Le schéma Active Directory sous Windows Server 2003 Accueil > Articles > Système
Auteurs  Mathieu MANSION EXAKIS Ingénieur d'études  Tous les articles de cet auteur		3,1/5 Assez Bien 118947 114/360

1. Objets, classes d'objet et attributs

1.1 Les objets

Dans Active Directory, les objets représentent les éléments de base qui composent votre réseau, par exemple, un utilisateur, un serveur, un contrôleur de domaine, un site Active Directory. Pour créer un objet, Active Directory va se baser sur le schéma Active Directory, plus précisément sur les classes d'objet contenue dans le schéma. Les classes d'objets servent en fait de modèle à l'annuaire pour créer des objets. Il faut savoir que l'annuaire ne pourra créer des objets que si ils sont conformes aux classes contenues dans schéma.

1.2 Les classes d'objets

Comme dans la plus part des annuaires, les classes d'objets et les attributs sont stockés dans une structure logique qui va décrire de manière précise chacune des classes et chacun des attributs de ces classes. Cet espace de stockage est appelé schéma.

Mais qu'est-ce qu'une classe ?
Une classe est composée d'une liste d'attributs. Chacun de ces attributs peut être défini comme obligatoire ou optionnel. Il faut savoir qu'un attribut est un élément qui défini un objet tandis qu'une classe est composée d'attributs déclarés. C'est à dire qu'un attribut lié à une classe peut être utilisé dans une autre classe. Par exemple, l'attribut pour le "Nom" utilisé dans la classe user, utilisée pour créer un utilisateur, peut être présent dans une autre classe.

En plus de contenir une liste d'attribut, les classes contiennent également des règles. Par exemple, une de ces règles pourra définir les relations les classes pouvant être supérieures à un objet créé à partir d'une autre classe. C'est une règle importante car c'est notamment grâce à elle que vous allez pouvoir appliquer la stratégie CGDLA (des comptes d'utilisateur dans des groupes globaux, les groupes globaux dans des domaines locaux et enfin les autorisations).   La présences de ces règles est illustrée directement dans les propriétés de la classe en question. En effet, en utilisant des outils tel que la console Schéma Active Directory ou ADSI Edit, on peut visualiser très facilement les propriétés des classes. Ici, nous avons les propriétés de la classe user qui est utilisé notamment pour la création d'utilisateur. On voit directement les classes supérieures à user, en effet, notre objet user créé à partir de cette classe pourra être placé, par exemple, dans un objet créé à partir de la classe organizationlUnit, c'est à dire une unité d'organisation. Le schéma étant modifiable, vous pouvez remarquer la présence du bouton Ajouter une classe parente afin de définir vous même une classe parente présente dans votre schéma.   De la même manière vous pouvez définir les classes inférieures. C'est en fait l'opération inverse de la classe supérieure, c'est à dire que vous pouvez définir quels sont les objets susceptible d'être contenu dans votre classe.

1.3 Les attributs

Intéressons nous directement aux propriétés d'un attribut, mail, qui est utilisé pour l'adresse e-mail d'un utilisateur et qui est lié notamment à la classe user :

De prime abord, on voit qu'un attribut possède un certain nombre de propriété. Chacune de ces propriétés est modifiable afin de vous permettre d'affiner au maximum vos réglages. Nous allons passer en revue certaines de ces propriétés de manière à vous familiariser avec celles-ci.

• Description : Ce champs vous permet de décrire les fonctions de votre attribut. Généralement, la description et le nom commun est le même.

• Nom commun : C'est le nom qui va être utilisé pour la liaison entre vos attributs et vos classe. C'est sous ce nom qu'apparaitra votre attribut dans la liste des attributs de votre classe.

• ID d'objet X.500 : Cet ID a été assigné par l'ISO et est unique sur tous les réseau dans le monde. Ces ID ont été défini par l'ISO afin d'éviter les conflits entre les différents annuaires tel que Active Directory ou OpenLDAP. Il faut savoir que chaque classe et attribut du schéma dispose d'un ID X.500.

