Na maioria das florestas do Active Directory, não é preciso gerenciar objetos de esquema ou suas propriedades de forma a oferecer segurança e garantir que somente administradores autorizados tenham acesso ao esquema. O acesso padrão a objetos e propriedades de esquema está limitado à conta Administrador no domínio raiz da floresta. Entretanto, pode ser conveniente conceder permissões de esquema a outros administradores de vez em quando se, por exemplo, um desenvolvedor de aplicativos precisar modificar um objeto de esquema ou solucionar um problema de compatibilidade de esquemas para um aplicativo.
Talvez seja necessário também instalar o snap-in Esquema do Active Directory em outros controladores de domínio. Você pode usá-lo para exibir classes de esquema e objetos e propriedades de atributo.
Instalando o snap-in Esquema do Active Directory
Como o gerenciamento de esquemas não é um objetivo administrativo típico e as alterações no esquema têm consequências potencialmente nocivas para toda a floresta, o snap-in Esquema do Active Directory não é instalado por padrão quando você adiciona a função AD DS (Serviços de Domínio Active Directory). Para poder adicionar o snap-in Esquema do Active Directory ao MMC (Console de Gerenciamento Microsoft), você deve registrar Schmmgmt.dll no AD DS. O requisito para essa etapa preliminar desencoraja o uso impróprio da ferramenta. Depois que você registrar Schmmgmt.dll, o snap-in Esquema do Active Directory estará disponível para ser adicionado ao MMC.
Fornecendo acesso administrativo ao esquema
Membros do grupo Administradores de Esquemas têm permissão para realizar todas as modificações no esquema, exceto Excluir Todos os Objetos Filho. Por padrão, o único membro desse grupo é a conta Administrador no domínio raiz da floresta.
Concedendo permissões a um administrador
Você pode usar o snap-in Usuários e Computadores do Active Directory para adicionar outro usuário ao grupo Administradores de Esquemas. Apenas um usuário deve ser adicionado ao grupo de cada vez. Como prática recomendada, se você determinar que uma alteração deve ser feita no esquema, adicione um usuário administrativo ao grupo Administradores de Esquemas para permitir a alteração. Depois de concluída a alteração, remova o usuário administrativo do grupo.
Especificando permissões individuais
Você também pode fornecer permissões para tarefas específicas do gerenciamento de esquemas sem conceder permissões para fazer todas as alterações. Use a opção Permissões para conceder acesso específico a um usuário ou grupo. Mais uma vez, quando o acesso não for mais necessário, remova as permissões concedidas ao usuário ou grupo.
Aplicar permissões administrativas do Esquema do Active Directory
Exibindo definições de classe e de atributo
O snap-in Esquema do Active Directory fornece uma exibição dos objetos classSchema e attributeSchema.