После того как вы полностью реализовали в службе Active Directory модель делегирования полномочий по принципу предоставления минимальных прав, я рекомендую сделать следующий шаг — создать средства управления, способные максимально облегчить администраторам выполнение делегированных им задач. Это особенно важно для администраторов низовых подразделений, которые, как правило, лишь в общих чертах знакомы с Active Directory и со специфическими процедурами, принятыми в организации. Создав производственные консоли MMC, вы сможете сделать видимыми задачи, инструментальные средства и документацию, что расширит возможности администраторов. Консоли будут состоять из панелей задач, а панели задач будут формироваться из сохраненных запросов, а не из организационных единиц или контейнеров иерархии Active Directory. Интегрируйте документацию по процедурам управления непосредственно в консоль вместе с административной начальной страницей, которая может служить и первой страницей консоли, и узлом для перехода на каждую панель задач.
Формирование консоли с сохраненными запросами
Прежде всего, откройте пустую консоль MMC и добавьте в нее оснастку Active Directory Users and Computers. Вы можете формировать панели задач на базе структуры организационных единиц, но предпочтительным вариантом будет создание сохраненных запросов.
На мой взгляд, сохраненные запросы представляют собой основу для эффективного администрирования в оснастке Active Directory Users and Computers. Вы можете создавать сохраненные запросы, отображающие представления объектов на базе областей управления администраторов. Так, для справочной службы организации можно создать представления всех пользователей, не относящихся к категории администраторов, всех клиентских компьютеров и всех групп. Для команды сотрудников, осуществляющих поддержку пользователей в определенной рабочей зоне или в департаменте, можно создать представление, отображающее пользователей и компьютеры в данной области управления, основываясь на членстве упомянутых объектов в соответствующей группе.
Когда вы будете создавать сохраненный запрос для объектов «пользователь», последуйте моему совету и добавьте столбец с именами регистрации для версий операционных систем, предшествующих Windows 2000, поскольку многие инструменты и сценарии в данном наборе ресурсов могут добавляться как задачи панели задач и принимать имена регистрации для версий операционных систем, предшествующих Windows 2000, в качестве параметров. На экране 1 показан сохраненный запрос, отображающий учетные записи всех пользователей в домене, не относящихся к категории администраторов.
Создание панели задач с задачами для каждой делегированной функции
Теперь для каждого сохраненного запроса следует создать представление панели задач с заданиями для функций, делегированных вами для членов группы, которая будет пользоваться консолью. К примеру, если вы делегировали право переустановки паролей пользователей, включите задачу для команды меню Reset Password. Ниже перечислены действия, которые необходимо предпринять, чтобы создать представление панели задач для сохраненного запроса, отображающее объекты пользователя.
- Правой кнопкой мыши щелкните на сохраненном запросе, отображающем объекты, для которых вы делегировали административные задачи, и в раскрывшемся меню выберите пункт New Taskpad View.
- На экране появится окно мастера New Taskpad View Wizard. Нажмите Next.
- На странице Taskpad Style нажмите кнопку Next.
- На странице Taskpad Reuse выберите переключатель Selected Tree Item и нажмите Next.
- На странице Name And Description примите имя, предлагаемое по умолчанию, и нажмите Next.
- Сбросьте флажок Add New Tasks To This Taskpad After The Wizard Closes и нажмите кнопку Finish.
После того как вы создадите представление панели задач, добавьте задачи для каждой делегированной функции. При добавлении задач для таких команд, как Reset Password, задачи добавляются из меню команд. Процесс добавления задач из меню команд состоит из следующих этапов.
- Правой кнопкой мыши щелкните на сохраненном запросе, для которого вы создали данную панель задач, и в раскрывшемся меню выберите пункт Edit Taskpad View.
- Перейдите на вкладку Tasks.
- Нажмите кнопку New.
- Откроется окно мастера New Task Wizard. Нажмите кнопку Next.
- Поставьте флажок Menu Command и нажмите кнопку Next. На экране откроется страница Menu Command, как показано на экране 2.
