692.). Après avoir déterminé les ramifications et complications dues à  la désactivation de l'extension, vous pouvez utiliser ADSI Edit, le snap-in Microsoft Management Console (MMC) Active Directory Schema (schmmgmt.dll), un fichier LDIF (Data Interchange Format) LDAP (Lightweight Directory Access Protocol), ou un script pour exécuter la tâche.
Avant de poursuivre la lecture de cet article, il faut bien comprendre le principe de fonctionnement du schéma. Pour en savoir plus sur les schémas: terminologie, mécanisme et création des extensions, voir l'article « Faites le grand saut en étendant le schéma AD » Janvier 2002 ou www.itpro. fr .

Désactiver les extensions de schémas

Avant de désactiver une extension de
schéma, vous devez vous en demander
la raison. En principe, vous fonderez
votre décision sur l’une des trois raisons
possibles expliquées dans l’encadré
« Raisons de la désactivation ». La
raison déterminera le niveau de difficulté
et donc l’importance du planning
qui vous attend.
Deuxièmement, vous devez bien
comprendre la conception et la mise
en oeuvre de l’extension que vous voulez
désactiver. Faites très attention aux
divers liens objet classSchema et
attributSchema que l’extension implique.
Comme les définitions d’objet
classSchema et attributSchema de
l’extension de schéma se réfèrent
l’une à  l’autre (c’est-à -dire qu’un ensemble
d’attributs est toujours associé
à  une certaine classe), vous devez délier
ces objets avant de pouvoir désactiver
la définition d’objet schéma de
l’extension de schéma.
Troisièmement, considérez soigneusement
l’information utilisée
pour créer l’extension de schéma. Si
vous envisagez de recréer une version
mise à  jour de l’extension, sachez que,
selon l’OS et le mode sous lequel AD
opère, certaines informations ne seront
pas réutilisables même après
désactivation de l’extension
originale . Le tableau Web 1
(http://www. itpro.fr Club Abonnés)
énumère plusieurs attributs class-
Schema qui sont souvent impliqués
dans la création d’un nouvel objet
classSchema (c’est-à -dire, une nouvelle
classe) et qui pourraient ne pas
être réutilisables. Le tableau Web 2
donne la liste des attributs qui sont
souvent impliqués dans la création
d’un nouvel objet attributeSchema
(c’est-à -dire, un nouvel attribut) et qui
pourrait ne pas être réutilisable.
Plusieurs outils permettent d’examiner
les extensions de schéma existantes
et de recueillir ces types d’informations.
Outre ADSI Edit, le
snap-in Active Directory Schema, et
LDP (sous Support Tools de Windows
2003), vous pouvez utiliser le programme
Schema Documentation de
Microsoft qui est disponible à  http://
msdn.microsoft.com/library/en-us/
dnactdir/html/schemadoc.asp. Ce
programme peu connu, qui supporte
les serveurs Windows 2003 ou Win2K,
extrait une extension de schéma vers
un fichier .xml ; ensuite, vous pouvez
examiner l’extension dans un éditeur
XML quelconque.

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010