• Syntaxe : Elle vous permet de définir le type de attribut, par exemple un booléen, une chaine de caractère.

Pour plus d'information sur ces champs, nous les reverrons dans la partie de création d'attribut.

• Autoriser cet attribut à apparaître dans le mode d'affichage détaillé : Cette option est explicite et vous permet d'afficher l'attribut dans le cas ou vous avez activé l'affichage détaillé.

• L'attribut est actif : Cette option est importante et n'est disponible qu'en niveau fonctionnel de forêt Windows Server 2003 (pour plus d'information, consultez cet article). Par défaut, Active Directory ne vous permet pas de supprimer des attributs ou des classes. par contre, vous allez pouvoir les désactiver via cette option. Si un attribut est désactivé, il ne plus être lié à des classes.

• Indexer cet attribut dans Active Directory : Cette option permet de faire apparaitre l'attribut et sa valeur dans l'annuaire Active Directory.

• Résolution de nom ANR (Ambiguous Name Resolution) : Cette option est utilisée dans les recherches, plus particulièrement lorsque les attributs recherchés ne sont pas connus par la personne initiant la recherche. Par exemple, lorsque vous allez faire une recherche dans l'annuaire pour trouver l'utilisateur Ismaël Limbada et que cet utilisateur est référencé sous la forme Limbada II, Ismaël, la résolution de nom ANR va renvoyer une correspondance.

• Répliquer cet attribut dans le catalogue global : le catalogue global est en fait un rassemblement de certains attributs d'objets créés dans Active Directory. Cette option vous permet de placer l'attribut dans le catalogue global afin d'optimiser les recherches.

• L'attribut est copié lors de la duplication de l'utilisateur : C'est une option uniquement utilisable sur les attributs qui sont lié à la classe utilisateur. L'option permet de conserver les valeurs de l'attributs lors d'une copie.

• Indexer cet attribut pour les recherches en conteneur dans Active Directory : Cet option vous permet d'activer des recherches sur un attribut se trouvant dans un conteneur comme une unité d'organisation. Cela permet notamment de gagner du temps et de monopoliser trop longtemps son ordinateur.

1.4 Création d'un attribut

Vous retrouverez ci-dessus la fenêtre qui va vous permettre de créer un attribut. Vous avez remarqué que lorsque l'on affiche les propriétés d'un attribut, certains champs affiche les informations LDAP de cet attribut. Lors de la création d'un attribut, Active Directory vous demande de renseigner ces champs. Au niveau de la convention de nom, Microsoft recommande de nommer ses attributs de la manière suivante : nomunNomdeux.

Nous allons directement nous intéresser au champs ID d'objet X.500. En effet, pour pouvoir remplir ce champs, il va falloir utiliser un outil externe nommé OID Generator (OIDGen.exe) fournit dans le kit de ressource de Windows 2000 Server. Cet utilitaire est très simple d'emploi puisqu'il va fournir une série de chiffe à compléter pour obtenir un ID d'objet X.500. Par exemple, OID Generator va vous fournir cette série de chiffre : 1.2.840.113556.1.5.7000.111.2014652.180672.30.178511.21396.1226462.1996501. Votre objet devra donc porter comme ID d'objet X.500 : 1.2.840.113556.1.5.7000.111.2014652.180672.30.178511.21396.1226462.1996501.1.

Introduction

1. Objets, classes d'objet et attribut
       1.1 Les objets
       1.2 Les classes d'objet
       1.3 Les attributs
       1.4 Création d'un attribut
2. Maître d'opération et stockage du schéma
       2.1 Le contrôleur de schéma
       2.2 Stockage et rechargement
3. Accès au schéma et protection
       3.1 Accès au schéma
       3.2 Protection du schéma

Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft