Работа со схемой Active Directory

В двух словах, схема Active Directory Domain Services (AD DS) содержит описания для всех объектов, которые могут храниться в службе каталогов. Как правило, менять схему не требуется — более того, лучше это делать только при крайней необходимости. В данной инструкции пойдет речь о том, как открыть на просмотр и редактирование схему AD DS.

Подготовка

Для работы со схемой, необходимо выполнить следующие требования:

1. Убедиться, что мы работаем на компьютере, который введен в домен.
2. Пользователь, под которым работаем должен обладать необходимыми правами:
   • Чтобы добавить оснастку в MMC, быть в группе Пользователи домена (Domain Users).
   • Для регистрации schmmgmt.dll — как минимум, Администратор домена (Domain Admins).
   • Для редактирования схемы — Администратор схемы (Schema Admins).

Добавление оснастки в MMC

По умолчанию, в MMC нет возможности выбрать нужную оснастку. Сначала необходимо запустить командную строку от имени администратора и ввести:

Мы должны увидеть окно «Успешное выполнение DllRegisterServer в schmmgmt.dll.»:

Нажимаем OK .

Запускаем MMC (команда mmc ) — в открывшемся окне кликаем по Файл — Добавить или удалить оснастку :

Выбираем оснастку Схема Active Directory и нажимаем по Добавить — оснастка должна появиться в правой части окна:

Нажимаем OK .

Просмотр схемы

Оснастка автоматически подключается к хозяину операций «Schema Master». Раскрываем дерево — мы увидим наборы классов и атрибутов. Раскрыв их мы можем выбрать любой объект и, кликнув по нему дважды, посмотреть его параметры, настройки и значения полей.

Классы определяют, какие объекты могут существовать в AD. Атрибуты — какие атрибуты будет иметь тот или иной объект.

Редактирование атрибутов

Оснастка Схема Active Directory позволяет нам редактировать настройки для атрибутов и их описание. Но некоторые поля могут быть недоступны для изменений. В этом случае необходимо отредактировать их с помощью оснастки Редактирование ADSI .

В качестве примера, изменим максимальную длину для названия отдела, где работает сотрудник.

В Диспетчере серверов открываем оснастку Редактирование ADSI :

…

В открывшейся оснастке кликаем правой кнопкой по корню (Редактирование ADSI) — выбираем Подключение к… :

В качестве точки подключения выбираем Схема :

… и нажимаем OK .

Слева раскрываем добавленный пункт — находим в нем CN=Schema… — в окне справа находим нужный нам атрибут (в нашем примере, для названия отдела или Department ) — кликаем по нему дважды — в открывшемся окне выбираем нужный нам параметр и открываем его на редактирование — задаем нужное значение и нажимаем OK :

В течение минут 15 настройка должна примениться.