在大部分的 Active Directory 樹系中,除了對架構物件或其內容提供安全性,以確保僅有授權的系統管理員能夠存取外,並不需要對這些物件進行管理。架構物件及內容的預設存取權僅限於樹系根網域中的 Administrator 帳戶。不過,您偶爾會需要對其他系統管理員提供架構權限,例如,如果應用程式開發人員需要修改架構物件或疑難排解應用程式的架構相容性問題時。
您可能也需要在其他網域主控站上安裝 Active Directory 架構嵌入式管理單元。您可以使用 Active Directory 架構嵌入式管理單元檢視架構類別與屬性物件以及內容。
安裝 Active Directory 架構嵌入式管理單元
由於架構管理並非典型的系統管理目標,同時變更架構可能會危及整個樹系,因此在您新增 Active Directory 網域服務 (AD DS) 時,預設是不會安裝 Active Directory 架構嵌入式管理單元。在可以將 Active Directory 架構嵌入式管理單元新增到 Microsoft Management Console (MMC) 前,您必須在 AD DS 中登錄 Schmmgmt.dll。此開始步驟的必要性在於可避免不適當的使用工具。登錄 Schmmgmt.dll 後,Active Directory 架構嵌入式管理單元即可新增到 MMC。
提供架構的系統管理存取權
Schema Admins 群組的成員擁有執行架構修改的所有權限,除了「刪除所有子物件」外。根據預設值,Schema Admins 群組的唯一成員即樹系根網域中的 Administrator 帳戶。
授與系統管理員權限
您可以使用 Active Directory 使用者和電腦嵌入式管理單元,新增其他使用者到 Schema Admins 群組。一次只能新增一位額外的使用者到群組。最好的作法是如果您決定必須變更架構,則將系統管理使用者新增到 Schema Admins 群組以允許變更。變更完成後,再從群組移除系統管理使用者。
指定個別權限
您也可以針對特定架構管理工作提供權限,不需允許進行所有變更的權限。使用 [權限] 選項將特定存取權授與使用者或群組。當然,不再需要存取時,請移除使用者或群組的權限。
檢視類別及屬性定義
Active Directory 架構嵌入式管理單元提供 classSchema 與 attributeSchema 物件的檢視。