- В списке Available Commands выберите нужную команду. Список команд из меню в списке Available Commands базируется на типе объекта, выделенного в левой части диалогового окна. Это один из самых сложных этапов процесса построения панели задач. Рассмотрим для примера экран 2. Команда Disable Account в списке присутствует, а команды Enable Account там нет. Дело в том, что выделенный в данном случае объект — это уже активированная учетная запись пользователя. Если же в левой части окна вы выделите отключенную учетную запись пользователя, в списке появится команда Enable Account, а команда Disable Account исчезнет. Поэтому, для того чтобы нужная вам команда была доступна, необходимо выделять объект соответствующего типа.
- Нажмите кнопку Next.
- В поле Task Name введите имя задачи. Это имя будет текстом гиперссылки на соответствующую задачу.
- При желании можно ввести описание в поле Description. Данное описание будет отображаться под гиперссылкой на панели задач.
- Нажмите кнопку Next.
- Выделите значок или поставьте флажок Custom Icon, после чего нажмите кнопку Browse для выбора нужного значка. В файле C:\Windows\System32\Shell32.dll вы найдете много интересных и красочных значков. В файле C:\Windows\System32\Imageres.dll систем Windows Vista и Windows Server 2008 также имеется множество значков.
- Выбрав нужный значок, нажмите кнопку Next.
- Нажмите Finish, а затем ОК, закрывая тем самым диалоговое окно Properties для выбранного запроса.
В результате должна получиться панель задач, подобная той, что показана на экране 3. Я добавил еще несколько задач. Помните, что задачи чувствительны к контексту: добавленные вами задачи появляются на панели задач лишь тогда, когда вы выделяете объект на панели деталей.
Добавление к панели задач инструментов и сценариев
Не забывайте встраивать в панели задач ссылки на полезные инструменты и утилиты от Microsoft из набора Windows Administration Resource Kit, а также от сторонних производителей. Кроме того, добавьте команды оболочки, которые могут запускать популярные приложения, такие как командная строка. Работающий с этой консолью администратор будет регистрироваться в своей системе с использованием учетной записи без дополнительных прав. Затем он будет запускать эту консоль с расширенными правами своей учетной записи администратора. Все процессы, запущенные с консоли, будут наследовать учетные данные с расширенными правами, обеспечивая пользователю упрощенный доступ к административным инструментам без необходимости повторного ввода второго имени и пароля.
Добавление к консоли процедур и документации
Я рекомендую встраивать документацию вашей среды и процедур, относящихся к администрированию Windows, непосредственно в MMC. Это можно делать двумя способами. Во-первых, вы можете добавить задачу на базе команды оболочки в панель задач, открывающую документ в соответствующем приложении. Скажем, команда оболочки может запускать файл winword.exe с параметром, открывающим документацию по процедурам. Во-вторых, если такая документация имеется в вашей корпоративной сети, вы можете интегрировать ее с помощью оснастки Link to Web Address.
Создание административной домашней страницы внутри консоли
Внутри консоли создайте узел, который можно использовать в качестве домашней страницы для консоли. Навигация между панелями задач реализована не лучшим образом, поэтому будет проще использовать эту домашнюю страницу в качестве своего рода базы или узла, из которого вы сможете переходить на индивидуальные панели задач. Каждая задача будет иметь одну навигационную ссылку на эту страницу.
В качестве такой домашней страницы можно использовать любую панель задач, но, если у вас имеется корпоративный сетевой узел для администраторов, скажем портал SharePoint для ИТ-службы, рекомендую добавить этот портал к MMC с помощью оснастки Link to Web Address, а затем создать панель задач с использованием той же оснастки. Если же вы используете панель задач в формате, не предусматривающем применение списков, домашней страницей может служить любая оснастка папки.
