Active Directory 的架构

Active Directory 的架构

Active Directory的架构（Schema）是一组定义，它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。因为这些定义本身也作为对象进行存储，Active Directory可以像管理目录中的其它对象一样对架构对象加以管理。架构中包括了两种类型的定义：属性和分类。属性和分类还可以被称作架构对象或元数据。

分类

分类，又称对象分类，描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在您创建某个对象时，属性便存储了用来描述对象的信息。例如，“用户”分类便由多个属性组成，其中包括网络地址、主目录等等。Active Directory中的所有对象都是某个对象分类的一个实例。

架构的扩展

有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构，您必须满足以下三个要求：

·         成为“Schema Administrators”（架构管理员）组的成员

·         在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

·         拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时，必须注意以下三个要点：

·         架构扩展是全局性的。 在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

·         与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

·         对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

有关架构修改的更多信息，请通过http://www.microsoft.com/reskit参阅 Microsoft Windows 资源工具包 。

Active Directory不支持架构对象的删除；但是，对象可以被标记为“非激活”，以便实现与删除同等的诸多益处。

属性

属性和分类单独进行定义。每一个属性仅仅定义一次，但是可以在多个分类中使用。例如，“Description”（描述）属性可以使用在多个分类中，但是只需在架构中定义一次即可，以保持数据的一致性。

属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定，该分类决定了每一个属性定义所必须包含的信息。

能够应用到某个特殊对象上的属性列表由分类（对象是该分类的一个实例）以及对象分类的任何超类所决定。属性仅仅定义一次，但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性