讓支援團隊分擔簡單而重複的工作 - 自製重置AD密碼及瑣定帳號工具範例
做系統管理, 除了技術上的東西要兼顧, 還有很多公司內部的事項要處理
很常見的是員工更改密碼, 個人資料, 封瑣帳號等等,
可是總不能把整個AD Users and Computer交給人事部的妹妹
除了有保安上的問題, 介面的複雜程度也可能會令人害怕,
我們就來看看怎樣做一個精簡版本的改變員工密碼小工具為例子看看.
要註明例子是用AD Users and Computer, 但其實其他MMC工作也可以做同樣的事
只要花點心思就可以變出很多可能性出來, 這就留給你慢慢思考了!
這個教學我們能學到
1. 建立自定的MMC工具
2. 學習使用Active Directory Delegate Control 把AD權力下放給普通使用者帳號
首先這個例子模擬公司裡有一隊外銷團隊, 由於員工經常在外
常常需要改變密碼, 如果每每要勞煩資訊部門就不太有效率了
一位叫Sales Manager的員工雖然是Manager, 但在AD裡也只是Domain Users的群組
再來先打開mmc工具
開啟檔案-> Active Directory users and Computer –> Add
再按OK
點著Sales Department這個OU, 右鍵選New Taskpad View
或Active –> New Taskpad View
就會有個小精靈出來…
首先我們要選擇小工具的介面式樣…我是沒甚麼要求啦…
再來我們要選擇把小工具套用到整個Active Directory Users and Computer (預設)
還是只是某個被選擇的OU (Selected tree item), 由於我只想Sales Manager管理銷售部, 所以我不用預設
給小工具一個名稱
再來我們看看怎樣把功能加進去
新增工作
再來我們要定義工作的來源,
1. 原介面上的一個按鍵
2. 執行另一個Script, 程序, 或開啟一個網站
3. 在MMC上搜尋其他選擇
再來畫面跳轉, 由於我們選擇了一個OU來開始, 所以我們先見到幾個銷售員工
如果你的工具是要管理OU層面, 就選Node in the Tree
選擇Reset Password工作
給它一個描述, 因為這個工具是給非技術人員使用的
某些原有詞語有可能對他們來說太艱深了
再來給它一個圖示
完成精靈前可以選繼續運行另一個新增工作精靈或直接完成
我再加一個Disable Account的功能看看
我叫這個功能叫 Stop Staff Access好了
這個圖案很好~~
來一個總結
回到MMC畫面, 點一個員工, 你會發現我們製作的小工具出現了
可是有個很大的問題, 就是我不想Sales Manager看到網域的架構, 而且他也不應該知道或去找其他員工
所以要對介面動點手腳
到View-Customize, 把不需要的項目通通取消
開啟File –> Options
1. 先給工具起個標題
2. 把運行模式改為User Mode – Limited Access, Single Window
3. 把Allow the User to customize views反選
現在工具看起來像樣多了
把工具另存起來
好了現在我們要讓Sales Manager有能力控制這個工具
我們可以建立一台Windows Server來做, 又或者是在Windows 7 或Windows 8安裝相關的管理模組
以下是Windows 8遠端工具模組安裝介面, 要注意電腦必須已加入網域
現在我們要用AD DS及AD LDS工具, 其他可以按需要安裝
我就以另一台Server 2012來做示範, 安裝ADDS服務元件
這不等於我們要把它升格為域控制器, 我們只是要它的管理介面
就讓它安裝一陣子, 重啟電腦
現在在這台非DC電腦就可以開啟這個抄過來的小工具了
噢噢~~連介面都跟我們想要的一樣! 可是!! 如果是Sales Manager開又怎樣?
我以Sales Manager登入看看
介面是開出來了沒錯, 可是當它想更改密碼時, 就出現拒絕存取的狀況
因為現在只有Domain Admin可以更改員工密碼, 所以我們要把這個局部權限下放
回到DC, 選Sales Department OU, 選Delegate control
授權精靈出現!
我們選擇Sales Manager作為權力下放對象
選擇自定工作
定位目標為OU中的User Object (這個依你要做的東西有很大變數)
權力首先勾選Change Password和Reset Password
另外勾選Read userAccountControl和Write userAccountControl, 再完成精靈
如日後想清除權力, 可以到Sales Department OU把相關安全性項目移除
現在以Sales Manager帳號再試一次
成功完成任務, 小工具可以付運了!!
