在大多数 Active Directory 林中,除了需要提供安全,以确保只有授权的管理员才有权访问架构之外,您不需要以任何方式来管理架构对象及其属性。对架构对象和属性的默认访问仅限于林根域中的管理员帐户。但是,在偶然情况下,例如,应用程序开发人员需要修改架构对象,或解决应用程序的架构兼容性问题时,您可能需要为其他管理员提供架构权限。
您还可能需要在其他域控制器上安装 Active Directory 架构管理单元。您可以使用 Active Directory 架构管理单元来查看架构类、属性对象和属性。
安装 Active Directory 架构管理单元
由于架构管理并非典型的管理目标,而且架构更改可能带来林范围的有害结果,因此,在您添加 Active Directory 域服务 (AD DS) 角色时,不会默认安装 Active Directory 架构管理单元。在将 Active Directory 架构管理单元添加到 Microsoft 管理控制台 (MMC) 之前,您必须在 AD DS 中注册 Schmmgmt.dll。之所以要求此预备步骤,是为了禁止对此工具的不适当使用。注册了 Schmmgmt.dll 之后,便可以将 Active Directory 架构管理单元添加到 MMC 中。
提供对架构的管理访问
Schema Admins 组的成员具有对架构执行所有修改(删除所有的子对象除外)的权限。默认情况下,Schema Admins 组的唯一成员是林根域中的管理员帐户。
为管理员授予权限
可以使用 Active Directory 用户和计算机管理单元,将另一用户添加到 Schema Admins 组。每次只能将一个其他用户添加到该组。作为最佳操作,如果确定必须对架构进行更改,则将管理用户添加到 Schema Admins 组,以便允许更改。在更改完成后,将管理用户从该组中删除。
指定单独权限
还可以为特定架构管理任务提供权限,而不提供允许执行所有更改的权限。使用“权限”选项,授予用户或组特定的访问权限。与上述一样,当不再需要此访问权限时,便删除用户或组的权限。
查看类和属性定义
Active Directory 架构管理单元提供了 classSchema 和 attributeSchema 对象的视图。