In de meeste Active Directory-forests hoeft u schemaobjecten of hun eigenschappen slechts zodanig te wijzigen dat alleen gemachtigde beheerders toegang hebben tot het schema. Standaard heeft alleen het Administrator-account in het hoofddomein van het forest toegang tot schemaobjecten en eigenschappen. Het kan echter gebeuren dat u andere beheerders ook schemamachtigingen wilt verlenen, bijvoorbeeld als de ontwikkelaar van een toepassing een schemaobject moet wijzigen of een probleem met de compatibiliteit van het schema voor een toepassing moet oplossen.
Het is ook mogelijk dat u de module Active Directory-schema op andere domeincontrollers moet installeren. Met de module Active Directory-schema kunt u objecten en eigenschappen van schemaklassen en -kenmerken weergeven.
De module Active Directory-schema installeren
Omdat schemabeheer geen typische beheerfunctie is en omdat schemawijzigingen problemen kunnen veroorzaken voor het gehele forest, wordt de module Active Directory-schema niet standaard geïnstalleerd wanneer u de functie AD DS (Active Directory Domain Services) toevoegt. Voordat u de module Active Directory-schema aan MMC (Microsoft Management Console) kunt toevoegen, moet u Schmmgmt.dll in AD DS registreren. Door deze voorbereidende stap is een gebruiker minder snel geneigd het hulpprogramma te gebruiken. Nadat u Schmmgmt.dll hebt geregistreerd, kan de module Active Directory-schema aan MMC worden toegevoegd.
Beheerderstoegang verlenen tot het schema
Leden van de groep Schema-administrators zijn gemachtigd om alle wijzigingen in het schema aan te brengen, behalve het verwijderen van alle onderliggende objecten. Standaard is alleen het Administrator-account in het hoofddomein van het forest lid van de groep Schema-administrators.
Machtigingen verlenen aan een beheerder
Met de module Active Directory - gebruikers en computers kunt u een andere gebruiker toevoegen aan de groep Schema-administrators. Er mag slechts één gebruiker tegelijk aan de groep worden toegevoegd. Als er een wijziging in het schema moet worden aangebracht, kunt u het beste aan de groep Schema-administrators een gebruiker toevoegen die de wijziging mag aanbrengen. Nadat de wijziging is aangebracht, verwijdert u deze gebruiker uit de groep.
Afzonderlijke machtigingen opgeven
U kunt ook machtigingen voor specifieke schemabeheertaken verlenen zonder toestemming te geven om alle wijzigingen aan te brengen. Gebruik de optie Machtigingen om specifieke toegang te verlenen aan een gebruiker of groep. Wanneer de toegang niet langer nodig is, verwijdert u de machtigingen voor de gebruiker of de groep.
Definities van klassen en kenmerken weergeven
In de module Active Directory-schema kunt u de objecten classSchema en attributeSchema weergeven.