Na maioria das florestas do Active Directory, não é necessário gerir os objectos do esquema ou as respectivas propriedades de outra forma que não seja fornecer segurança para garantir que só os administradores autorizados têm acesso ao esquema. O acesso predefinido aos objectos e propriedades do esquema está limitado à conta de Administrador no domínio raiz da floresta. No entanto, pode ocasionalmente fornecer permissões do esquema a outros administradores se, por exemplo, um programador da aplicação necessitar de modificar um objecto do esquema ou de resolver um problema de compatibilidade do esquema de uma aplicação.
Também é possível que necessite de instalar o snap-in Esquema do Active Directory noutros controladores de domínio. Pode utilizar o snap-in Esquema do Active Directory para ver as propriedades e objectos de atributo e classe do esquema.
Instalar o snap-in Esquema do Active Directory
Uma vez que a gestão de esquemas não é um objectivo típico administrativo e que as alterações no esquema têm consequências potencialmente prejudiciais em toda a floresta, por predefinição, o snap-in Esquema do Active Directory não é instalado quando adiciona a função de Serviços de Domínio do Active Directory (AD DS). Antes de poder adicionar o snap-in Esquema do Active Directory à Consola de Gestão da Microsoft (MMC), tem de registar a Schmmgmt.dll nos AD DS. O requisito para este passo preliminar impede a utilização incorrecta da ferramenta. Depois de registar a Schmmgmt.dll, o snap-in Esquema do Active Directory fica disponível para ser adicionado à MMC.
Fornecer acesso administrativo ao esquema
Os membros do grupo Admins de Esquemas têm permissão para executar todas as modificações no esquema, excepto Eliminar Todos os Objectos Subordinados. Por predefinição, o único membro do grupo Admins de Esquemas é a conta de Administrador no domínio raiz da floresta.
Conceder permissões a um administrador
Pode utilizar o snap-in Utilizadores e Computadores do Active Directory para adicionar outro utilizador ao grupo Admins de Esquemas. Só deve ser adicionado um utilizador adicional ao grupo de cada vez. Como procedimento recomendado, se determinar que tem de ser efectuada uma alteração no esquema, adicione um utilizador administrativo ao grupo Admins de Esquemas para permitir a alteração. Após a conclusão da alteração, remova o utilizador administrativo do grupo.
Especificar permissões individuais
Também pode fornecer permissões para tarefas de gestão de esquemas específicas sem permitir permissões para executar todas as alterações. Utilize a opção Permissões para conceder acesso específico a um utilizador ou grupo. Novamente, quando o acesso já não for necessário, remova as permissões do utilizador ou grupo.
Aplicar Permissões Administrativas do Esquema do Active Directory
Ver definições de atributo e de classe
O snap-in Esquema do Active Directory fornece uma visualização dos objectos classSchema e attributeSchema.