colinardo
Goto Top

Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory


back-to-topEinleitung

Wenn man die Rechte für bestimmte Administrative Aufgaben an andere Mitarbeiter (via Delegation/Objektverwaltung zuweisen) vergibt möchte man zumeist das diese nur die Bereiche zu Gesicht bekommen welche für Ihre Aufgabe relevant sind. Diese Anleitung gibt eine Einweisung, wie man eine angepasste MMC-Konsole für Sub-Admins erstellt.Als Anwendungsbeispiel werden wir eine Konsole erstellen die nur die Benutzer einer bestimmten Gruppe im Users-Container enthält und darstellt.

back-to-top1. Neue MMC erstellen

Im ersten Schritt öffnen wir dazu eine leere Konsole. Dies machen wir mit Start > Ausführen und Eingabe von mmc.exe.

back-to-top2. Snap-Ins hinzufügen

Dieser leeren Konsole hauchen wir nun Leben ein indem wir auf Datei > Snap-In hinzufügen/entfernen klicken.

0f2e565c4784dc2d0c2527556971b13f

Danach fügen wir das Active Directory Benutzer- und Computer-Snap-In unserer Konsole hinzu und schließen den Dialog mit OK. (Achtung: Ein installiertes Remote Server Administration Toolkit (RSAT) ist Vorraussetzung damit dieses SnapIn verfügbar ist wenn eine normale Workstation zum Einsatz kommt!)

d1fe7743ca5e6a79d78980aa1e3fb0f3

back-to-top3. Ansicht auf Unterordnerordner einschränken und Filtern von angezeigten Objekten

Jetzt sehen wir den kompletten Inhalt mit allen Unterordnern des Plugins. Da wir das aber nicht möchten, werden wir nun die Ansicht auf den Users-Container beschränken und die Typen von Objekten im Inhaltsbereich einschränken.
Für das Beispiel lassen wir nur Mitglieder einer bestimmten Gruppe anzeigen. Hierfür nutzen wir die Filter-Funktion der MMC und erstellen eine entsprechende LDAP-Abfrage:

d2e003c050776998cb19ee61a69f8790

Für diesen Fall verwende ich einen LDAP-Abfragestring um alle Benutzer der Gruppe mit dem Namen Gruppe2 anzeigen zu lassen. Man kann aber auch den Filter auf dem Tab Benutzerdefinierte Suche "grafisch" zusammenklicken, oder z.B. mit Sysinternals Active Directory Explorer. Die Basics zu LDAP-Abfragen könnt ihr hier nachlesen.
(&(objectClass=user)(memberOf=cn=Gruppe2,cn=Users,dc=domain,dc=local))
Nun sieht man nur noch die Mitglieder von Gruppe2 in der Liste. Was uns jetzt noch fehlt ist das beschränken der Ansicht auf den Users-Container. Dafür klicken wir mit der rechten Maustaste auf Users und wählen Neues Fenster hier öffnen.

2445e630c5433c133a0279fd7eb7c712

Jetzt sieht unsere Konsole schon wesentlich aufgeräumter aus:

ae3d5264547def307e15badcb1c0423a

back-to-top4. Optionale Ansichtsoptionen anpassen

Jetzt werden wir noch einige nicht benötigte Elemente in der Ansicht ausblenden. Das machen wir unter Ansicht > Anpassen. Dies geschieht je nach Bedarf.

5f5d4e704beff9d0d32887c0e9e5cb6b

back-to-top5. Ändern des Konsolenmodus für die Benutzer

Damit die Benutzer keine Änderungen an der Konsole vornehmen können müssen wir nun noch den Modus der Konsole unter Datei > Optionen auf Benutzermodus,... ändern.

d9134e3af1392d7c0203f1ad639ac89f

Hier können wir auch ein beliebiges Icon und eine Bezeichnung für die Konsole vergeben.
Wenn wir fertig sind klicken wir auf OK, und speichern unsere Konsole mit Datei > Speichern unter.

Wenn wir die Konsole das nächste mal öffnen befindet sie sich im Benutzermodus und alle Menüelemente die das Anpassen der Konsole ermöglichen sind dabei ausgeblendet, so wie wir uns das für unsere Sub-Admins wünschen face-wink. Um die Konsole erneut bearbeiten zu können müsst Ihr sie mit einem Rechtsklick auf die Datei und Im Autorenmodus öffnen starten.

back-to-top6. Aufgabenblöcke hinzufügen

Um das ganze Spiel für unsere Sub-Admins noch etwas komfortabler zu gestalten, damit sie gleich sehen was sie machen können kann man der Ansicht einen sogenannten Aufgabenblock mit Aktionen für die jeweils ausgewählten Objekte hinzufügen:

27aaeffd83748d0789ba2da44602b992

Um eine neue Aufgabenblock-Ansicht zu erstellen, wählt man im Kontextmenü des Users-Knoten den Punkt Neue Aufgabenblockansicht. Ein Assistent leitet einen dann durch die verschiedenen Optionen. Hier lässt sich so ziemlich alles als Aktion konfigurieren. Selbst eigene Scripte lassen sich mit einer Aktion verknüpfen.
Ich werde das hier jetzt nicht alles auflisten - am besten Ihr schaut es euch einfach an - Ich kann nur sagen: Wirklich nützlich das ganze, vor allem ist das ganze dann einfacher für Laien zu bedienen.

Jetzt können wir die MMC-Konsole an die entsprechenden Mitarbeiter verteilen, und sind ein paar Aufgaben entledigt face-smile

Viel Spaß beim Delegieren face-smile

Grüße @colinardo

Content-Key: 230772

Url: https://administrator.de/contentid/230772

Printed on: June 19, 2024 at 01:06 o'clock

Mitglied: 91863
91863 Feb 24, 2014 at 10:31:31 (UTC)
Goto Top
Hallo,

kann es sein, das Filter auf OU nicht direct gehen. Wir haben verschiedene OU mit Usern
Abfrage:

(&(objectCategory=user)(memberOF=OU=WP,OU=Benutzer,OU=Berikon,OU=Niederlassung,DC=DIE,DC=FIRMA,DC=local))


Gruss
Ralf
Member: colinardo
colinardo Feb 24, 2014 updated at 14:23:27 (UTC)
Goto Top
memberOf beschränkt auf eine Gruppe nicht auf eine OU !!
Dazu musst du nur die LDAP-Abfrage vereinfachen
(objectClass=user)
Den Tree schränkst du ja schon durch das Rooten des Verzeichnisbaumes auf die OU ein...

Zum Theam LDAP Queries lies bitte: http://technet.microsoft.com/de-de/library/aa996205%28v=exchg.65%29.asp ...

Grüße Uwe