Creare una visualizzazione personalizzata di MMC per utenti delegati

Nei domini di grandi dimensioni può nascere la necessità di creare utenti non amministratori ma delegati ad eseguire particolari operazioni (ad esempio gestione di account in determinate unità organizzative, ecc…), tuttavia gli snap-in di default di Windows Server visualizzeranno sempre tutti gli elementi (anche quelli alla quale l’utente non ha accesso). Per modificare questo comportamento è possibile creare delle console di MMC personalizzate da distribuire a questi utenti, in modo che vengano visualizzati solo elementi o strumenti di amministrazione specifici.

In questo esempio prenderemo in esame un utente che ha i diritti di modifica per gli account utente contenuti in una sola unità organizzativa (OU).

OUGestita

In tal caso si vuole quindi creare una console che mostri solo il contenuto dell’OU “Utenti sede 1” senza tutti gli elementi dei livelli superiori. Ricordo che questa procedura non ha lo scopo di bloccare l’accesso dell’utente alle altre OU ma solo di velocizzare e semplificare le operazioni di amministrazione dell’utente (che non dovrà quindi cercare ogni volta l’OU corretta, immaginate ovviamente uno scenario ben più complesso di quello di questo esempio con numerose OU nidificate).

– Per iniziare aprire MMC premendo tasto Windows + R e digitando “mmc.exe”

– Selezionare il menu “File”, quindi selezionare “Aggiungi/rimuovi snap-in”

– Aggiungere lo snap-in desiderato. Ad esempio nel nostro caso sarà “Utenti e computer di Active Directory” in quanto l’utente dovrà eseguire operazioni di amministrazione sugli account contenuti in una OU, però è possibile utilizzare la stessa procedura anche per altri sotto-elementi presenti in molti altri snap-in. Infine confermare con “OK”.

AggiungiSnapin

– Una volta che lo snap-in sarà visibile, fare click con il tasto destro del mouse sull’elemento desiderato (ad esempio l’OU) e selezionare la voce “Nuova finestra da qui”.

NuovaFinestra

– Verrà aperta una nuova console contenente lo snap-in “Utenti e computer di Active Directory” però l’OU scelta sarà visualizzata come “elemento radice” dello stesso. Tutti gli elementi ai livelli superiori non saranno più visibili.

NuovaFinestra2

– E’ possibile creare anche una visualizzazione personalizzata del “Blocco note attività” (ad esempio per creare direttamente nella finestra di MMC dei link a script, altre applicazioni, console, ecc…) facendo click su Azione > Nuova visualizzazione del blocco note attività, ma per i dettagli consiglio direttamente la lettura di questo articolo TechNet:

TechNet Wiki – How to Create Custom MMC and Add TaskPad

– Fare click su File > Opzioni per specificare un nome personalizzato, un’icona e la modalità di accesso della console. Quest’ultima voce è estremamente importante: ad esempio selezionando “Accesso limitato” sarà possibile impedire la modifica della console da parte dell’utente.

NomeConsole2

– Salvare infine la console tramite il menu File > Salva con nome… Una volta eseguita questa operazione il file .msc risultante potrà essere distribuito all’utente per permettergli di aprire la console di gestione personalizzata. Per ulteriori informazioni sui metodi che è possibile utilizzare per eseguire la distribuzione in ambienti di grandi dimensioni consiglio la lettura di questa pagina: Microsoft Developer Network – Delega dell’amministrazione

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *