Selon la version et le mode d'AD, différentes restrictions s'appliqueront
quant aux types d'objets AD que vous
pouvez désactiver. Indépendamment
de la version et du mode d'OS, les caractéristiques
suivantes s'appliquent.
- Microsoft ne supporte la suppression
d'aucun objet classSchema ou
attributeSchema qui a été ajouté au
NC (naming
context) du schéma.
Vous ne pouvez pas désactiver un
objet classSchema ou attribute-
Schema de catégorie 1.
Vous ne pouvez pas désactiver un
objet attributeSchema qui fait partie
d’un objet classSchema actif.
Vous pouvez désactiver un objet
classSchema ou attributeSchema en
mettant l’attribut IsDefunct de l’objet
à True.
Quand vous mettez à True l’attribut
IsDefunct d’un objet classSchema ou
attributeSchema, vous ne pouvez
pas créer une nouvelle instance de
cet objet. Cependant, les instances
existantes de l’objet restent intactes.
Un objet attributeSchema désactivé
est invisible par les instance existantes.
Autres restrictions dans des environnements
Win2K. Dans des environnements
AD Win2K, certaines
restrictions s’appliquent indépendamment
du mode de l’organisation : native
ou mixte. Aussi, avant de désactiver
un objet, il faut prendre en
considération les points suivants.
- Pour réutiliser l’attribut IDAPDisplay-
Name d’une classe ou d’un attribut
que vous envisagez de désactiver,
vous devez changer l’attribut IDAPDisplayName
avant de mettre à True
l’attribut IsDefunct. De plus, vous ne
pouvez modifier l’attribut IDAPDisplayName
que sur des objets de
schéma définis par l’utilisateur, qui
sont des objets de catégorie 2.
- Même si vous pouvez réutiliser l’attribut
IDAPDisplayName, notez que
vous ne pouvez pas réutiliser l’OID
de l’objet. Cette restriction peut être
gênante quand vous devez recréer
une extension de schéma standardisée,
comme celle qu’une RFC
(Request for Comments) de l’IETF
(Request Engineering Task Force)
définit. Comme le numéro OID de
l’extension recréée doit être différent
de celui de l’extension d’origine,
l’extension recréée ne reflètera
absolument pas l’OID d’extension
standard telle que définie par la RFC.
Cependant, la plupart des applications
adressent les classes et les attributs
par leur IDAPDisplayName,
aussi cette divergence ne posera probablement
pas de problèmes, sauf si
vous devez suivre strictement le RFC
pour des raisons de conformité, ou
sauf si l’application Directory
Enabled adresse les classes et les attributs
avec l’OID. Donc, avant de
désactiver des extensions qui pourraient
adresser des classes et des attributs
de cette manière, concertezvous
avec le fournisseur ou le
développeur de l’application.
- Vous ne pouvez pas réutiliser l’attribut
cn parce que vous ne pouvez pas
renommer l’objet schéma. Par
conséquent, pour recréer l’extension
de schéma, il faut que les
classSchema et attributeSchema utilisent
un cn différent. Une bonne
pratique lors de la création d’objets
de schéma consiste à ajouter un numéro
d’index à la fin du nom (par
exemple, cn=DF-HR-Badge-
Number-01, par exemple). Les applications
Directory Enabled utilisent le
IDAPDisplayName plutôt que l’attribut
cn, donc cela laisse la porte ouverte
pour recréer l’objet schéma en
utilisant une convention de nommage
cn homogène (qui est particulièrement
utile pour un environnement
de test).
Nouvelles fonctions dans des environnements
Windows 2003. Quand
vous utilisez AD au niveau fonctionnel
de Windows Server 2003, AD offre les
nouvelles fonctions suivantes concernant
la désactivation d’une extension
de schéma:
- Vous pouvez réutiliser l’attribut
IDAPDisplayName à condition de
désactiver d’abord l’objet class-
Schema ou attributeSchema qui utilise
ce IDAPDisplayName (c’est-à dire,
vous mettez à True l’attribut
IsDefunct de l’objet). Nul besoin de
changer d’abord l’IDAPDisplayName
comme l’exige Win2K. Hormis ce
changement, les conditions de
désactivation d’un objet schéma
dans Win2K s’appliquent encore
dans Windows 2003.
- De la même manière, vous pouvez
réutiliser l’OID à condition que l’objet
classSchema ou attributeSchema
utilisant le même OID soit désactivé
d’abord (IsDefunct est mis à True).
Là encore, les autres conditions de
désactivation d’un objet schéma
dans Win2K s’appliquent encore
dans Windows 2003.
- Vous pouvez réutiliser le cn à condition
de renommer d’abord l’objet
classSchema ou attributeSchema qui
utilise le même cn. De plus, vous
pouvez renommer les objets schéma CN. Dans ce contexte, vous n’avez
pas besoin d’utiliser un numéro d’index
à la fin du nom si vous devez recréer
l’extension de nombreuses
fois.
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.