AD-Management delegieren: MMC auf einzelne Aufgaben einschränken

    Icon Microsoft Management ConsoleDie Microsoft Management Console (MMC) ist als Werk­zeug für End­benutzer mit den meisten Snap-ins zu sperrig und unüber­sichtlich. Wenn Admini­stratoren ein­zelne Auf­gaben etwa an Fach­abteilungen dele­gieren möchten, dann können Sie die MMC jedoch ab­specken und auf genau eine be­stimmte Aufgabe zu­schneiden.

    Einige Routine­tätigkeiten bei der Verwaltung des Active Directory sind in den jeweiligen Abteilungen gut aufgehoben und müssen nicht dem Administrator zur Last fallen. So kann etwa die Personal­abteilung neue Konten anlegen oder der Helpdesk kümmert sich um das Zurücksetzen von Passwörtern.

    Tools-Mangel nach Delegierung im AD

    Das Active Directory sieht eine fein granulare Zuteilung von Rechten an Benutzer vor, die sie benötigen, um bestimmte Jobs zu erledigen. Allerdings stellt sich nachher die Frage, welche Tools sie dafür einsetzen sollen.

    Damit man sie nicht mit Active Directory-Benutzer und -Computer oder dem AD-Verwaltungs­center konfrontieren muss, springen einige Anbieter mit spezialisierten Tools in die Bresche, um etwa Konten zu entsperren oder Passwörter zurückzusetzen.

    Alternativ kann man für viele Aufgaben die MMC so anpassen, dass sie praktisch alles ausblendet, was Endbenutzer in dieser Situation nicht benötigen. Zu diesem Zweck kombiniert man Taskpad Views (Aufgabenblockansicht in der deutschen Übersetzung) mit Filtern und verschiedenen Ansichtsoptionen.

    Neue Aufgabenblockansicht erstellen

    Die für eine Delegierung benötigten Funktionen stellt man Hilfe einer Taskpad View bereit. Dazu fügt man im ersten Schritt das benötigte Snap-in hinzu, in unserem Beispiel ist es Active Directory-Benutzer und Computer (ADUC). Anschließend markiert man einen jener Container (Domäne, OU), für deren Inhalt man bestimmte Funktionen benötigt.

    ADUC-Snap-in zu MMC hinzufügen

    In unserem Beispiel wählen wir eine OU aus und führen aus ihrem Kontextmenü den Befehl Neue Aufgaben­blockansicht aus.

    Der Befehl zum Anlegen einer neuen Aufgabenblockansicht im Kontextmenü einer OU.

    Der folgende Assistent lässt im ersten Dialog eine Auswahl von Darstellungs­optionen zu, wobei man für das Anzeigen von Benutzer­konten bei Vertikale Liste bleiben sollte.

    Darstellungsoptionen für die neue Aufgabenblockansicht

    Anschließend muss man sich entscheiden, ob die Taskpad View nur für das ausgewählte Struktur­element (sprich für die markierte OU in unserem Beispiel) oder für alle (OUs) gelten soll.

    Geltungsbereich für die Taskpad View definieren

    Die nachfolgende Eingabe von Namen und Beschreibung beenden den Assistenten.

    Name und Beschreibung für Aufgabenblockansicht vergeben.

    Im letzten Dialog kann man die Option anhaken, dass man gleich eine neue Aufgaben mit Hilfe eines weiteren Assistenten hinzufügen möchte (alternativ lässt sich dieser auch manuell über den Befehl Aufgaben­blockansicht bearbeiten => Aufgaben => Neu starten).

    Aufgabe zu Taskpad View hinzufügen

    Im ersten Dialog entscheidet man sich dort zwischen einem Menübefehl, einem Aufruf eines externen Programms bzw. Scripts oder einem Aufgabenblock, den man als Favoriten gespeichert hat. In der Regel wird man hier Menübefehl wählen.

