Eigene MMC-Konsolen für die Hilfs-Administratoren, Teil 2

15. Juli 2010

Das Modell der minimalen Berechtigungen im Administrationsbereich, das „Least Privilege Delegation Model“, wurde bereits im ersten Teil dieses Beitrags vorgestellt. Zur Unterstützung dieses Konzepts lautete der Rat aus der Praxis: Systembetreuer sollen für ihre Hilfs-Administratoren passende Verwaltungs-Konsolen definieren. Die initialen Schritte hat der Autor im ersten Beitrag bereits skizziert:

Zuerst ist eine MMC-Konsole mit gespeicherten Abfragen zu erzeugen, danach eine Aufgabenblockansicht für delegierte Aufgaben anzulegen, anschließend produktive Werkzeuge und Skripts in die Taskpads (Aufgabenblöcke) einzubauen und schließlich die relevanten Vorgehensweisen und Dokumentation hinzuzufügen. In diesem zweiten Teil geht es um zusätzliche Empfehlungen, nach deren Umsetzung das Leben für die Hilfs-Administratoren leichter wird, und wie man in letzter Konsequenz Fehler vermeiden hilft.

Anzeige
CS espresso series
Abbildung 4. Beispiel für eine Administrations-Startseite (auf einem englischsprachigen System).

Um eine eigene Verwaltungskonsole für die Hilfs-Admins vorzubereiten und sie an diese Anwender zu verteilen, sind nach den Schritten im ersten Teil dieser Beitragsreihe weitere Aktionen nötig. Ein nächster Punkt auf der Liste ist hierbei das Anlegen einer administrativen Startseite innerhalb der Konsole.

Dazu sollte man einen eigenen Knoten in der Konsole anlegen. Da die Navigation zwischen einzelnen Aufgabenblöcken in der MMC nicht besonders intuitiv gelöst ist, empfiehlt sich das Anlegen einer Startseite. Sie dient dann als eine Art Sprungbrett, über das man zu den einzelnen Aufgabenblöcken verzweigen kann. Und jede einzelne Aufgabe bekommt einen Verweis, um direkt auf diese Startseite zurück zu gelangen.

Generell kann der Administrator einen jeden Aufgabenblock als eine derartige Startseite anlegen, ideal wäre allerdings ein Ansatz, bei dem ein eigenes IT-Portal in Form einer Intranet-Site aufgesetzt ist. Mit dem Snap-in „Link auf Webadresse“ (Link to Web Access) lässt sich eine Webseite in einen Aufgabenblock einbauen. Dabei kann zum Beispiel ein Ordner-Snap-in als Startseite dienen, wenn man einen Aufgabenblock mit dem Format „Keine Liste“ verwendet.

Bei einem Consulting-Projekt des Autors kamen derartige Konsolen zum Einsatz. Die Verwaltungs-Startseite für die MMC wurde über einen Aufgabenblock gebildet, wobei auch das Snap-in „Link auf Webadresse“ verwendet wurde. Damit wurde auf die Startseite für die gesamte IT-Verwaltung verwiesen, die in Form einer Sharepoint-Site realisiert war.

Über Sharepoint wurde ein einfaches Handling der Web-Inhalte machbar, der dann direkt in die Konsole eingebunden wurde. Zum Beispiel lies sich auf diese Art ein Zeitplan für den Helpdesk einbinden, in dem wichtige Veränderungen und Ankündigungen aus der Sharepoint-Startseite regelmäßig für alle Administratoren ersichtlich waren, wenn sie zwischen den Aufgabenblöcken navigierten.

Jeder Aufgabenblock kommt zu den MMC-Favoriten

Je schneller der Zugriff auf Informationen machbar ist, umso besser wird diese Option genutzt. Daher sollte man zu jedem Aufgabenblock in der Konsole navigieren, der für die Hilfs-Administratoren gedacht ist, und dann gilt es, diesen Knoten zu den Favoriten in der Konsole hinzuzufügen. Dazu muss man nur das Favoriten-Menü (genauer „Zu Favoriten hinzufügen…“) aufrufen. Die Startseite für die Administration darf man dabei nicht vergessen.

Mit dem Editieren der Aufgabenblockansichten der Startseite für die Administration kann man Navigations-Aufgaben für jeden der Knoten hinzufügen, die man im Verzeichnis mit den Favoriten abgelegt hat. Danach gilt es, jeden Aufgabenblock zu bearbeiten und einen einzelnen Navigations-Link einzubauen, der wieder auf die Startseite für die Administration führt.

Nachdem diese Schritte abgearbeitet sind, sollte dem Einsatz der Navigations-Aufgaben auf jedem Aufgabenblock nichts mehr im Wege stehen. Damit kann man nun sehr einfach zwischen der Startseite für die Administration und jedem Aufgabenblock in der Konsole hin- und herspringen.

