Является ли это подходящей причиной для расширения схемы Active Directory? - PullRequest
Новая
       9

Является ли это подходящей причиной для расширения схемы Active Directory?

3 голосов
/ 19 мая 2011

Мы используем Active Directory в качестве пользовательского хранилища для нашего веб-приложения. Вся наша пользовательская информация, такая как имя, фамилия, адрес электронной почты, телефон, компания и т. Д., Хранится там в записи пользователя.

Теперь нам нужно сохранить еще пару фрагментов информации, за исключением того, что в схеме нет уже существующих полей в схеме, которые мы можем использовать. Поля, которые нам нужны, это секретный вопрос и ответ на секретный вопрос.

Я чувствую, что мы должны расширить схему Active Directory, включив эти поля, таким образом, сохраняя всю нашу пользовательскую информацию в одном хранилище данных. Однако наш ИТ-отдел считает, что Active Directory никогда не следует расширять, поскольку они считают, что это слишком опасно, и что Active Directory не предназначен для такого использования.

Кто прав, и какова философия определения, какие типы атрибутов можно добавить в схему?

Th

Ответы [ 2 ]

3 голосов
/ 07 сентября 2011

Схема AD предназначена для расширения.Обычные администраторы AD всегда боялись расширять схему, особенно потому, что обычно следовало слово «постоянный».Но дело в том, что peramanent в ldap действительно не имеет смысла.Если новые атрибуты или объекты схемы никогда не используются, то это не окажет отрицательного влияния на производительность каталога, если только вы не сможете обойтись без рассмотрения неиспользуемой схемы.Единственный риск для постоянной схемы - это конфликт с существующей или будущей схемой, и это редко, особенно если вы используете уникальные имена, такие как «JohnsCompanySecurityAttribute1» и т. Д. Я работал в больнице в течение 9 лет, и расширение схемы было обычным делом и является частьюстоимости AD или ADAM.Ваши ИТ-специалисты всегда могут временно отключить пару контроллеров домена во время расширения схемы, если они все еще не убеждены. Здесь - некоторая бесстыдная самореклама, связанная с интенсивным использованием AD / AM в чувствительной клинической среде.

1 голос
/ 19 мая 2011

Active Directory изначально имела действительно дрянную поддержку схем.То есть вы не могли что-то удалить, вы не могли сильно изменить схему.

С более поздними выпусками (2008 R2) вы получаете возможность делать гораздо больше со схемой.Люди, использующие другие службы каталогов, не будут испытывать этот иррациональный страх.

Не забудьте зашифровать данные при их сохранении.

...