En la mayoría de los bosques de Active Directory no es necesario administrar los objetos de esquema o sus propiedades de ningún modo, aparte de proporcionar seguridad para garantizar que sólo los administradores autorizados tengan acceso al esquema. El acceso predeterminado a los objetos y propiedades de esquema está limitado a la cuenta Administrador del dominio raíz del bosque. No obstante, en ocasiones puede ser necesario proporcionar permisos de esquema a otros administradores si, por ejemplo, un desarrollador de aplicaciones debe modificar un objeto de esquema o solucionar un problema de compatibilidad del esquema de una aplicación.
También puede ser necesario instalar el complemento Esquema de Active Directory en otros controladores de dominio. Puede usar el complemento Esquema de Active Directory para ver objetos y propiedades de clase de esquema y atributos.
Instalación del complemento Esquema de Active Directory
Puesto que la administración de esquema no es un objetivo típico de la administración y los cambios en el esquema pueden tener consecuencias potencialmente negativas en todo el bosque, el complemento Esquema de Active Directory no se instala de forma predeterminada al agregar el rol de Servicios de dominio de Active Directory (AD DS). Para poder agregar el complemento Esquema de Active Directory en Microsoft Management Console (MMC), es necesario registrar Schmmgmt.dll en AD DS. Este paso preliminar necesario permite disuadir del uso de esta herramienta. Después de registrar Schmmgmt.dll, el complemento Esquema de Active Directory está disponible para agregarse a MMC.
Proporcionar acceso administrativo al esquema
Los miembros del grupo Administradores de esquema tienen permiso para realizar todas las modificaciones en el esquema salvo Borrar todos los objetos secundarios. De forma predeterminada, el único miembro del grupo Administradores de esquema es la cuenta Administrador del dominio raíz del bosque.
Conceder permisos a un administrador
Puede usar el complemento Usuarios y equipos de Active Directory para agregar otro usuario al grupo Administradores de esquema. Sólo se debe agregar al grupo un usuario adicional cada vez. Como práctica recomendada, si determina que se debe realizar un cambio en el esquema, agregue un usuario administrativo al grupo Administradores de esquema para permitir el cambio. Una vez completado el cambio, quite el usuario administrativo del grupo.
Especificar permisos individuales
Además, puede proporcionar permisos para tareas específicas de administración del esquema sin conceder permisos para realizar todos los cambios. Use la opción Permisos para conceder acceso específico a un usuario o grupo. Elimine los permisos del usuario o grupo cuando ya no necesite este tipo de acceso.
Aplicación de permisos administrativos de Esquema de Active Directory
Ver definiciones de clases y atributos
El complemento Esquema de Active Directory proporciona una visualización de los objetos classSchema y attributeSchema.
Visualización de definiciones de clase de esquema y atributo