Le Schema Master est l’un des cinq rôles FSMO (Flexible Single Master Operations) présents dans une forêt Active Directory (AD). Il n’y a qu’un seul DC dans toute la forêt qui détient ce rôle. Par défaut, c’est le premier serveur qui a été promu à un DC dans le domaine racine.
Le Schema Master est le seul DC qui a le droit d’ÉCRIRE sur le schéma lui-même. En outre, lorsqu’il apporte des modifications au schéma, l’utilisateur doit se connecter au domaine en tant que membre du groupe Schema Admins. En raison des droits et autorisations accordés à ce groupe, l’adhésion doit être très limitée, voire nulle, jusqu’à ce que la modification du schéma soit nécessaire.
Ce groupe doit être surveillé de près, notamment à l’aide d’un produit de surveillance tel que System Center Operations Manager, qui peut vous alerter si des changements sont détectés dans l’appartenance à un groupe.
Lorsqu’un administrateur membre du groupe Schema Admins se connecte au maître du schéma, les modifications du schéma sont autorisées. Les modifications du schéma peuvent être facilement effectuées à l’aide du snap-in Schema accessible dans une console de gestion Microsoft (MMC). Avant que le snap-in ne soit disponible comme choix dans la MMC, vous devez d’abord enregistrer la DLL à l’aide de la commande suivante :
Validation de la version de votre schéma Active Directory
À l’aide de la commande RUN, regsvr32 schmmgmt.dll :
Une fois que la DLL a été correctement enregistrée, le système affiche le message suivant :
En plus de modifier le schéma manuellement, ce que vous ne devriez pas faire à moins de comprendre pleinement les risques associés à cette action, une méthode plus courante consiste à exécuter un progiciel qui a été entièrement testé et qui modifiera le schéma automatiquement.
Par exemple, lorsque vous installez Microsoft Exchange, vous devez modifier le schéma avant de pouvoir installer le produit. Un autre exemple peut être celui de la planification d’une mise à niveau d’Active Directory vers la prochaine révision. L’exécution de ADPREP.exe modifie le schéma. Une fois le schéma mis à jour, le Schema Master répliquera ces modifications à tous les DC de la forêt.
Gardez à l’esprit qu’une fois le schéma modifié, ces changements ne peuvent pas être annulés. Il est possible de désactiver les objets supplémentaires ajoutés au schéma, mais ils ne peuvent pas être supprimés. Pour revenir complètement à un état antérieur, vous devez reconstruire l’infrastructure à l’aide des sauvegardes antérieures à la mise à jour du schéma.
Si le serveur détenant le rôle de schéma devait tomber en panne, vous ne verriez pas d’impact jusqu’à ce que vous essayiez d’exécuter une transaction qui modifie le schéma. Par conséquent, ce rôle peut rester hors ligne pendant un certain temps car il est rarement nécessaire.
Bien sûr, si vous prévoyez de mettre hors service le Schema Master pour une maintenance prolongée, vous devez transférer le rôle de manière élégante. Il existe deux méthodes pour transférer le rôle de Schema Master. Vous pouvez utiliser le snap-in Schema (uniquement si les deux DCs, source et cible, sont opérationnels), ou ntdsutil.