Microsoft Management Console (MMC)

Microsoft Management Console (MMC)

Welcher Administrator ist nicht ständig auf der Suche nach nützlichen Tools, die Ihm das Leben etwas erleichtern oder es ermöglichen kostbare Zeit einzusparen. Leider sind die Bordmittel die Windows Systeme mitbringen nicht immer optimal geeignet um bestimmte Aufgaben durchzuführen, nicht selten entscheidet man sich da lieber für Software von Drittanbietern, da diese oftmals funktioneller und zuverlässiger ist. Mit Windows 2000 hat Microsoft die MMC eingeführt, dieses Tool halte ich für außerordentlich praktisch und vor allem erleichtert es die Administration und den Usersupport erheblich. Dieses HowTo bezieht sich auf die aktuelle Version der MMC wie man sie in Windows XP bzw. Windows 2003 Server vorfindet. Auch in den anderen Windows Servern findet man diese Tool in identischer Form vor.

Einsatzzweck:
In erster Linie richtet sich dieses Werkzeug an Admins und EDV Personal. Unter Beachtung gewisser Sicherheitsrichtlinien kann man aber auch durchaus eine Konsole an versierte Poweruser übergeben, um die Resourcen der IT-Abteilung ein wenig zu schonen. In diesem Werkzeugcontainer lassen sich viele der Konfigurationshilfen die Windows bietet bündeln und individuell anordnen. Ein unschätzbarer Vorteil ist daß man mit der MMC administrative Eingriffe an lokalen Rechnern vornehmen kann, ohne sich explizit mit Administratorrechten anmelden zu müssen. (zB. Starten/Beenden von Diensten, Computerverwaltung, Gerätemanager, Ereignissanzeige, Freigegebene Ordner usw.) Zum zweiten kann man mit dieser Methode administrative Aufgaben an Dritte übertragen ohne sie zum Admin zu machen.

Vorraussetzung
Der jenige der mit der MMC arbeitet muß natürlich über die notwendigen Rechte verfügen, was in einer Arbeitsgruppe bedeutet das er auf dem Rechner auf den er zugreifen möchte ein dementsprechendes Konto besitzen muß. Wesentlich komfortabler ist dies innerhalb der Domäne, da hier die Zugriffsrechte übergeben werden.
Man unterscheidet zwischen dem Autorenmodus und dem Benutzermodus.

Autorenmodus - MMC designen

Startet man das Tool mit mmc unter Ausführen zum erstenmal dann hat man nichts als eine leere Box, die man nun mit den gewünschten snap-ins füllen kann. Einige vordefinierte Konsolen liegen unter winnt/system32 mit der Erweiterung msc bereit.

Unter Datei/Snap-in hinzufügen klickt man im Konsolenstamm auf den Button Hinzufügen und wählt das gewünschte Snap-in einfach aus. Danach sucht man sich alle Tools zusammen die man gerne griffbereit haben will, bis die mmc so bestückt ist wie man es wünscht. Es ist sogar möglich snap-ins von Drittanbietern einzubinden. Ebenso können auch noch Neue Ordner erstellt werden um noch klarer strukturieren zu können.
Beim abspeichern ist es sinnvoll den Benutzermodus auszuwählen, da in dieser Form nur die ausgewählten Funktionen zur Verfügung stehen. Ein abspeichern im Autorenmodus ermöglicht dem Benutzer das hinzufügen beliebiger Snap-ins und ist daher aus Sicherheitsaspekten höchstens für Admins geeignet.

Specials - Taskpads hinzufügen
Mit Hilfe von Taskpads kann man in die MMC noch zusätzliche Features einbauen, die man griffbereit plazieren kann.

Zwei Assistenten führen durch den Installationsvorgang, die Dialoge sind größtenteils selbsterklärend.

1. Menübefehle
Bei diesem Feature kann man auswählen ob man die Prozedur nur auf einen Task oder auf alle Strukturelemente anwenden möchte. Zum zweiten hat man die Auswahl aus den verschiedenen Befehlen des Kontextmenüs. In diesem Fall habe ich den Befehl Starten für alle Dienste aktiviert bei denen es möglich ist.
Die Taskpadansicht wurde mit test benannt. Nachträglich hat man natürlich die Möglichkeit Änderungen vorzunehmen bzw. das ganze wieder zu löschen.

So liegen wichtige Funktionen in Form eines Hyperlinks an der obersten Ebene bereit, und sind mit einem klick erreichbar.

2. Shellbefehle
Shellbefehle werden mit den gleichen Assistenten generiert, hier kann man z.B. auf ein Script verweisen das eventuell User automatisch anlegt, oder Komandozeilentools aufrufen.

3. Navigationstask
Mit Hilfe dieser Funktion kann man zwischen den Navigationsebenen der MMC schnell hin und her switchen, das Prinzip ist vergleichbar mit dem setzen von Ankerpunkten in HTML Sites.

Feintuning
Wenn man sich die Menüstrukturen genauer betrachtet so findet man an verschiedenen Stellen diverse Schrauben wo man die Konsole noch besser an die eigenen Bedürfnissen anpassen kann. Eine hervorstechende Management Funktion ist die Favoritenverwaltung wie man sie aus dem Internet Explorer kennt. Die anderen Optionen entsprechen den üblichen Windows Menülayouts.

Fernwartung
Für mich die herausragende Funktion der MMC ist das zugreifen auf andere Rechner, was im Support-Alltag eine erhebliche Erleichterung darstellt. Denkt man nur mal an einen abgekrachten Dienst, den der User aufgrund fehlender Rechte nicht neustarten darf. Auch der Administrator müßte sich erstmal neu anmelden, darum macht man in der Praxis meistens einen Neustart der Workstation, was bei servergespeicherten Profilen zur Geduldsprobe werden kann. Mit der MMC ist so ein Dienst in wenigen Sekunden neugestartet. Dieses Beispiel kann man fast auf alle Systemtasks projezieren, mit einer gut konfigurierten MMC kann man besonders im User Help Desk Bereich schnelle Hilfe leisten.

Sicherheit
Der Administrator sollte sich stets bewußt sein das dieses nützliche Tool in den falschen händen eine mächtige Waffe sein kann. Das man dieses Werkzeug nur Mitarbeitern in die Hand gibt die Vertrauenswürdig und qualifiziert sind versteht sich von selbst. Die Konsolen werden standardmäßig im Profilordner abgespeichertm mit dem speichern im All Users Verzeichniss ermöglicht man allen angemeldeten Usern den Zugriff. Generell sollte man die MMC nur im Benutzermodus abspeichern, damit keine neuen Snap-ins hinzugefügt werden können.

Unter dem Registerreiter Optionen verbirgt sich die Auswahl des Konsolenmodus in dem man abspeichern möchte.

Um das ganze wirklich sicher zu gestalten ist es empfehlenswert durch setzen von Group Policies den Zugriff im Autorenmodus zu unterbinden. Zu finden ist diese Einstellung im Gruppenrichtlinieneditor unter Administrative Vorlagen/Windows Komponenten/Microsoft Management Console hier aktiviert man die Richtlinie Autorenmodus für Benutzer nicht zulassen. Unter Eingeschränkte/Zugelassene Snap-ins kann man auch noch genau definieren welche Snap-ins überhaupt nur genutzt werden dürfen.
Um eine bestehende Konsole die im Benutzermodus abgespeichert ist zu modifizieren öffnet man die Datei per rechtsklick im Explorer und wählt die Option im Kontextmenü, sofern man über die Rechte verfügt.

Alles in allem ein nützliches Tool, dessen Einsatz sich wirklich in vielen Situationen rentiert.