W większości lasów usługi Active Directory nie jest konieczne zarządzanie obiektami schematu lub ich właściwościami w innym celu niż zapewnienie zabezpieczeń, aby zagwarantować, że tylko autoryzowani administratorzy mają dostęp do schematu. Dostęp domyślny do obiektów i właściwości schematu jest ograniczony do konta Administrator w domenie katalogu głównego lasu. Czasami może jednak zajść potrzeba udzielenia uprawnień do schematu innym administratorom, jeśli na przykład deweloper aplikacji potrzebuje zmodyfikować obiekt schematu lub rozwiązać problem związany ze zgodnością schematu z aplikacją.
Może też być konieczne zainstalowanie przystawki Schemat usługi Active Directory na innych kontrolerach domeny. Za pomocą przystawki Schemat usługi Active Directory można wyświetlać obiekty i właściwości klas i atrybutów schematu.
Instalowanie przystawki Schemat usługi Active Directory
Ponieważ zarządzanie schematem nie jest typowym zadaniem administracyjnym, a zmiany schematu mają potencjalnie szkodliwe skutki dla całego lasu, przystawka Schemat usługi Active Directory nie jest instalowana domyślnie po dodaniu roli Usług domenowych w usłudze Active Directory (AD DS). Przed dodaniem przystawki Schemat usługi Active Directory do programu Microsoft Management Console (MMC) należy zarejestrować bibliotekę Schmmgmt.dll w usługach AD DS. Wymaganie wykonania tej wstępnej czynności zapobiega niewłaściwemu korzystaniu z tego narzędzia. Po zarejestrowaniu biblioteki Schmmgmt.dll przystawka Schemat usługi Active Directory jest dostępna do dodania do programu MMC.
Udzielanie dostępu administracyjnego do schematu
Członkowie grupy Administratorzy schematu mają uprawniania do wykonywania wszystkich modyfikacji schematu z wyjątkiem uprawniania Usuwanie wszystkich obiektów podrzędnych. Domyślnie jedynym elementem członkowskim grupy Administratorzy schematu jest konto Administrator w domenie katalogu głównego lasu.
Udzielanie uprawnień administratorowi
Za pomocą przystawki Użytkownicy i komputery usługi Active Directory można do grupy Administratorzy schematu dodać innego użytkownika. Należy dodawać do grupy tylko jednego użytkownika naraz. W przypadku stwierdzenia, że w schemacie należy wprowadzić zmianę, najlepszym rozwiązaniem umożliwiającym wprowadzenie tej zmiany jest dodanie użytkownika administracyjnego do grupy Administratorzy schematu. Po dokonaniu zmiany należy usunąć użytkownika administracyjnego z tej grupy.
Określanie indywidualnych uprawnień
Istnieje także możliwość udzielania uprawnień do wykonywania określonych zadań w zakresie zarządzania schematem bez udzielania uprawnień do dokonywania wszystkich zmian. Aby udzielić określone prawo dostępu użytkownikowi lub grupie, należy użyć opcji Uprawnienia. Tak jak w poprzednim przykładzie, gdy dostęp nie będzie już potrzebny, należy usunąć uprawnienia dla użytkownika lub grupy.
Stosowanie uprawnień administracyjnych schematu usługi Active Directory
Wyświetlanie definicji klas i atrybutów
Przystawka Schemat usługi Active Directory udostępnia widok obiektów classSchema i attributeSchema.