Sicherheit

Die Ansicht Sicherheit. Wählen Sie die Navigationsschaltfläche Sicherheit aus, um Benutzer- und Gruppenberechtigungen in Management Center einzurichten und zu verwalten. Sicherheitsrollen, die unterschiedliche Zugriffsstufen festlegen, ermöglichen das Zuteilen serverweiter Sicherheitsberechtigungen bzw. das Zuweisen von objektbezogenen Sicherheitsberechtigungen in bestimmten Bereichen der Management Console. Beispiel: Sie können den Zugriff auf bestimmte Bereitstellungsgruppen auf geografisch verteilte Administratoren begrenzen, sodass jeder Administrator nur auf seine eigenen verwalteten Endpunkte zugreifen kann. Gleichzeitig hat jeder Administrator die Möglichkeit, die anderen Bereitstellungsgruppen (schreibgeschützt) anzuzeigen.

In diesem Abschnitt werden folgende Themen behandelt:

Serverberechtigungen

Mit Serverberechtigungen lässt sich die Zugriffsstufe für bestimmte Benutzer und Gruppen in Management Center definieren. Außerdem können Rechte für das Bearbeiten von Einstellungen und das Durchführen von Aktionen festgelegt werden.

Sie können Gruppen und Benutzer hinzufügen, indem Sie den lokalen Computer oder die Domäne durchsuchen und aus der Liste der vordefinierten Sicherheitsrollen eine Sicherheitsstufe zuordnen. Sie haben auch die Möglichkeit, von Ihnen angelegte, benutzerdefinierte Rollen zuzuweisen.

Sie können Serverberechtigungen nach Active Directory-Gruppe oder -Benutzer hinzufügen.

Hinzufügen nach Gruppe

Wählen Sie Serverberechtigungen > Gruppen > Gruppe hinzufügen aus. Das Dialogfeld "Gruppen auswählen" wird angezeigt.

Navigieren Sie zum lokalen Computer oder in die Domäne und wählen Sie das gewünschte Element aus.

Hinzufügen nach Benutzer

Wählen Sie Serverberechtigungen > Benutzer > Benutzer hinzufügen aus. Das Dialogfeld "Benutzer auswählen" wird angezeigt.

Navigieren Sie zum lokalen Computer oder in die Domäne und wählen Sie das gewünschte Element aus.

Bearbeiten zugewiesener Rollen

Um die Gruppen oder Benutzern zugewiesenen Rollen zu bearbeiten, wählen Sie Serverberechtigungen > Gruppen (oder Benutzer) > Rollen bearbeiten aus. Das Dialogfeld "Globale Sicherheitsrollen" wird angezeigt.

Das Dialogfeld "Globale Sicherheitsrollen" enthält eine Liste mit Standardserverrollen sowie anderen erstellten Serverrollen.

Wählen Sie Zulassen aus, um der Gruppe oder dem Benutzer eine Rolle zuzuweisen.

Benutzer hinzufügen bzw. Gruppe hinzufügen – Ruft das Dialogfeld "Benutzer auswählen" bzw. "Gruppen auswählen" auf, über das Benutzer bzw. Gruppen zur Liste hinzugefügt werden können.

Rollen bearbeiten – Ruft das Dialogfeld "Globale Sicherheitsrollen" auf, in dem Sie die Einstellungen "Zulassen" bzw. "Verweigern" in der Liste der verfügbaren Sicherheitsrollen ändern können.

Entfernen – Hiermit entfernen Sie die markierten Gruppen und Benutzer aus der Liste.