In der Abbildung 4 wird ein Beispiel für eine Administrations-Startseite (auf einem englischsprachigen System) gezeigt. Jeder der anderen Aufgabenblöcke in der Konsole lässt sich über die Navigations-Aufgaben (die „Navigation Tasks“) im linken Bereich des Aufgabenblocks erreichen.

Abbildung 4. Beispiel für eine Administrations-Startseite (auf einem englischsprachigen System).

Speichern der Konsole im Benutzermodus

Damit die Benutzer die Konsole nicht verändern können, muss sie der Administrator im Benutzermodus speichern. Um den Modus für die MMC zu ändern, hat der Administrator über die Menüpunkte Datei-Optionen den Konsolenmodus in der zugehörigen Dialogbox die gewünschte Einstellung anzugeben.

Standardmäßig agieren alle neuen Konsolen im Autorenmodus. Damit haben die Benutzer freien Zugriff auf die Konsole, sie können Snap-ins hinzunehmen oder vorhandene löschen. Zudem dürfen sie damit alle Bereich des Konsolenbaums ansehen und ihre Anpassungen speichern. Doch dieser Modus sollte nur entsprechend ausgebildeten Administratoren offen stehen.

Im Benutzermodus kommen dagegen einige Einschränkungen ins Spiel (siehe Tabelle unten). Sie lässt sich sogar soweit „abschließen“, dass keine Änderungen vorgenommen werden dürfen. Das ist der Modus, der sich für viele Hilfsaufgaben im Verwaltungsumfeld eignet. Ist eine Konsole in einem Benutzermodus abgespeichert, kann der eigentliche Autor der Konsole Änderungen an ihr ausführen. Dazu muss er mit einem rechten Mausklick auf die Konsole gehen und dann aus dem Kontextmenü den Punkt „Im Autorenmodus öffnen“ auswählen.

Konsolenansicht abschließen

Im letzten Schritt gilt es dann noch, die Konsolenansicht abzusperren. Dazu muss man in das Ansicht-Menü gehen und dort das Kommando „Anpassen“ selektieren. Im folgenden Dialog lässt sich auswählen, welche Komponenten eines MMC-Fensters verborgen bleiben sollen. Wird zum Beispiel die Konsolenstruktur ausgeblendet, werden die Hilfs-Administratoren am Durchsuchen des Verzeichnisses gehindert. Sie können dann nur die Aufgabenblöcke und Navigationsregisterkarten verwenden, die man ihnen vorsetzt.

Sind dann alle Konsolen entsprechend angepasst und abgesichert, müssen sie noch an einer Stelle abgelegt werden, auf die alle Hilfs-Administratoren Zugriff haben. Das macht es einem einfacher, wenn man verschiedene Versionen einer Konsole verwalten muss. Dabei ist zu beachten: Die Konsolen sind nur ein Satz von grundlegenden Instruktionen, die alle von mmc.exe interpretiert werden. Die Konsolen selbst enthalten keine Snap-ins. Daher wird eine Konsole nur dann wie gewünscht funktionieren, wenn die nötigen Snap-ins auch installiert sind.

Deswegen sollte der Administrator sicherstellen, dass die nötigen Snap-ins aus dem entsprechenden Bibliotheken eingebaut sind. Dazu müssen unter Windows XP oder Windows Server 2003 die Administrative Tools oder ab Windows Vista beziehungsweise ab Windows Server 2008 die RSAT (Remote Server Administration Tools) installiert sein.

Dan Holme/rhh

Tabelle: Die verschiedenen Modi der MMC

Autorenmodus:
Wenn man die Konsole weiter anpassen möchte.
Benutzermodus – Vollzugriff:
Damit können die Benutzer zwischen allen Snap-ins navigieren und alle eingebundenen Snap-ins verwenden. Sie können aber keine Snap-ins entfernen oder neue hinzufügen beziehungsweise die Eigenschaften der Snap-ins oder der Konsole ändern.
Benutzermodus – beschränkter Zugriff, mehrere Fenster:
Damit können die Anwender zu den Snap-ins navigieren und sie verwenden, allerdings nur die Snap-ins, die der Administrator im Konsolenbaum sichtbar gemacht hat. Zudem kann man mehrere fenster vorkonfigurieren, die sich auf bestimmte Snap-ins beziehen. Neue fenster können die benutzer allerdings nicht öffnen.
Benutzermodus – beschränkter Zugriff, Einzelfenster:
Damit können Anwender zu den Snap-ins navigieren und sie verwenden, die der Administrator im Konsolenbaum sichtbar gemacht hat. Dabei bleiben sie aber in einem Fenster.

Lesen Sie auch