In gran parte delle foreste di Active Directory non è necessario gestire gli oggetti dello schema o le relative proprietà in alcun modo, se non a scopo di sicurezza e per assicurare che l'accesso allo schema sia consentito soltanto agli amministratori autorizzati. L'accesso predefinito agli oggetti dello schema e alle rispettive proprietà è limitato all'account Administrator nel dominio radice della foresta. In alcune circostanze potrebbe essere tuttavia necessario concedere ad altri amministratori le autorizzazioni per l'accesso allo schema, ad esempio se uno sviluppatore di applicazioni ha la necessità di modificare un oggetto dello schema o di risolvere un problema di compatiblità tra un'applicazione e lo schema.

Potrebbe inoltre essere necessario installare lo snap-in Schema di Active Directory in altri controller di dominio. È possibile utilizzare lo snap-in Schema di Active Directory per visualizzare gli oggetti classe e attributo dello schema e le relative proprietà.

Installare lo snap-in Schema di Active Directory

Dal momento che la gestione dello schema non rientra tra gli obiettivi tradizionali dell'amministratore e le modifiche dello schema hanno conseguenze potenzialmente deleterie sull'intera foresta, lo snap-in Schema di Active Directory non viene installato per impostazione predefinita quando si aggiunge il ruolo Servizi di dominio Active Directory. Per poter aggiungere lo snap-in Schema di Active Directory a Microsoft Management Console (MMC), è dapprima necessario registrare il file Schmmgmt.dll in Servizi di dominio Active Directory. Questo passaggio preliminare ha la funzione di scoraggiare l'utilizzo improprio dello strumento. Dopo aver registrato Schmmgmt.dll, è possibile aggiungere lo snap-in Schema di Active Directory a MMC.

Installare lo snap-in Schema di Active Directory

Concedere l'accesso amministrativo allo schema

I membri del gruppo Schema Admins dispongono delle autorizzazioni necessarie per apportare tutte le modifiche allo schema, tranne Elimina tutti gli oggetti figlio. Per impostazione predefinita, il solo membro del gruppo Schema Admins è l'account Administrator nel dominio radice della foresta.

Concedere le autorizzazioni a un amministratore

È possibile utilizzare lo snap-in Utenti e computer di Active Directory per aggiungere un ulteriore utente al gruppo Schema Admins. È consigliabile aggiungere al gruppo un solo utente alla volta. Nel caso in cui sia necessario modificare lo schema, è consigliabile aggiungere un utente amministrativo al gruppo Schema Admins affinché esegua la modifica e, al termine dell'operazione, rimuovere l'utente amministrativo dal gruppo.

Specificare singole autorizzazioni

È possibile concedere le autorizzazioni per svolgere specifiche operazioni di gestione dello schema senza concedere le autorizzazioni per tutti i tipi di modifica. Utilizzare l'opzione Autorizzazioni per concedere l'accesso specifico a un utente o un gruppo. Anche in questo caso è consigliabile rimuovere le autorizzazioni dall'utente o dal gruppo quando l'accesso non è più necessario.

Applicare le autorizzazioni amministrative per lo schema di Active Directory

Visualizzare le definizioni di classi e attributi

Lo snap-in Schema di Active Directory consente di visualizzare gli oggetti classSchema e attributeSchema.

Visualizzare le definizioni di classi e attributi dello schema