Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory

Einleitung

Wenn man die Rechte für bestimmte Administrative Aufgaben an andere Mitarbeiter (via Delegation/Objektverwaltung zuweisen) vergibt möchte man zumeist das diese nur die Bereiche zu Gesicht bekommen welche für Ihre Aufgabe relevant sind. Diese Anleitung gibt eine Einweisung, wie man eine angepasste MMC-Konsole für Sub-Admins erstellt.Als Anwendungsbeispiel werden wir eine Konsole erstellen die nur die Benutzer einer bestimmten Gruppe im Users-Container enthält und darstellt.

1. Neue MMC erstellen

Im ersten Schritt öffnen wir dazu eine leere Konsole. Dies machen wir mit Start > Ausführen und Eingabe von mmc.exe.

2. Snap-Ins hinzufügen

Dieser leeren Konsole hauchen wir nun Leben ein indem wir auf Datei > Snap-In hinzufügen/entfernen klicken.


Danach fügen wir das Active Directory Benutzer- und Computer-Snap-In unserer Konsole hinzu und schließen den Dialog mit OK. (Achtung: Ein installiertes Remote Server Administration Toolkit (RSAT) ist Vorraussetzung damit dieses SnapIn verfügbar ist wenn eine normale Workstation zum Einsatz kommt!)

3. Ansicht auf Unterordnerordner einschränken und Filtern von angezeigten Objekten

Jetzt sehen wir den kompletten Inhalt mit allen Unterordnern des Plugins. Da wir das aber nicht möchten, werden wir nun die Ansicht auf den Users-Container beschränken und die Typen von Objekten im Inhaltsbereich einschränken.
Für das Beispiel lassen wir nur Mitglieder einer bestimmten Gruppe anzeigen. Hierfür nutzen wir die Filter-Funktion der MMC und erstellen eine entsprechende LDAP-Abfrage:


Für diesen Fall verwende ich einen LDAP-Abfragestring um alle Benutzer der Gruppe mit dem Namen Gruppe2 anzeigen zu lassen. Man kann aber auch den Filter auf dem Tab Benutzerdefinierte Suche "grafisch" zusammenklicken, oder z.B. mit Sysinternals Active Directory Explorer. Die Basics zu LDAP-Abfragen könnt ihr hier nachlesen.
Nun sieht man nur noch die Mitglieder von Gruppe2 in der Liste. Was uns jetzt noch fehlt ist das beschränken der Ansicht auf den Users-Container. Dafür klicken wir mit der rechten Maustaste auf Users und wählen Neues Fenster hier öffnen.


Jetzt sieht unsere Konsole schon wesentlich aufgeräumter aus:

4. Optionale Ansichtsoptionen anpassen

Jetzt werden wir noch einige nicht benötigte Elemente in der Ansicht ausblenden. Das machen wir unter Ansicht > Anpassen. Dies geschieht je nach Bedarf.

5. Ändern des Konsolenmodus für die Benutzer

Damit die Benutzer keine Änderungen an der Konsole vornehmen können müssen wir nun noch den Modus der Konsole unter Datei > Optionen auf Benutzermodus,... ändern.


Hier können wir auch ein beliebiges Icon und eine Bezeichnung für die Konsole vergeben.
Wenn wir fertig sind klicken wir auf OK, und speichern unsere Konsole mit Datei > Speichern unter.

Wenn wir die Konsole das nächste mal öffnen befindet sie sich im Benutzermodus und alle Menüelemente die das Anpassen der Konsole ermöglichen sind dabei ausgeblendet, so wie wir uns das für unsere Sub-Admins wünschen . Um die Konsole erneut bearbeiten zu können müsst Ihr sie mit einem Rechtsklick auf die Datei und Im Autorenmodus öffnen starten.

6. Aufgabenblöcke hinzufügen

Um das ganze Spiel für unsere Sub-Admins noch etwas komfortabler zu gestalten, damit sie gleich sehen was sie machen können kann man der Ansicht einen sogenannten Aufgabenblock mit Aktionen für die jeweils ausgewählten Objekte hinzufügen:


Um eine neue Aufgabenblock-Ansicht zu erstellen, wählt man im Kontextmenü des Users-Knoten den Punkt Neue Aufgabenblockansicht. Ein Assistent leitet einen dann durch die verschiedenen Optionen. Hier lässt sich so ziemlich alles als Aktion konfigurieren. Selbst eigene Scripte lassen sich mit einer Aktion verknüpfen.
Ich werde das hier jetzt nicht alles auflisten - am besten Ihr schaut es euch einfach an - Ich kann nur sagen: Wirklich nützlich das ganze, vor allem ist das ganze dann einfacher für Laien zu bedienen.

Jetzt können wir die MMC-Konsole an die entsprechenden Mitarbeiter verteilen, und sind ein paar Aufgaben entledigt

Viel Spaß beim Delegieren

Grüße @colinardo

(objectClass=user)