Hilfs-Administratoren bekommen eigene Konsolen, Teil 1

23. Juni 2010

Wer in seinem Unternehmen bereits das Modell der minimalen Berechtigungen im Administrationsbereich verfolgt – in der Originalliteratur als „Least Privilege Delegation Model“ bezeichnet, der sollte den nächsten Schritt in Erwägung ziehen: Wenn ein „Hilfs-Administrator“ bestimmte Aufgaben delegiert bekommen hat, sollte er auch die für diese Aufgaben notwendigen Werkzeuge zur Verfügung gestellt bekommen, so dass er die gestellten Aufgaben auch optimal bearbeiten kann. Das ist vor allem für Systembetreuer wichtig, die sich nicht so gut mit dem Active Directory (AD) und den internen Vorgaben für die IT-Prozesse auskennen und die nur ganz spezielle, oftmals eng umrissene Aufgaben in einer Organisation übernehmen dürfen. In einer zweiteiligen Artiklereihe zeigt Dan Holme, wie dieser Ansatz umzusetzen ist.

Dieses Konzept hat er auch im Rahmen seiner MasterClasses 2010 am 1. Juli 2010 in München/Unterschleißheim gezeigt.

 

Für die Hilfs-Admins, die eng umrissene Aufgaben delegiert bekommen haben, kann der verantwortliche Administrator eigene Konsolen in der MMC (Microsoft Management Console) anlegen, die speziell für bestimmte Aufgaben und den Einsatz von speziellen Tools konzipiert sind. Dabei kann man auf bereits früher durchgeführte Abfragen an das AD zurückgreifen und muss nicht unbedingt auf die Organisationseinheiten (OUs) oder anderen Containern im AD zugreifen. Sinnvollerweise baut der verantwortliche Administrator auch gleich eine aussagekräftige Dokumentation sowie einen Bereich mit zusätzlicher Information (für den Hilfs-Administrator) in die Konsole mit ein.

Konsole mit gespeicherten Abfragen erzeugen

Um eine Konsole für die Hilfs-Systembetreuer vorzubereiten, muss der verantwortliche Administrator eine leere MMC starten und dann das Snap-in Active Directory Benutzer und Computer hinzufügen. Auch wenn man Taskpads (Aufgabenblöcke) mit Hilfe der OU-Struktur erzeugen kann, bringt einem der Ansatz mit den gespeicherten Abfragen weiter.

Die gespeicherten Abfragen gelten nicht zu Unrecht als die Basis für ein effizientes Arbeiten mit dem Snap-in Active Directory Benutzer und Computer. Dabei werden gespeicherte Abfragen erzeugt und damit dann Sichten auf Objekte angezeigt, die auf die Zuständigkeitsbereiche der Hilfs-Admins ausgerichtet sind.

Dazu könnte man sich folgende Beispiel vorstellen: Der Helpdesk im Unternehmen bekommt eine Ansicht mit allen nicht-administrativen Benutzer, mit allen Client-Systemen und allen Benutzergruppen. Ein IT-Team, das für den Support an einem bestimmten Standort oder auch nur einer Abteilung zuständig ist, bekommt dagegen nur die Benutzer und die Systeme zu sehen, die in ihrem Verantwortungsbereich liegen. Dazu muss man auch die Mitgliedschaft in den betreffenden Gruppen mit einbeziehen.

Erzeugt der Administrator eine gespeicherte Abfrage für Benutzerobjekte, empfiehlt sich das Hinzunehmen des Vor-Windows-2000-Anmeldenamens als eine Spalte. Denn viele Werkzeuge und Skripts in diesem Bereich lassen sich in einem Taskpad als Aufgabe hinzufügen und übergeben dabei den Prä-Windows-2000-Anmeldenamen als Parameter. Abbildung 1 zeigt eine gespeicherte Abfrage auf einem englischsprachigen System, die alle nicht-administrativen Benutzer in einer Domäne aufführt.

Aufgabenblockansicht für delegierte Aufgaben

Nachdem die gespeicherte Abfrage abgelegt wurde, lässt sich eine Aufgabenblockansicht (Taskpad View) erzeugen, in der alle Aufgaben für die Funktionen zusammengefasst sind, die an die Hilfs-Admins delegiert wurden. Angenommen man möchte für einen Hilfs-Admin in einer Abteilung vorsehen, dass er die Benutzerkennwörter zurücksetzen darf, dann muss man eine entsprechende Aufgabe in das Kontextmenü einbauen.

