대부분의 Active Directory 포리스트에서는 권한 있는 관리자만 스키마에 액세스할 수 있도록 보안을 제공하는 것 외에 다른 방식으로 스키마 개체나 해당 속성을 관리할 필요가 없습니다. 스키마 개체 및 속성에 대한 기본 액세스는 포리스트 루트 도메인의 Administrator 계정으로 제한됩니다. 그러나 응용 프로그램 개발자가 스키마 개체를 수정해야 하거나 응용 프로그램의 스키마 호환성 문제를 해결해야 하는 경우 등에서 다른 관리자에게 스키마 사용 권한을 제공할 수 있습니다.
다른 도메인 컨트롤러에 Active Directory 스키마 스냅인을 설치해야 할 수도 있습니다. Active Directory 스키마 스냅인을 사용하여 스키마 클래스와 특성 개체 및 속성을 볼 수 있습니다.
Active Directory 스키마 스냅인 설치
스키마 관리자는 일반적인 관리 목적이 아니며 스키마 변경으로 인해 포리스트 전체에 해로운 영향을 줄 수 있으므로 AD DS(Active Directory 도메인 서비스) 역할을 추가할 때 Active Directory 스키마 스냅인은 기본적으로 설치되지 않습니다. Active Directory 스키마 스냅인을 MMC(Microsoft Management Console)에 추가하려면 Schmmgmt.dll을 AD DS에 등록해야 합니다. 이 준비 단계의 요구 사항은 도구의 부적절한 사용을 방지합니다. Schmmgmt.dll을 등록한 후 Active Directory 스키마 스냅인을 MMC에 추가할 수 있습니다.
스키마에 대한 관리 액세스 제공
Schema Admins 그룹의 구성원은 모든 자식 개체 삭제를 제외하고 스키마에 대해 모든 수정 작업을 수행할 수 있습니다. 기본적으로 포리스트 루트 도메인의 Administrator 계정만 Schema Admins 그룹의 구성원입니다.
관리자에게 사용 권한 부여
Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 다른 사용자를 Schema Admins 그룹에 추가할 수 있습니다. 한 번에 한 명의 사용자만 그룹에 추가해야 합니다. 스키마를 변경해야 하는 경우 관리 사용자를 Schema Admins 그룹에 추가하여 변경을 허용한 후 변경이 완료되면 이 관리 사용자를 그룹에서 제거하는 것이 좋습니다.
개별 사용 권한 지정
모든 변경을 수행할 권한을 허용하지 않고 특정 스키마 관리 작업에 대한 권한을 제공할 수도 있습니다. 사용 권한 옵션을 사용하여 사용자 또는 그룹에 특정 액세스를 부여한 후 액세스가 더 이상 필요하지 않으면 사용자 또는 그룹의 사용 권한을 제거합니다.
클래스 및 특성 정의 보기
Active Directory 스키마 스냅인은 classSchema 및 attributeSchema 개체 보기를 제공합니다.