答:為了讓系統允許用戶通過Schema Manager console或ADSI修改Active Directory Schema,必須通過兩層保護。
第一,能夠修改Active Directory Schema 的用戶必須是存在於森林根域的Schema Admins group組中的一員;第二,必須修改注冊表。修改Active Directory Schema最快捷、最方便的方法就是使用Schema Manager console。另外運行Regedit.ext文件直接修改注冊表也可以達到修改的目的,但是可能會擔一些風險。
在注冊表中找到[HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters],新建一個REG_DWORD子鍵,名稱為“Schema-Update-Allowed”,並將其值設為“1”。Tw.wINGwIT.Com現在就可以編輯Schema了。另一個方法就是將上述修改情況寫入到一個“.reg”文件中,再在需要修改Schema的機器上執行它。其內容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters]
"Schema Update Allowed"=dword:00000001
一旦改變了注冊表值,並且把想要修改Schema的用戶加入到Schema Admins group組中,任何對那台計算機Schema所作的改變都會被接受。
From:http://tw.wingwit.com/Article/Network/201309/3826.html