ほとんどの Active Directory フォレストでは、承認された管理者しかスキーマにアクセスできないようにセキュリティを提供する場合を除いて、スキーマのオブジェクトやそれらのプロパティを管理する必要はありません。スキーマのオブジェクトおよびプロパティに対する既定のアクセスは、フォレストのルート ドメインの Administrator アカウントに制限されています。しかし、スキーマのアクセス許可を他の管理者に提供しなければならない場合もあります。たとえば、アプリケーションの開発者がスキーマ オブジェクトを変更する場合や、アプリケーションのスキーマの互換性問題をトラブルシューティングする場合などです。

また、Active Directory スキーマ スナップインを他のドメイン コントローラーにインストールしなければならない場合もあります。Active Directory スキーマ スナップインを使用すると、スキーマのクラスおよび属性のオブジェクトとプロパティを表示できます。

Active Directory スキーマ スナップインをインストールする

スキーマの管理は典型的な管理目的ではなく、スキーマの変更によってフォレスト全体に悪い影響を及ぼす可能性があります。そのため、Active Directory ドメイン サービス (AD DS) の役割を追加するときに、Active Directory スキーマ スナップインは既定ではインストールされません。Active Directory スキーマ スナップインを Microsoft 管理コンソール (MMC) に追加するには、AD DS で Schmmgmt.dll を登録する必要があります。この準備作業は、ツールの不適切な使用を防止するための要件として設けられています。Schmmgmt.dll を登録した後、Active Directory スキーマ スナップインを MMC に追加できるようになります。

Active Directory スキーマ スナップインをインストールする

スキーマへの管理アクセスを提供する

Schema Admins グループのメンバーは、"すべての子オブジェクトの削除" を除く、スキーマに対するすべての変更を実行するためのアクセス許可を持っています。既定では、フォレストのルート ドメインの Administrator アカウントだけが Schema Admins グループのメンバーになっています。

管理者にアクセス許可を与える

Active Directory ユーザーとコンピューター スナップインを使用して、別のユーザーを Schema Admins グループに追加できます。ユーザーは一度に 1 人だけ追加してください。ベスト プラクティスとして、スキーマに変更を加える必要があると判断した場合に、管理ユーザーを Schema Admins グループに追加して変更を許可します。変更が完了したら、管理ユーザーをグループから削除します。

個々のアクセス許可を指定する

すべての変更を実行するためのアクセス許可を与えずに、特定のスキーマ管理タスクのアクセス許可を提供することもできます。[アクセス許可] オプションを使用して、特定のアクセス許可をユーザーまたはグループに与えます。この場合も、アクセスが不要になった時点で、ユーザーまたはグループのアクセス許可を削除します。

Active Directory スキーマの管理用アクセス許可を適用する

クラスおよび属性の定義を表示する

Active Directory スキーマ スナップインでは、classSchema および attributeSchema オブジェクトが表示されます。

スキーマのクラス定義と属性定義を表示する