Domain Controller remote über MMC verwalten

Heute habe ich mir auf meinem lokalen Rechner mit Windows 7 die “Remote Server Administration Tools for Windows 7” installiert um damit direkt auf unsere Domain Controller zugreifen zu können ohne jedes Mal erst eine RDP-Verbindung aufmachen zu müssen. Das ganze war eigentlich nicht sonderlich kompliziert, aber auch nicht wirklich offensichtlich, daher hier die Zusammenfassung.

Auf der Microsoft-Website bekommt man die Tools (mit stattlichen 240MB) jeweils für 32bit und 64bit-Windows. Hier sei gleich gesagt dass sie sich nur unter Windows 7 Enterprise, Professional oder Ultimate und mit installiertem Service Pack 1 installieren lassen. Die Installation ist kein Problem, das ganze kommt als Update-Paket und läuft auch entsprechend durch.

Danach sieht man erst Mal nicht viel. Es geht eine Hilfe-Datei auf, die mehr oder weniger Sinnvoll die weiteren Schritte beschreibt (die bei mir nicht zu trafen). Die relevante Kernaussage war: Die Features müssen über die Windows-Features aktiviert werden. Also, in der Systemsteuerung unter Programme und Features die Windows Features geöffnet und die Komponenten aktiviert die ich möchte.

Mir ging es in erster Linie um die Benutzer- und Computerverwaltung, aber bei der Gelegenheit habe ich auch gleich die Module für die Powershell und den Bitlocker Password Recovery Viewer mitgenommen.

Nach der Installation tauchte die AD Benutzer- und Computerverwaltung auch direkt im Startmenü auf:

In der MMC sind die Snap-Ins dann auch gleich verfügbar:

“Leider” arbeite ich auf dem Rechner nicht mit einem Domain Admin Account sondern nutze den nur wenn ich ihn wirklich brauche, also bringt mir der Eintrag so erstmal nicht sonderlich viel da das Programm mit meinem aktiven User gestartet wird und ihm so die benötigten Rechte fehlen.

Daher habe ich mir eine eigene Verknpüfung ins Startmenü gelegt die mir die MMC unter dem richtigen User startet und gleich das richtige Snap-In lädt:

C:\Windows\System32\runas.exe /netonly /user:DOMAIN\adminuser "C:\Windows\System32\mmc.exe C:\Windows\system32\dsa.msc"

runas gebe ich den gewünschten Benutzer und die Anweisung mmc mit dem dsa.msc Snap-In zu starten. Der Parameter /netonly gibt an dass der übergebene User nur für Remote-Zugriff zu nutzen ist. Zu guter Letzt in den Eigenschaften der Verknüpfung unter Erweitert noch den Haken setzen dass das Programm als Administrator zu starten ist.

Das ganze funktioniert super, ich klicke darauf, es kommt die UAC-Abfrage, dann öffnet sich eine Kommandozeile in der ich nach dem Passwort des Benutzers gefragt werde (optisch nicht sonderlich ansprechend, aber es funktioniert) und dann öffnet sich die MMC mit dem richtigen Snap-In.

Ich nehme mal an wenn man den Benutzer, unter dem man arbeitet, nicht in der lokalen Administratorgruppe hat dann kann man sich den runas-Befehl auch sparen, da man eh im UAC-Prompt ohnehin nach Benutzer und Passwort gefragt wird.

Als letztes habe ich noch das hässliche runas-Icon der Verknüpfung ausgetauscht, die Icons der Remote Tools liegen in der Datei %SystemRoot%\system32\dsadmin.dll.

Veröffentlicht von

Gerald

Diplom-Informatiker (DH) in Darmstadt. Ich blogge über Entwicklung, Internet, mobile Geräte und Virtualisierung. Meine Beiträge gibt es auch bei Google+ und Facebook.

Ein Gedanke zu „Domain Controller remote über MMC verwalten“

  1. Dein Beitrag hat mir grad echt weitergeholfen.

    Ich war auf einem Server als Domänen-Admin eingeloggt und wollte Domänen-Benutzer und Gruppen hinzufügen. Active Directory lief über einen anderen Server, auf den ich per Remotedesktop / TeamViewer kleinen Zugriff hatte.

    Bei Windows Server 2012 sind diese Remote-Tools schon vorhanden müssen nur über Rollen/Features aktiviert werden. Und dann tauchen die Funktionen auch im Server Manager auf.

    Auch der Tipp mit dsa.msi war nützlich, da man das ja direkt bei Start-Ausführen eingeben kann. So kann man auch ganz schnell prüfen, ob das Tool schon vorhanden ist.

    Danke jedenfalls. Gruß, Micha

Schreibe einen Kommentar zu Micha Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert