Работа со схемой Active Directory

Обновлено Обновлено: Опубликовано Опубликовано:

В двух словах, схема Active Directory Domain Services (AD DS) содержит описания для всех объектов, которые могут храниться в службе каталогов. Как правило, менять схему не требуется — более того, лучше это делать только при крайней необходимости. В данной инструкции пойдет речь о том, как открыть на просмотр и редактирование схему AD DS.

Подготовка

Для работы со схемой, необходимо выполнить следующие требования:

  1. Убедиться, что мы работаем на компьютере, который введен в домен.
  2. Пользователь, под которым работаем должен обладать необходимыми правами:
    • Чтобы добавить оснастку в MMC, быть в группе Пользователи домена (Domain Users).
    • Для регистрации schmmgmt.dll — как минимум, Администратор домена (Domain Admins).
    • Для редактирования схемы — Администратор схемы (Schema Admins).

Добавление оснастки в MMC

По умолчанию, в MMC нет возможности выбрать нужную оснастку. Сначала необходимо запустить командную строку от имени администратора и ввести:

regsvr32 schmmgmt.dll

Мы должны увидеть окно «Успешное выполнение DllRegisterServer в schmmgmt.dll.»:

Успешная регистрация schmmgmt.dll

Нажимаем OK.

Запускаем MMC (команда mmc) - в открывшемся окне кликаем по Файл - Добавить или удалить оснастку:

Добавление оснастки в MMC

Выбираем оснастку Схема Active Directory и нажимаем по Добавить — оснастка должна появиться в правой части окна:

Добавление оснастки Схемы AD

Нажимаем OK.

Просмотр схемы

Оснастка автоматически подключается к хозяину операций «Schema Master». Раскрываем дерево — мы увидим наборы классов и атрибутов. Раскрыв их мы можем выбрать любой объект и, кликнув по нему дважды, посмотреть его параметры, настройки и значения полей.

Классы определяют, какие объекты могут существовать в AD. Атрибуты — какие атрибуты будет иметь тот или иной объект.

Редактирование атрибутов

Оснастка Схема Active Directory позволяет нам редактировать настройки для атрибутов и их описание. Но некоторые поля могут быть недоступны для изменений. В этом случае необходимо отредактировать их с помощью оснастки Редактирование ADSI.

В качестве примера, изменим максимальную длину для названия отдела, где работает сотрудник.

В Диспетчере серверов открываем оснастку Редактирование ADSI:

В диспетчере серверов кликаем по Средства

...

Выбираем Редактирование ADSI

В открывшейся оснастке кликаем правой кнопкой по корню (Редактирование ADSI) - выбираем Подключение к...:

Подключение к...

В качестве точки подключения выбираем Схема:

Выбираем схему в качестве точки подключения

... и нажимаем OK.

Слева раскрываем добавленный пункт - находим в нем CN=Schema... - в окне справа находим нужный нам атрибут (в нашем примере, для названия отдела или Department) - кликаем по нему дважды - в открывшемся окне выбираем нужный нам параметр и открываем его на редактирование - задаем нужное значение и нажимаем OK:

Редактируем атрибут схемы AD

В течение минут 15 настройка должна примениться.

# Active Directory # Серверы
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет