Active Directory.pdf - Gattner

Tools für die delegierte Verwaltung 347
Wenn im Fall einer delegierten Verwaltung die Abläufe und Verwaltungsaufgaben in der Zweigstelle
weiterhin ausgeführt werden müssen, die für einige dieser Funktionen erforderliche Webschnittstelle
jedoch nicht verfügbar ist, da sie über den Hauptsitz gehostet wird, stellt sich die
Frage, wie die Mitarbeiter in der Zweigstelle ihre Arbeit erledigen sollen.
Wenn das Drittanbieterprodukt das Delegierungsmodell in Active Directory-Benutzer und -Computer
instanziiert, gelten die Einschränkungen der Webschnittstelle auch bei Einsatz von systemeigenen
Tools. Daher müssen Sie als qualifizierter Berater wissen, wie Drittanbieterprodukte mit Active
Directory interagieren. Mit diesen Kenntnissen können Sie Ihre Kunden umfassend beraten und
vorbereiten, sodass diese ihre Aktivitäten auch in Situationen wie Kommunikationsunterbrechungen
weiterhin ausführen können.
Barry Hartman
Senior Consultant
Microsoft Consulting Services
Anpassen der Microsoft Management Console
Eine Möglichkeit zum Entwickeln von Verwaltungstools ist die Erstellung eines benutzerdefinierten
MMC-Snap-Ins, indem Sie den angezeigten Inhalt eines Standard-Snap-Ins für den Benutzer bearbeiten.
Achtung Durch die Erstellung des benutzerdefinierten MMC-Snap-Ins allein werden die Benutzerrechte
zum Ausführen von Verwaltungsaufgaben noch nicht erteilt oder eingeschränkt. Vor der Erstellung der angepassten
Verwaltungsschnittstelle muss zunächst der erforderliche Berechtigungsumfang delegiert werden.
Wenn einem Benutzer z.B. das Recht zum Erstellen von Benutzerkonten auf Domänenebene zugewiesen
und anschließend ein MMC-Snap-In erstellt wird, das dem Benutzer lediglich die Anzeige einer OU ermöglicht,
kann der Benutzer dennoch Benutzerkonten in sämtlichen OUs innerhalb der Domäne erstellen. Wenn
der Benutzer das normale Verwaltungstool Active Directory-Benutzer und -Computer lädt oder an einem
Computer mit einem andere MMC-Snap-In arbeitet, kann er das Konto an einer beliebigen Stelle erstellen.
Öffnen Sie zum Erstellen eines benutzerdefinierten MMC-Snap-Ins das Dialogfeld Ausführen, und
geben Sie mmc ein. Es wird ein leeres MMC-Snap-In geöffnet. Fügen Sie über das Menü Datei das
gewünschte Active Directory-Verwaltungstool-Snap-In hinzu. Beim Erstellen eines benutzerdefinierten
MMC-Snap-Ins über das Snap-In Active Directory-Benutzer und -Computer würden Sie
anschließend die Domäne erweitern und zum Containerobjekt wechseln, für das die Berechtigungen
delegiert wurden. Klicken Sie im linken Fenster mit der rechten Maustaste auf das Containerobjekt,
und wählen Sie Neues Fenster.
Es wird ein neues Fenster geöffnet, in dem lediglich das Containerobjekt und alle untergeordneten
Objekte sichtbar sind. Anschließend können Sie erneut in das Fenster mit der gesamten Domäne
wechseln und dieses Fenster schließen. Schließlich speichern Sie das Verwaltungstool und stellen es
für die Benutzer bereit, die lediglich den Teil der Domäne verwalten, der im MMC-Snap-In angezeigt
wird. Das MMC-Snap-In kann über unterschiedliche Methoden für die Benutzer bereitgestellt werden.
Sie können es beispielsweise auf dem Computer des jeweiligen Benutzers installieren oder eine
Verknüpfung über eine Netzwerkfreigabe erstellen.