Использование схемы

Определение схемы, данное при первом ознакомлении с этим термином, несколько расплывчато и, возможно, не дает общего понимания ее назначения.

В схеме задано, какие объекты и с какими свойствами допустимы в каталоге.

Во время установки Active Directory на первый контроллер доменов в лесу, служба каталогов по умолчанию создает схему, где содержатся все объекты и заданы свойства, необходимые для нормального функционирования службы каталогов.

Предусматривается также тиражирование каталога на все контроллеры домена, которые будут включены в лес позднее.

Каталог содержит необходимую информацию о пользователях и объектах данной организации.

Такие свойства Active Directory, как отказоустойчивость и расширяемость, позволяют использовать этот сервис в различных приложениях, например, по учету кадров.

Стандартно в Active Directory уже определены такие атрибуты пользователя, как его имя, фамилия, номера телефонов, название офиса, домашний адрес.

Но если понадобятся такие сведения, как зарплата сотрудника, его трудовой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти параметры можно задать дополнительно.

Active Directory позволяет «наращивать» схему, добавлять в нее новые свойства и классы на основе существующих и с наследованием их свойств.

Также можно задавать новые свойства, в том числе и существующим классам. При этом все свойства можно разделить на обязательные и возможные.

Все обязательные свойства необходимо указывать при создании объекта. Например объект " пользователь " обязательно должен иметь общее имя (common name), пароль и SamAccountName (имя, используемое для обратной совместимости с предыдущими версиями).

Возможные свойства можно и не указывать. Они лишь выполняют вспомогательные функции и могут быть полезны, например, для администраторов или для других пользователей.

Проиллюстрируем сказанное на примере приложения по учету кадров. Всех сотрудников предприятия можно условно разделить на две группы: постоянные и временные.

Для постоянных сотрудников целесообразно создать новый класс Full-TimeEmp. В качестве возможных свойств этого класса можно добавить в схему зарплату и семейное положение. При этом права на чтение и изменение этих свойств будут иметь только сотрудники отдела кадров, а на чтение - лишь сам сотрудник.

Администраторы сети также не имеют прав доступа к этим сведениям.

Понятно, что такая свобода модификации и наращивания каталога должна опираться на мощные механизмы хранения и поиска информации.

В Active Directory таким механизмом хранения служит ESE (Exten-sible Storage Engine) - улучшенная версия Jet-базы данных, использующейся в Microsoft Exchange версий 4 и 5.х2.

В новой базе может содержаться до 17 терабайт данных, до 10 миллионов объектов.