Exatamente oque é o schema (esquema) de um domÃnio? Trata-se de um componente responsável por tratar todas as classes de objetos e seus atributos atributos. Tais objetos e atributos são utilizados pelo Active Directory para armazenar dados especÃficos. Por exemplo, todo usuário e computador de nossa rede é um objeto dentro da estrutura. O fato de um usuário estar ativo por exemplo é um atributo.
Todos os domÃnios em uma floresta contêm uma cópia direta do esquema aplicado em toda a floresta e qualquer alteração efetuada nesse esquema é replicada para cada controlador de domÃnio dentro da floresta através do mestre de esquema (que geralmente é o primeiro controlador de domÃnio da estrutura). Se seu administrador de redes moveu as FSMO´s para outro controlador de domÃnio, é possÃvel identificar quem é seu controlador de dominioso responsável pelo schema master através do comando netdom query fsmo.
O Active Directory armazena e recupera informações de uma ampla variedade de aplicações e serviços através da padronização de como os dados são armazenados dentro da estrutura de diretórios. Essa padronização de armazenamento de dados perite que o Active Directory recupere, atualize e replique diversos dados, ajudando a garantir que a integridade seja mantida. A nova prova 70-742 (Identity with Windows Server 2016) do Windows Server 2016, em formato BETA até a data de publicação deste post, trata o assunto com bastante profundidade.
Se bem me lembro, esse assunto foi tratado de forma direcinada pelo conteúdo relacionado à prova 70-740 o Windows Server 2008 (Windows Server 2008 Active Directory, Configuring). Eu particularmente acredito que essa pova é uma das mais importantes da linha de certificações Microsoft (minha opinião pessoal), visto que o enfase em Active Directory é enorme. Quando fiz as prova do MCSA do Windows Server 2012 R2, notei que todo o conhecimento esta disperso entre as provas 70-410, 70-411 e 70-412. Isso obrigava o estudo constante de cada item de forma granular. Não era possÃvel se especializar fortemente em um único item, diferente da linha de provas do Windows Server 2008.
Retomando o assunto sobre schema, devo lembrar que apenas membros do grupo Administradores de Schema podem modificar o esquema do AD DS. Este sempre foi um ponto importante quando houve a mudança do Windows Server 2003 para o Windows Server 2008, por exemplo. Nestes sistemas mais antigos era necessário rodar uma ferramenta chamada ADPREP, que prepara toda a estrutura para a entrada de um servidor com o Windows Server 2008, como controlador de domÃnio em uma rede com Windows Server 2003. Era muito comum a apresentação de erros relacionados a permissionamento pelos administradores não possuÃrem perfil para atividade. Muitos alunos e leitores acreditam que a atribuição de permissionamento de Domain Admin abre toda e qualquer porta dentro da estrutura, e não é bem por ai que as coisas funcionam.
Por exemplo, você só poderá estender o esquema AD utilizando as extensões de esquema DS ou modificando os atributos dos objetos existentes, como quando é necessário instalar o Exchange Server 2016 em sua estrutura de redes. Neste caso você precisa aplicar o Exchange Server 2016 as alterações do esquema do Active Directory para que tais alterações adicionem e/ou modifiquem centenas de classes e atributos diferentes. Deve-se alterar o esquema somente quando realmente não houver outra saÃda e for extremamente necessário pois o esquema determina como a informação é armazenada pelo Active Directory. Todas as alterações feitas no esquema afetam cada um dos controladores de domÃnio da empresa, não importando sua distância fÃsica, portanto antes de alterar o esquema, recomenda-se rever quais são e quais impactos cada uma das alterações apresentará a estrutura, através de um processo rigidamente controlado.
Deve-se inclusive aplicar tais mudanças apenas depois de realizado diversos testes em ambientes controlador para ajudar a garantir que as alterações não irão afetar negativamente o resto da floresta ou as aplicações que utilizam o AD DS.
