Ve většině doménových struktur služby Active Directory není nutné jakkoli spravovat objekty schématu nebo jejich vlastnosti kromě poskytování zabezpečení pro zajištění přístupu ke schématu pouze autorizovanými správci. Výchozí přístup k objektům schématu a vlastnostem je omezen na účet Administrator v kořenové doméně doménové struktury. Můžete však chtít příležitostně udělit oprávnění pro schéma jiným správcům, například pokud vývojář aplikace potřebuje upravit objekt schématu nebo odstranit problém s kompatibilitou schématu pro aplikaci.
Pravděpodobně bude také nutné nainstalovat modul snap-in Schéma služby Active Directory do ostatních řadičů domény. Modul snap-in Schéma služby Active Directory můžete také použít pro zobrazení tříd a atributů objektů schématu a vlastností.
Instalace modulu snap-in Schéma služby Active Directory
Protože správa schématu není typickým cílem správy a protože změny schématu mají potenciálně nebezpečné důsledky pro doménovou strukturu, není modul snap-in Schéma služby Active Directory instalován ve výchozím nastavení při přidávání role služby AD DS (Active Directory Domain Services). Před přidáním modulu snap-in Schéma služby Active Directory do konzoly MMC (Microsoft Management Console) musíte zaregistrovat soubor Schmmgmt.dll ve službě AD DS. Požadavek na tento předběžný krok odrazuje od nesprávného použití nástroje. Po registraci souboru Schmmgmt.dll je možné modul snap-in Schéma služby Active Directory přidat do konzoly MMC.
Poskytování přístupu pro správu schématu
Členové skupiny Schema Admins mají oprávnění k provedení všech úprav schématu kromě oprávnění Odstraňovat všechny podřízené objekty. Ve výchozím nastavení je jediným členem skupiny Schema Admins účet Administrator v kořenové doméně doménové struktury.
Udělení oprávnění správci
Chcete-li přidat dalšího uživatele do skupiny Schema Admins, můžete použít modul snap-in Uživatelé a počítače služby Active Directory. Současně by měl být do skupiny přidáván pouze jeden další uživatel. Pokud zjistíte, že je nutné provést změnu schématu, doporučuje se přidat správce do skupiny Schema Admins, aby byla změna umožněna. Jakmile bude změna dokončena, odeberte správce z této skupiny.
Specifikace individuálních oprávnění
Můžete také poskytovat oprávnění pro konkrétní úkoly správy schématu, aniž byste udělili oprávnění k provádění všech změn. Chcete-li udělit konkrétní přístup uživateli nebo skupině, použijte možnost Oprávnění. Jakmile již není přístup potřebný, odeberte oprávnění uživateli nebo skupině.
Zobrazení definic tříd a atributů
Modul snap-in Schéma služby Active Directory poskytuje zobrazení objektů classSchema a attributeSchema.