    Festlegen, welcher Befehl für die Aufgabe ausgeführt wird.

    Grundsätzlich gilt dabei, dass für eine Aufgaben­blockansicht jene Menübefehle zur Verfügung stehen, die sich im Kontextmenü der jeweiligen Objekte finden. Hat man zu Beginn etwa eine Domäne markiert, dann enthält diese normalerweise Gruppen und OUs, aber keine Benutzerkonten. Entsprechend wird man hier keinen Befehl für das Zurücksetzen von Kennwörtern entdecken.

    Für den Befehl Konto aktivieren benötigt man ein Konto, das deaktiviert wurde.

    Startet man hingegen mit einer OU, die Benutzerkonten enthält, dann stehen alle Befehle aus deren Kontextmenü zur Verfügung. Das bedeutet aber beispielsweise auch, dass man für die Aufgabe Konto aktivieren einen Benutzer braucht, dessen Account deaktiviert ist, weil sonst der notwendige Befehl fehlt.

    Ein Kommando zum Entsperren von Konten wird man hier vergeblich suchen, weil sich die entsprechende Option nur in ihren Eigenschaften findet. Für diesen Zweck würde sich statt eines Menübefehls ein PowerShell-Script anbieten, das für diese Aufgabe das Cmdlet Unlock-ADAccount nutzt.

    Nach der Eingabe eines Namens und einer Beschreibung für die Aufgabe sowie der anschließenden Auswahl eines Symbols endet der Assistent. Bei Bedarf kann man ihn gleich nochmal durchlaufen, um eine weitere Funktion hinzuzufügen.

    Ansicht für Konten filtern

    Kehrt man nach Abschluss dieser Aufgabe zur Konsolenstruktur zurück, dann zeigt sich bei jeder OU im Hauptfenster eine Spalte mit den eben definierten Funktionen. Diese Änderung ist relativ unspektakulär und macht die Aufgabe für normale Anwender nicht viel einfacher, weil sie weiterhin sämtliche Objekte und Befehle angezeigt bekommen.

    Daher kann man in einem weiteren Schritt die Ansicht so filtern, dass sie nur jene Benutzer anzeigt, die sie benötigen. Dazu klickt man in der Symbolleiste auf das Filter-Icon und aktiviert die Option Benutzerdefinierten Filter erstellen. Über die Schaltfläche Anpassen kann man danach die Filterkriterien festlegen.

    Soll das Zurücksetzen des Passworts für Mitglieder einer bestimmten Abteilung an einen User delegiert werden soll, dann würde man unter Feld Benutzer => Abteilung auswählen und den entsprechenden Wert eingeben. Anschließend zeigt ADUC in jeder OU nur mehr jene Konten, deren Attribut Abteilung diesem Kriterium entsprechen.

    Ansichten und Menüs ausblenden

    Befinden sich alle benötigten Accounts in der gleichen OU, dann kann man getrost auf die Konsolenstruktur verzichten. Zuerst wechselt man zur betreffenden OU und wählt dann die Baumstruktur über den Befehl Ansicht => Anpassen ebenso ab wie Aktionsbereich, die Symbolleisten und Menüs (aber keinesfalls Aufgabenblock-Navigationsregisterkarten).

    Radikal abgespeckte MMC für das Zurücksetzen von Passwörtern.

    Übrig bleibt dann eine reine Liste mit Benutzerkonten, deren Password-Reset an einen bestimmten Mitarbeiter delegiert wird.

    Konfiguration exportieren

    Zum Abschluss speichert man die Konfiguration über Datei => Speichern unter in einer .msc-Datei und stellt sie dem vorgesehenen Benutzer zur Verfügung. Auf dessen Rechner muss ADUC installiert sein, damit er seine Aufgabe erledigen kann.

    Nach dem gleichen Muster ließen sich auch einzelne Funktionen anderer Snap-ins maßgeschneidert bereitstellen.

    Keine Kommentare