В одном месте, где мы применяли такие консоли, в качестве административной домашней страницы MMC использовалась панель задач для оснастки Link to Web Address, которая, в свою очередь, указывала на домашнюю страницу узла SharePoint нашей ИТ-службы. В результате платформа SharePoint позволяла нам с легкостью управлять веб-содержимым, которое было интегрировано непосредственно в консоль. К примеру, мы включили в домашнюю страницу SharePoint рабочий календарь смен службы поддержки и важные объявления, чтобы эти сведения регулярно попадали на глаза администраторам, когда те переходят с одной панели задач на другую.
Включите в список MMC Favorites все панели задач
Откройте панель задач, которую вы хотите сделать доступной для администраторов, работающих с консолью. С помощью меню Favorites добавьте этот узел к имеющемуся в консоли списку Favorites. Проделайте данную операцию со всеми панелями задач, которые хотите сделать доступными для администраторов. Не забудьте добавить в папку Favorites и административную домашнюю страницу.
Создайте задачи перехода
Отредактируйте представление задач административной домашней страницы и добавьте задачи перехода к каждому узлу, включенному в папку Favorites. Затем отредактируйте каждую панель задач и добавьте одну обратную навигационную ссылку на административную домашнюю страницу. Завершив выполнение этих операций, вы сможете использовать задачи перехода на каждой панели задач для перехода с одной административной домашней страницы на другую и каждую панель задач консоли.
На экране 4 представлен пример созданной описанным образом административной домашней страницы. На каждую из остальных панелей задач консоли можно попасть с использованием задач перехода на левой стороне данной панели задач.
Сохранение консоли в пользовательском режиме
Чтобы пользователи не имели возможности модифицировать созданную вами панель задач, сохранять консоль следует в пользовательском режиме. Для изменения режима работы консоли в меню File выберите пункт Options. По умолчанию новые консоли сохраняются в авторском режиме, что дает пользователям возможность добавлять и удалять оснастки, просматривать все участки дерева консоли и сохранять индивидуальные настройки. Пользовательский режим, напротив, ограничивает возможности консоли в том отношении, что изменять их нельзя. Всего существует три типа пользовательских режимов, их описание приведено в таблице. Режим User Mode — Full Access обычно выбирается для консоли, предназначенной для использования опытными администраторами, которым поручаются различные задания, предполагающие широкое применение оснасток консоли. User Mode Limited Access представляет собой защищенный режим и поэтому выбирается для консолей, предназначенных для администраторов с меньшим набором рабочих заданий. В случаях когда консоль уже не сохраняется в авторском режиме, вы — изначальный автор — можете вносить изменения в консоль, щелкая на сохраненной консоли правой кнопкой мыши и выбирая в раскрывшемся меню пункт Author.
Блокировка представления Console View
Этот последний шаг позволяет полностью заблокировать консоль. Если вы откроете меню View и выберете команду Customize, то сможете скрыть некоторые или все компоненты окна MMC. К примеру, скрыв дерево консоли, вы лишаете администраторов возможности просмотра данной папки, поскольку ограничиваете их панелями задач и навигационными ссылками, которые им предоставили.
Распространение консоли
Сохраните специализированную консоль в каталоге, доступном для всех администраторов. В этом случае вам будет легче управлять редактированием консоли. Помните, что, в сущности, консоли представляют собой набор инструкций, интерпретируемых с помощью файла mmc.exe, — инструкций, которые указывают на то, какие оснастки нужно добавлять и какими компьютерами мы будем управлять с помощью этих оснасток. Собственно оснасток консоли не содержат. Поэтому, если оснастки, упоминаемые в консоли, заблаговременно не установлены, консоль не будет функционировать надлежащим образом. Так что вам нужно удостовериться в том, что вы установили соответствующие оснастки из набора Administrative Tools (adminpak.msi в системах Windows XP и Windows Server 2003) или из набора инструментов дистанционного администрирования серверов (remote server administration tools, RSAT, в системах Windows Vista или Windows Server 2008).
Дэн Холм (danh@intelliem.com) — директор консалтинговой службы Intelliem, которая организовывает консультации для предприятий, внедряющих SharePoint, Office, Windows и Active Directory