I de flesta Active Directory-domäner (skogar) behöver du inte hantera schemaobjekten eller dessas egenskaper. Det enda du behöver göra är att skydda dem så att endast auktoriserade administratörer kan komma åt schemat. Som standard är det endast administratörskontot i skogsrotdomänen som har åtkomst till schemaobjekten. Du kan dock behöva bevilja behörighet för schemat till andra administratörer när exempelvis en programutvecklare behöver ändra ett schemaobjekt eller felsöka schemat på grund av kompatibilitetsproblem med ett program.
Du kan också behöva installera snapin-modulen för Active Directory-schema på andra domänkontrollanter. I den här snapin-modulen kan du visa schemaklass, attributobjekt och egenskaper.
Installera snapin-modulen för Active Directory-schemat
Eftersom schemahantering inte är en vanlig administrativ uppgift och eftersom schemaändringar kan få allvarliga konsekvenser i hela domänen installeras snapin-modulen för Active Directory-schema inte som standard när du lägger till rollen AD DS (Active Directory Domain Services). Innan du kan lägga till snapin-modulen för Active Directory-schema i MMC (Microsoft Management Console) måste du registrera Schmmgmt.dll i AD DS. Kraven vid detta förberedande steg förhindrar att verktyget används på ett felaktigt sätt. När du har registrerat Schmmgmt.dll kan snapin-modulen för Active Directory-schema lägga till i MMC.
Ge administrativ åtkomst till schemat
Medlemmar i gruppen Schemaadministratörer har behörighet att genomföra alla ändringar av schemat utom Ta bort alla underordnade objekt. Som standard är administratörskontot för skogsrotdomänen den enda medlemmen i gruppen Schemaadministratörer.
Bevilja behörighet till en administratör
Du kan använda snapin-modulen Active Directory – användare och datorer om du vill lägga till en annan användare i gruppen Schemaadministratörer. Lägg endast till en extra användare i taget i gruppen. Om du anser att en ändring av schemat är nödvändig lägger du till en administrativ användare i gruppen Schemaadministratörer som kan genomföra ändringen. När ändringen är genomförs tar du bort användaren från gruppen.
Ange individuella behörigheter
Du kan också bevilja behörighet för specifika schemahanteringsuppgifter utan att samtidigt bevilja behörighet att genomföra alla typer av ändringar. Med hjälp av alternativet Behörigheter kan du bevilja specifik åtkomst för en användare eller en grupp. När behörigheten inte längre behövs bör du ta bort den från användaren eller gruppen.
Använda administrationsbehörighet för Active Directory-schema
Visa klass- och attributdefinitioner
I snapin-modulen Active Directory-schema kan du visa objekten classSchema och attributeSchema.