Az Active Directory-erdők többségében a sémaobjektumokat és azok tulajdonságait csak a biztonság tekintetében kell kezelni annak érdekében, hogy kizárólag az engedéllyel rendelkező rendszergazdák férjenek hozzá a sémához. A sémaobjektumokhoz és tulajdonságokhoz alapértelmezés szerint csak a Rendszergazda fiók fér hozzá az erdő gyökértartományában. Előfordulhat azonban, hogy esetenként sémaengedélyeket szeretne adni más rendszergazdák számára, amikor például egy alkalmazásfejlesztőnek módosítania kell egy sémaobjektumot vagy meg kell oldania egy sémakompatibilitási problémát egy alkalmazásnál.
Szükség lehet az Active Directory sémakezelő beépülő modul telepítésére is más tartományvezérlőkön. Az Active Directory sémakezelő beépülő modul segítségével megtekintheti a sémaosztályokat, illetve az attribútumok objektumait és tulajdonságait.
Az Active Directory sémakezelő beépülő modul telepítése
Mivel a sémakezelés nem nevezhető szokásos felügyeleti feladatnak, és a séma módosítása az egész erdőre kiterjedő káros hatással járhat, az Active Directory-séma beépülő modul nem települ alapértelmezés szerint az Active Directory tartományszolgáltatások (AD DS) szerepkör hozzáadásakor. Az Active Directory-séma beépülő modult csak akkor adhatja hozzá a Microsoft Management Console (MMC) eszközhöz, miután telepítette a Schmmgmt.dll fájlt az AD DS-ben. Ez a követelmény megelőzi az eszköz helytelen használatát. Az Schmmgmt.dll regisztrálása után az Active Directory-séma beépülő modul hozzáadható az MMC-hez.
Felügyeleti hozzáférés biztosítása a sémához
A Sémagazdák csoport tagjai minden módosítást elvégezhetnek a sémán, de nem hajthatják végre Az összes gyermekobjektum törlése műveletet. Alapértelmezés szerint a Sémagazdák csoport egyetlen tagja a Rendszergazda fiók az erdő gyökértartományában.
Engedélyek biztosítása rendszergazdáknak
Az Active Directory - felhasználók és számítógépek beépülő modullal újabb felhasználót adhat a Sémagazdák csoporthoz. Egyszerre csak egy új felhasználót vehet fel a csoportba. Ha úgy dönt, hogy módosítani kell a sémát, érdemes hozzáadni egy rendszergazdát a Sémagazdák csoporthoz a módosítás végrehajtása érdekében. A módosítás elvégzése után távolítsa el a rendszergazdát a csoportból.
Külön engedélyek megadása
Lehetőség van arra is, hogy engedélyeket adjon bizonyos sémakezelési feladatokhoz anélkül, hogy engedélyezné módosítások elvégzését. Használja az Engedélyek lehetőséget, ha meghatározott hozzáférést kíván adni egy felhasználó vagy csoport számára. Ha a hozzáférésre nincs többé szükség, vegye el az engedélyt a felhasználótól vagy csoporttól.
Az Active Directory sémakezelő rendszergazdai jogosultságainak alkalmazása
Osztály- és attribútumdefiníciók megtekintése
A Active Directory sémakezelő beépülő modul megmutatja a classSchema és attributeSchema objektumokat.