Dans la plupart des forêts Active Directory, la gestion des objets du schéma ou de leurs propriétés se borne à fournir une sécurité pour s’assurer que seuls les administrateurs autorisés ont accès au schéma. L’accès par défaut aux objets du schéma et à leurs propriétés est limité au compte Administrateur du domaine racine de la forêt. Cependant, il peut vous arriver de vouloir accorder des autorisations relatives au schéma à d’autres administrateurs si, par exemple, un développeur d’applications a besoin de modifier un objet du schéma ou de résoudre un problème de compatibilité du schéma pour une application.
Vous pouvez également avoir besoin d’installer le composant logiciel enfichable Schéma Active Directory sur d’autres contrôleurs de domaine. Vous pouvez utiliser le composant logiciel enfichable Schéma Active Directory pour afficher les objets de classe et d’attribut de schéma et leurs propriétés.
Installation du composant logiciel enfichable Schéma Active Directory
Étant donné que la gestion du schéma n’est pas un objectif administratif courant et que les modifications du schéma peuvent avoir des conséquences dangereuses à l’échelle de la forêt, le composant logiciel enfichable Schéma Active Directory n’est pas installé par défaut lorsque vous ajoutez le rôle Services de domaine Active Directory (AD DS). Avant d’ajouter le composant logiciel enfichable Schéma Active Directory à la console MMC (Microsoft Management Console), vous devez inscrire Schmmgmt.dll dans AD DS. Le passage obligé par cette étape préliminaire permet d’éviter une mauvaise utilisation de l’outil. Une fois que vous avez inscrit Schmmgmt.dll, le composant logiciel enfichable Schéma Active Directory peut être ajouté à la console MMC.
Installer le composant logiciel enfichable Schéma Active Directory
Fourniture d’un accès administratif au schéma
Les membres du groupe Administrateurs du schéma ont l’autorisation d’effectuer toutes les modifications sur le schéma, à l’exception de Supprimer tous les objets enfants. Par défaut, le seul membre du groupe Administrateurs du schéma est le compte Administrateur du domaine racine de la forêt.
Octroi d’autorisations à un administrateur
Vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour ajouter un autre utilisateur au groupe Administrateurs du schéma. Vous ne devez ajouter qu’un seul utilisateur supplémentaire à la fois. Si vous déterminez qu’une modification doit être apportée au schéma, il est conseillé d’ajouter un utilisateur administratif au groupe Administrateurs du schéma pour permettre la modification. Une fois la modification effectuée, supprimez cet utilisateur administratif du groupe.
Spécification d’autorisations individuelles
Vous pouvez également fournir des autorisations permettant d’effectuer certaines tâches de gestion du schéma, mais pas toutes. Utilisez l’option Autorisations pour accorder un accès spécifique à un utilisateur ou à un groupe. Ici encore, lorsque l’accès n’est plus requis, supprimez les autorisations octroyées à l’utilisateur ou au groupe.
Appliquer des autorisations d’administration du schéma Active Directory
Affichage des définitions de classes et d’attributs
Le composant logiciel enfichable Schéma Active Directory offre une vue des objets classSchema et attributeSchema.
Afficher les définitions de classes et d’attributs du schéma