In den meisten Active Directory-Gesamtstrukturen müssen Schemaobjekte oder ihre Eigenschaften nur verwaltet werden, um sicherzustellen, dass ausschließlich autorisierte Administratoren Zugriff auf das Schema haben. Der Standardzugriff auf Schemaobjekte und -eigenschaften ist auf das Administratorkonto in der Stammdomäne der Gesamtstruktur beschränkt. Möglicherweise möchten Sie jedoch gelegentlich anderen Administratoren Schemaberechtigungen erteilen, beispielsweise, wenn ein Anwendungsentwickler ein Schemaobjekt ändern oder ein Schemakompatibilitätsproblem bezüglich einer Anwendung beheben muss.
Sie müssen möglicherweise auch das Snap-In für das Active Directory-Schema auf anderen Domänencontrollern installieren. Sie können das Snap-In für das Active Directory-Schema verwenden, um die Schemaklasse sowie die Attributobjekte und -eigenschaften anzuzeigen.
Installieren des Snap-Ins für das Active Directory-Schema
Da die Schemaverwaltung kein typisches administratives Ziel ist und Schemaänderungen schädigende Auswirkungen auf Gesamtstrukturebene haben können, wird das Snap-In für das Active Directory-Schema beim Hinzufügen der AD DS-Rolle (Active Directory Domain Services) nicht standardmäßig installiert. Bevor der Microsoft Management Console (MMC) das Snap-In für das Active Directory-Schema hinzugefügt werden kann, müssen Sie Schmmgmt.dll in AD DS registrieren. Durch das Erfordernis dieses vorausgehenden Schritts wird eine unsachgemäße Verwendung des Tools erschwert. Nach dem Registrieren von Schmmgmt.dll ist das Snap-In für das Active Directory-Schema verfügbar und kann der MMC hinzugefügt werden.
Erteilen von Administratorrechten für den Zugriff auf das Schema
Mitglieder der Gruppe Schema-Admins verfügen über die Berechtigung, am Schema alle Änderungen mit Ausnahme von Alle untergeordneten Objekte löschen vorzunehmen. Standardmäßig ist das Administratorkonto in der Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe Schema-Admins.
Erteilen von Berechtigungen an einen Administrator
Sie können das Snap-In Active Directory-Benutzer und -Computer verwenden, um der Gruppe Schema-Admins einen weiteren Benutzer hinzuzufügen. Der Gruppe sollte jeweils immer nur ein weiterer Benutzer hinzugefügt werden. Wenn Sie bestimmen, dass am Schema eine eine Änderung vorgenommen werden muss, empfiehlt es sich, der Gruppe Schema-Admins einen Administrator hinzufügen, um die Änderung zuzulassen. Nachdem die Änderung vorgenommen wurde, entfernen Sie den Administrator aus der Gruppe.
Angeben einzelner Berechtigungen
Sie können auch Berechtigungen für bestimmte Schemaverwaltungsaufgaben erteilen, ohne dass Berechtigungen zum Vornehmen aller Änderungen erteilt werden. Verwenden Sie die Option Berechtigungen, um einem Benutzer bzw. einer Gruppe besonderen Zugriff zu erteilen. Wenn der Zugriff nicht mehr erforderlich ist, entfernen Sie die Berechtigungen für den Benutzer bzw. für die Gruppe.
Anwenden von Administratorrechten für das Active Directory-Schema
Anzeigen von Klassen- und Attributdefinitionen
Das Snap-In für das Active Directory-Schema bietet einen Überblick über die Objekte classSchema und attributeSchema.