Определение схемы, данное при первом ознакомлении с этим термином, несколько расплывчато и, возможно, не дает общего понимания ее назначения.
В схеме задано, какие объекты и с какими свойствами допустимы в каталоге.
Во время установки Active Directory на первый контроллер доменов в лесу, служба каталогов по умолчанию создает схему, где содержатся все объекты и заданы свойства, необходимые для нормального функционирования службы каталогов.
Предусматривается также тиражирование каталога на все контроллеры домена, которые будут включены в лес позднее.
Каталог содержит необходимую информацию о пользователях и объектах данной организации.
Такие свойства Active Directory, как отказоустойчивостьи расширяемость, позволяют использовать этот сервис в различных приложениях, например, по учету кадров.
Стандартно в Active Directory уже определены такие атрибутыпользователя, как его имя, фамилия, номера телефонов, название офиса, домашний адрес.
Но если понадобятся такие сведения, как зарплата сотрудника, его трудовой стаж, медицинская страховка, сведения о поощрениях и т. п,, то эти параметры можно задать дополнительно.
Active Directory позволяет «наращивать» схему, добавлять в нее новые свойства и классы на основе существующих и с наследованием их свойств.
Также можно задавать новые свойства, в том числе и существующим классам. При этом все свойства можно разделить на обязательные и возможные.
Все обязательные свойства необходимо указывать при создании объекта. Например объект "пользователь" обязательно должен иметь общее имя (common name), пароль и SamAccountName (имя, используемое для обратной совместимости с предыдущими версиями).
Возможные свойства можно и не указывать. Они лишь выполняют вспомогательные функции и могут быть полезны, например, для администраторов или для других пользователей.
Проиллюстрируем сказанное на примере приложения по учету кадров. Всех сотрудников предприятия можно условно разделить на две группы: постоянные и временные.
Для постоянных сотрудников целесообразно создать новый класс Full-TimeEmp. В качестве возможных свойств этого класса можно добавить в схему зарплату и семейное положение. При этом права на чтение и изменение этих свойств будут иметь только сотрудники отдела кадров, а на чтение - лишь сам сотрудник.
Администраторы сети также не имеют прав доступа к этим сведениям.
Понятно, что такая свобода модификации и наращивания каталога должна опираться на мощные механизмы хранения и поиска информации.
В Active Directory таким механизмом хранения служит ESE (Exten-sible Storage Engine) - улучшенная версия Jet-базы данных, использующейся в Microsoft Exchangeверсий 4 и 5.х2.
В новой базе может содержаться до 17 терабайт данных, до 10 миллионов объектов.