> Tech > Le point de non-retour

Le point de non-retour

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

  Quand vous vous serez décidé en faveur d'une extension de schéma, sachez qu'il n'existe qu'un schéma pour toute une forêt d'AD. Win2K réplique globalement le NC (naming context) du schéma, de sorte que toute modification apportée au schéma NC se répercute sur toute la forêt.

  Les extensions de schéma

Le point de non-retour

ne sont pas non plus reversibles. Après avoir ajouté un nouvel objet classSchema ou attributeSchema, on ne peut plus le supprimer. On peut certes désactiver certaines classes et certains attributs pour contourner cette interdiction, mais on ne peut pas désactiver un attribut d’une classe active et on ne peut pas désactiver ou renommer les classes ou attributs de catégorie 1. (Les objets qui font partie du DIT (Directory Information Tree) sont des objets de catégorie 1. Pour plus de détails sur les catégories d’objets de schéma, voir  » Diving into the AD Schema « . On peut quand même apporter certaines modifications aux objets de schéma actifs. On peut ajouter une nouvelle classe à  l’attribut possSuperiors d’un objet classSchema de catégorie 1 ou de catégorie 2. On peut ajouter un nouvel attribut à  l’attribut mainContain d’un objet classSchema de catégorie 1 ou de catégorie 2. On peut ajouter une nouvelle classe auxiliaire à  l’attribut auxiliaryClass d’un objet classSchema de catégorie 1 ou catégorie 2. On peut changer l’attribut IDAPDisplayName d’un objet classSchema ou attributeSchema de catégorie 2. (En changeant le nom du LDAP (Lightweight Directory Access Protocol), on peut contourner une erreur plutôt que de reconstruire toute l’infrastructure Win2K ou de vivre avec l’erreur.)

  Mais on ne peut pas ajouter un attribut à , ou enlever un attribut de, l’attribut mustContain d’un objet, que ce soit directement, par l’intermédiaire d’une classe auxiliaire, ou par l’héritage d’une classe parent (superclasse). De nombreux composants de Win2K dépendent des objets de catégorie 1, et donc on ne peut pas modifier les attributs rangeLower, rangeUpper, attributeSecurityGuid, defaultObjectCategory, objectCategory ou IDAPDisplayName de ces objets. La complexité de ces conditions souligne l’intérêt de planifier soigneusement une modification de schéma avant de démarrer. Je conseille fortement de confier à  une personne la planification, la création et la vérification des modifications de schéma. On évite ainsi toute confusion. Par souci de simplicité, cet article suppose que vous êtes le gestionnaire de schémas. Le gestionnaire de schémas avisé crée un environnement factice d’entraînement avant d’envisager de toucher au système de production.

  Utilisez un système de test séparé sur lequel vous pourrez désinstaller et réinstaller Win2K sans influencer la forêt de production. Sur le système de test, je conseille de configurer un DC (domain controller) d’AD, agissant sur une forêt. Après quoi, vous pourrez  » dégrader  » le système pour supprimer les modifications de schéma et le promouvoir pour extraire le schéma AD de base.

  Durant la préparation, assurez-vous que le compte utilisateur concerné est un membre du groupe Schema Admins. Il faut aussi trouver le DC Win2K de production qui possède le rôle FSMO (Flexible Single-Master Operation) du schéma. Dans votre environnement de test à  un DC, cette machine sera bien entendu votre DC unique. Mais, quand vous serez prêt à  passer à  l’environnement de production, vous devrez pouvoir accéder à  la machine FSMO du schéma parce qu’il faut modifier le registre sur le système FSMO du schéma pour mettre le NC du schéma en mode lecture/écriture. Pour modifier le registre, ouvrez un éditeur de registre, allez à  la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters, et mettez la valeur Schema Update Allowed (de type REG_DWORD) à  1.

  Au risque de me répéter : utilisez un environnement de test. En suivant des procédures de planification et de test rigoureuses, vous augmentez nettement vos chances de mener à  bien un projet d’extension de schéma sans soucis.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010