В большинстве лесов Active Directory управление объектами схемы или их свойствами сводится к настройке безопасности таким образом, чтобы доступ к схеме имели только уполномоченные администраторы. По умолчанию доступ к объектам и свойствам схемы предоставлен только учетной записи администратора в корневом домене леса. Однако иногда может потребоваться предоставление разрешения на доступ к схеме другим администраторам, например, если разработчику приложения необходимо изменить объект схемы или устранить проблему совместимости приложения со схемой.
Может также потребоваться установка оснастки «Схема Active Directory» на другие контроллеры домена. Оснастка «Схема Active Directory» используется для просмотра объектов классов и атрибутов схемы и их свойств.
Установка оснастки «Схема Active Directory»
Поскольку управление схемой не является типичной административной задачей, а изменения схемы имеют потенциально опасные последствия для всего леса, оснастка «Схема Active Directory» не устанавливается по умолчанию при добавлении роли доменных служб Active Directory (AD DS). Прежде чем добавить оснастку «Схема Active Directory» на консоль управления MMC, необходимо зарегистрировать библиотеку Schmmgmt.dll в AD DS. Требование этого подготовительного действия препятствует неправильному использованию данного инструмента. После регистрации библиотеки Schmmgmt.dll оснастка «Схема Active Directory» становится доступной для добавления в MMC.
Предоставление административного доступа к схеме
Члены группы «Администраторы схемы» имеют разрешение на выполнение любых изменений схемы, кроме разрешения «Удаление всех дочерних объектов». По умолчанию в группу «Администраторы схемы» входит только учетная запись администратора корневого домена леса.
Предоставление разрешений администратору
Для добавления пользователей в группу «Администраторы схемы» может служить оснастка «Active Directory - пользователи и компьютеры». Пользователей в эту группу следует добавлять по одному за раз. Рекомендуется добавить административного пользователя в группу «Администраторы схемы» только при обнаружении необходимости изменения схемы. После внесения нужного изменения следует удалить административного пользователя из этой группы.
Определение отдельных разрешений
Можно предоставлять разрешения на выполнение определенных задач управления схемой без предоставления разрешений на выполнение всех изменений. Для предоставления определенного доступа пользователю или группе используется параметр Разрешения. Когда доступ больше не нужен, разрешения для пользователя или группы опять же следует удалить.
Установка административных разрешений в оснастке «Схема Active Directory»
Просмотр определений классов и атрибутов
Оснастка «Схема Active Directory» обеспечивает просмотр объектов classSchema и attributeSchema.