В данной статье мы на простом примере рассмотрим, как можно своими руками запилить консоль управления чем-либо для простого пользователя в домене.
В рассмотренном примере ниже мы будем делать оснастку управления контактами в AD. При этом мы должны позаботиться о безопасности, соответственно нам необходимо сделать так, чтобы простой пользователь мог делать то, что ему необходимо и при этом не смог воспользоваться дополнительными функциями оснастки, а также чтобы видел только те разделы в AD, которые ему разрешается видеть.
В данной статье рассматривается простая хитрость оснастки mmc, которая позволит нам сделать неуправляемую консоль управления. Описывать что такое mmc и с чем его едят я не намерен, так как с этим лучше справиться Google. Я надеюсь, что всяк читающий эту статью уже знает что это такое.
Важно! Для реализации нашего примера необходимо чтобы на Вашем компьютере стоял пакет Administration Tools Pack, а также Ваш компьютер был подключен к домену и у Вас было достаточно прав, чтобы подключиться к оснастке Active Directory Users and Computer! А так же необходимо, чтобы эта оснастка была установлена (2 способа реализации):
- Если Вы хотите её поставить секретарю для редактирования на комп, то необходимо позаботиться о дальнейшей безопасности. Самый простой ход - это сделать невидимым содержимое папки "Администрирование", но в этом случае лично я наблюдаю 2 минуса: как ни защищайся, а бывают продвинутые пользователи, которые смогут снова раскрыть содержимое папки и там они много чего интересного увидят, правда прав доступа не будет, чтобы разгуляться было где, но а вдруг где-то что-то упустите, и второй недостаток вытекает из первого, так как Вы и сами не сможете открыть оттуда ничего, так как невидимость можно включить только для всех пользователей! Поэтому исходя из этих недостатков я всё-таки перешёл на второй способ.
- Всё проще некуда - виртуальная машина, к которой могут по RDP подключиться только избранные. Так же ставим на виртуалку пакет администрирования, но уже не боясь, потому что чтобы оградить юзера от лишних действий, я специально написал GPO с применением фильтра WMI, которое убрало у этих избранных всё лишнее с рабочего стола, из меню ПУСК и с панели задач. И после этого я закинул им в автозагрузку сохранённый файл mmc, который мы с вами сейчас и начнём учиться правильно создавать.
Сам процесс создания я решил оформить в картинках, дабы упростить задачу и себе и Вам:
Жмём
ПУСК >
Выполнить или нажимаем две кнопки
Windows и
R.
Откроется пустая консоль mmc
Далее жмём меню
Консоль >
Добавить или удалить оснастку...
Появится новое окно. В нём жмём кнопку
Добавить.
Откроется ещё одно окно. Выбираем
Active Directory - пользователи и компьютеры и жмём кнопку
Добавить.
После чего последнее окно закроется, а во втором мы просто нажимаем кнопку
ОК.
В итоге у нас получилась стандартная для админа консоль, но с одним отличием - свою мы можем изменять под свои нужды. А нам необходимо почекрыжить её как можно сильнее, чтобы те избранные, для которых она готовиться, не смогли с помощью неё даже увидеть ничего лишнего для себя.
Поехали дальше.
Жмём
Вид >
Настроить.
В появившемся окне отмечаем пункт
Область описания и жмём кнопку
ОК. Потом мы ещё вернёмся к этому окну и оставим только один этот пункт.
В итоге у нас появиться некий корень описания, в котором в дальнейшем мы будем наблюдать количество контактов.
Раскрываем контейнер
Users.
Жмём
Вид >
Дополнительные функции.
В появившемся окне сначала выбираем
Отображать объекты только следующих типов, далее выбираем
Контакты и жмём кнопку
ОК.
Далее в основной оснастке жмём
Вид >
Добавить или удалить столбцы.
У нас откроется вот такое окошечко.
Мы видим, что в правой части есть такая штука как список под названием - Отображаемые столбцы. В этом списке всего три пункта. Я переделал этот список под свои нужды. Вы можете настроить его как Вашей душе было угодно, но мне для решения моей задачи необходимы были вот такие пункты.
А дальше начинается самое интересное - чекрыжим на лысо!
Важно! Важна последовательность дальнейших операций - будьте внимательны!
Жмём
Консоль >
Параметры.
В появившемся окне в разделе
Режим консоли выбираем режим
Пользовательский - огр.доступ, одно окно.
При этом у нас станут доступными два нижних пункта. Убираем все галочки и жмём кнопу ОК.
Далее в меню
Вид жмём
Настроить.
В итоге мы вернулись к упомянутому выше окну. Теперь мы оставляем только одну галочку и жмём кнопку
ОК.
В итоге должно получиться что-то типа этого (на рисунке ниже). У вас может получиться по-другому ввиду ваших выбранных столбцов. Но обратите внимание на то, сколько уже исчезло лишнего с глаз долой!
Теперь нам осталось только сохранить наше творение. Жмём
Консоль >
Сохранить как...
Внимание! Обратите внимание на содержимое раскрывающейся вкладки
Консоль и на тот факт, что у нас пока что три раскрывающиеся вкладки отображаются! Не обращайте на это внимания - щас будет фокус-покус!
Выбираем место хранения и название для консоли и жмём кнопку
Сохранить.
Всё - консоль готова! Можно всё закрыть.
А теперь немного мистики - берём бубен, начинаем танцевать и произносить волшебные слова: абра, кадабра, швабра!
Посмотрим - произошло ли чудо иль нет? Открываем наш сохранённый файл и зрим в корень. О, чудо! У нас пропало меню -
Окно! Это подействовало первое волшебное слово "абра"!
Посмотри на остальные чудеса - откроем меню
Консоль. Смотрим и дивимся. Наверное, подействовало второе волшебное слово - "кадабра".
Посмотрим что сделало последнее волшебное слово? Тогда откроем
Параметры. Как мы видим - и здесь произошло чудо! (Сравните с таким же окном, которое выше в статье).
Теперь мы смело можем набрать побольше воздуха в свои лёгкие и облегчённо вздохнуть - у нас получилась абсолютно правильная консоль управления и ничего лишнего.
А теперь немного от себя. Почему я с таким юмором и стёбом написал данную статью? Да всё очень просто - люди, которые постоянно работают и админят Windows, постоянно сталкиваются с разными чудесами и приколами. Я когда сам поначалу пробовал создавать эту оснастку, я долго не мог понять как всё это поубирать окончательно, чтобы ничего лишнего не осталось в итоге в оснастке. И как всегда - методом тыка (как и всё сделанное в нашей стране), я всё же смог осознать, что для этого надо просто сохранить консоль и тогда всё будет чики-пуки! И это называется дружелюбный интерфейс!?
Жизнь админа должна быть проще - берите данную статью за основу всё будет чики-пуки!