Dazu sind die folgenden Schritte zu absolvieren:

  • Zuerst ist mit einem rechten Mausklick auf die gespeicherte Abfrage zu gehen, in der die Objekte angezeigt werden, die diese administrative Aufgabe zugewiesen bekommen. Aus dem Kontextmenü ist dann der Punkt „Neue Aufgabenblockansicht“ auszuwählen.
  • Danach erscheint der „Assistent für neue Aufgabenblockansicht“. Mit einem „Weiter“ geht es dann zum nächsten Schritt.
  • Diese Dialogseite kümmert sich um den Aufgabenblockstil. Der darf auf der Standardeinstellung belassen werden und ereut mit „Weiter“ kommt der nächste Schritt.
  • Auf dieser Dialogseite geht es um die Aufgabenblockwiederverwendung. Hier ist der Schalter Ausgewählte Strukturelement (Selected Tree Item) anzuklicken und dann mit „Weiter“ zu nächsten Einstellung zu gehen.
  • Auf dieser Seite sind der Name und die Beschreibung anzugeben.
  • Nach einem erneuten „Weiter“ kommt man zur abschließenden Dialogseite für den Vorgang. Hier ist die Checkbox „Neue Aufgaben zu diesem Aufgabenblock hinzufügen nachdem der Vorgang abgeschlossen ist“ zurückzusetzen und dann auf Fertig stellen zu klicken.
Bild 2. Hier ist aus den verfügbaren Befehlen das gewünschte Kommando auszuwählen.
Bild 3. In dieser MMC-Ansicht ist die Aufgabe „Kennwort zurücksetzen“ herausgestellt.

 

Nachdem die Aufgabenblockansicht erzeugt wurde, geht es an das Hinzufügen der Aufgaben für jede der zu delegierenden Fähigkeiten. Will man zum Beispiel für bestimmte Benutzer – die Hilfs-Admins – in einer Abteilung wie Vertrieb oder Marketing (die in den entsprechenden Organisationseinheiten abgelegt sind) das Recht delegieren, dass sie die Kennwörter zurücksetzen dürfen, dann kann man dies als zusätzliche Aktion im Kontextmenü bei den Aktionen hinterlegen. Dazu sind die folgenden Schritte nötig:

  1. Mit einem rechten Mausklick auf die zugehörige gespeicherte Abfrage, für die der Aufgabenblock zuvor erzeugt wurde, ist der Punkt Aufgabenblockansicht bearbeiten (Edit Taskpad View) zu wählen.
  2. Dann ist auf den Reiter mit den Aufgaben zu gehen.
  3. Hier muss man auf den Schalter Neu klicken.
  4. Danach erscheint der Assistent für neue Aufgaben. Mit einem weiter geht es zum nächsten Dialog.
  5. Hier ist dann beim Befehlstyp der Punkt Menübefehl anzugeben (andere Optionen sind Shellbefehl und Navigation).
  6. Danach ist aus den verfügbaren Befehlen das gewünschte Kommando auszuwählen (Kennwort zurücksetzen, siehe Abbildung 2). In der Liste mit den Menübefehlen bei den verfügbaren Befehlen muss mit sehr viel Umsicht vorgegangen werden. Denn die verfügbaren Befehle im rechten Teil der Darstellung beziehen sich immer auf das ausgewählte Objekt im linken Bereich. Hier passieren die meisten Fehlkonfigurationen im Zusammenhang mit den Aufgabenblöcken. Zum Beispiel gibt es in der Abbildung 2 nur ein Kommando, um ein Konto zu deaktivieren, keines um das Konto zu aktivieren. Das ist der Fall, weil es sich bei beiden Konten im linken Bereich um aktive Konten handelt. Würde man im linken Bereich ein deaktiviertes Konto haben und die Aktionen darauf beziehen, würde man kein Kommando finden, um dieses Konto zu deaktivieren. Dagegen wäre in diesem fall dann ein Kommando verfügbar, um das Konto zu aktivieren. Daher muss man immer den richtigen Objekttyp selektieren, ehe das passende Kommando verfügbar wird.
  7. Mit einem Klick auf weiter geht es dann zum Benennen der Aufgabe.
  8. In diesem Dialog sind der Name und die Beschreibung für die Aufgabe in das Textfeld einzutragen. Die Benennung der Aufgabe wird als der Name des Hyperlinks für die Aufgabe im Aufgabenblock erscheinen.
  9. Die Beschreibung wird herangezogen, um beim Hyperlink zur Aufgabe diese Erklärung einzublenden.
  10. Mit Weiter geht es zur Auswahl der Symbole für die Aufgabe.
  11. Hier kann der Administrator aus einer Vielzahl von Symbolen auswählen. Falls ihm die angebotenen Icons nicht ausreichen, stehen in der Datei C:\Windows\System32\Shell32.dll zur Verfügung. Bei Windows Vista und Windows Server 2008 sind weitere Symbole in der Datei C:\Windows\System32\Imageres.dll abgelegt.
  12. Ist das Symbol ausgewählt geht es mit weiter zur nächsten Seite.
  13. Hier ist noch auf fertig stellen zu klicken und danach mit einem Klick auf OK die Eigenschaftenseite für die ausgewählte Abfrage zu schließen.

Danach sollte eine Darstellung erscheinen, wie sie in der Abbildung 3 gezeigt ist. Dabei lassen sich auch noch mehrere Aufgaben hinzufügen. Allerdings sind diese Aufgaben kontextsensitiv – sprich die dem Aufgabenblock hinzugefügten Aufgaben erscheinen nur dann, wenn man ein Objekt in der Detail-Darstellung ausgewählt hat.

Bild 2. Hier ist aus den verfügbaren Befehlen das gewünschte Kommando auszuwählen.
Bild 3. In dieser MMC-Ansicht ist die Aufgabe „Kennwort zurücksetzen“ herausgestellt.

 

Produktive Werkzeuge und Skripts in die Taskpads einbauen

In den Taskpads sollte man auch nützliche Hilfsmittel einbauen, die zum Beispiel aus den Resourcekits von Microsoft stammen oder von Drittherstellern angeboten werden. Aber auch eigene Skripts – seien es Shell-Kommandos oder auch neuere Powershell-Skripts – können hier weiter helfen. Dazu lassen sich zum Beispiel ganze Anwendungen (wie etwa die Kommandozeile cmd.exe) aufrufen.

Der Systembetreuer, der diese Konsole verwendet, wird sich am System mit normaler Privilegierungsstufe seines Benutzerkontos angemeldet haben. Daher muss man vorsehen, dass er (oder sie) die Konsole mit höher privilegierten Berechtigungen starten kann. Denn alle Prozesse, die von dieser Konsole aufgerufen werden, haben dann die höheren Berechtigungen ererbt. Damit wird der Zugriff auf die Tools einfacher und man braucht keine zusätzlichen Anmeldeinfos eingeben. Damit spart sich der Benutzer, dass er sich eine zweite Kombination aus Benutzernamen und Kennwort merken muss.

Vorgehensweisen und Dokumentation hinzufügen

Die Dokumentation der eigenen Umgebung und die Verfahren, die zur Administration der Windows-Systeme gehören, sollte man für seine Hilfs-Administratoren direkt in der MMC integriert haben. Das lässt sich auf zwei Arten erreichen: Zum einen besteht die Option, eine Shell Command Task einem Taskpad hinzuzufügen, das ein entsprechendes Dokument (plus der zugehörigen Applikation) aufruft. Ein Shell-Kommando könnte beispielsweise winword.exe aufrufen und mit einem Aufrufparameter dafür sorgen, dass die Dokumentation mit dem schrittweisen Vorgehen damit geöffnet wird.  Die zweite Option wäre das Bereitstellen der Dokumentation über das firmeneigene Intranet – mit einem Link aus der MMC heraus.

Um eine eigene Verwaltungskonsole für die Hilfs-Admins vorzubereiten und sie an diese Anwender zu verteilen sind noch einige Aktionen nötig. Sie werden im zweiten Teil dieses Beitrags beschrieben. Es handelt sich dabei um:

  • Das Anlegen einer Startseite für die Verwaltungsaufgaben in der Konsole
  • Das Hinzufügen der Aufgabenblöcke zu den MMC-Favoriten
  • Das Erzeugen der Navigations-Aufgaben
  • Das Abspeichern der Konsole im Benutzer-Modus,
  • das Festlegen der Konsolenansicht sowie
  • um das Verteilen der Konsole an die Hilfs-Admins.

Der zweite Teil dieses Beitrags ist für Abonnenten von www.nt4admins.de im Verlauf der nächsten Woche verfügbar.

Lesen Sie auch