如何修改Active Directory Schema？

.Dfb857 问:活动目录为了能够控制所有的对象，必须知道该对象的属性和特征，也即要有该对象的整体蓝图计划。Active Directory Schema(活动目录计划)就是存储在活动目录中所有对象的类、属性、语法的蓝图。通过修改Active Directory Schema就可以修改对象的计划。如何修改Active Directory Schema？
答:为了让系统允许用户通过Schema Manager console或ADSI修改Active Directory Schema，必须通过两层保护。
第一，能够修改Active Directory Schema 的用户必须是存在于森林根域的Schema Admins group组中的一员;第二，必须修改注册表。修改Active Directory Schema最快捷、最方便的方法就是使用Schema Manager console。另外运行Regedit.ext文件直接修改注册表也可以达到修改的目的，但是可能会担一些风险。
在注册表中找到[HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters]，新建一个REG_DWORD子键，名称为“Schema-Update-Allowed”，并将其值设为“1”。现在就可以编辑Schema了。另一个方法就是将上述修改情况写入到一个“.reg”文件中，再在需要修改Schema的机器上执行它。其内容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters]
"Schema Update Allowed"=dword:00000001
一旦改变了注册表值，并且把想要修改Schema的用户加入到Schema Admins group组中，任何对那台计算机Schema所作的改变都会被接受。