Objektberechtigungen

Objektberechtigungen sind Zugriffsrechte, die Benutzern und Gruppen eingeräumt werden und die es ihnen ermöglichen, Aktionen in bestimmten Bereichen von Management Center anzuzeigen, zu bearbeiten oder durchzuführen. Zu den Objekten gehören diverse Bereiche von Management Center, Einstellungen oder Elemente, darunter:

  • Gruppen  – Anzeigen und Bearbeiten
  • Pakete – Verwalten von Agents und Konfigurationen
  • Berichte – Anzeigen und Generieren aller Berichte oder ausgewählter Berichte
  • Alarmregeln – Anzeigen und Bearbeiten aller Alarmregeln oder ausgewählter Alarmregeln

Objektberechtigungen werden Benutzern oder Gruppen für bestimmte Objekte eingeräumt. Dazu werden Sicherheitsrollen oder Besitz zugewiesen.

Besitz

Hier wird die Liste der Objekte und der dem Objekt jeweils zugewiesene Besitzer angezeigt. Sie können die aktuellen Besitzzuweisungen eines jeden Objekts ändern.

Folgende Objekte werden kontrolliert:

  • Gruppen – Anzeigen und Bearbeiten
  • Pakete – Verwalten von Agents und Konfigurationen
  • Berichte – Anzeigen und Generieren aller Berichte oder ausgewählter Berichte
  • Alarmregeln – Anzeigen und Bearbeiten aller Alarmregeln oder ausgewählter Alarmregeln

Sie können die Anzeige umschalten, sodass die Objekte entweder nach Typ aufgeführt werden (Standardeinstellung) oder nach Besitzer. Wählen Sie dazu im Bereich "Aktionen" entweder Nach Besitzer gruppieren oder Nach Typ gruppieren aus.

Der Besitz an einem Objekt gewährt umfassende Kontrolle und übersteuert etwaige Einschränkungen, die möglicherweise bislang für den Benutzer oder die Gruppe gelten.

Um den Objektbesitzer zu ändern, markieren Sie das Objekt und wählen Sie im Bereich "Aktionen" die Option Besitzer ändern aus. Das Dialogfeld "Sicherheitsformular" wird angezeigt. Wählen Sie eine Gruppe oder einen Benutzer aus der Liste aus. Um eine nicht aufgeführte Gruppe oder einen nicht aufgeführten Benutzer auszuwählen, klicken Sie auf Hinzufügen. Daraufhin wird das Dialogfeld "Benutzer auswählen" bzw. "Gruppe auswählen" angezeigt. Geben Sie den Benutzer oder die Gruppe ein, den/die Sie als Besitzer des Objekts festlegen möchten, oder navigieren Sie zu dem jeweiligen Benutzer bzw. zu der Gruppe, um ihn/sie auszuwählen.

Benutzerzugriff

Zeigt eine Liste der Objekte an, die zum Festlegen von Benutzerzugriff modifiziert wurden.

Sie können die Anzeige umschalten, sodass die Objekte entweder nach Typ aufgeführt werden (Standardeinstellung) oder nach Benutzer. Wählen Sie dazu im Bereich "Aktionen" entweder Nach Benutzer gruppieren oder Nach Typ gruppieren aus.

Um den Benutzerzugriff zu ändern, markieren Sie das Objekt und wählen Sie im Bereich "Aktionen" die Option Rollen bearbeiten aus. Das Dialogfeld "Sicherheit für [Objekttypname]" wird angezeigt.

Das Dialogfeld "Sicherheit für [Objekttypname]" enthält die folgenden zwei Registerkarten:

  • Berechtigungen – Hier können Sie Gruppen- oder Benutzerberechtigungen für den Zugriff auf das Objekt hinzufügen oder entfernen. Wenn Sie versuchen, Berechtigungen für eine Gruppe oder einen Benutzer zuzuweisen, die oder der keine Rechte für den Objektbereich der Management Console besitzt, wird eine Warnmeldung angezeigt.

    Klicken Sie auf Ja, um dem Benutzer die Anmeldung zu erlauben.

    Wählen Sie die Sicherheitsrolle aus, die Sie der Gruppe oder dem Benutzer für den betreffenden Objekttyp zuweisen möchten.

    Objektbezogene Sicherheitsrollen werden unter Sicherheit > Sicherheitsrollen > Objekt erstellt.

  • Besitzer – Hier ändern Sie den Besitzer des Objekts. Sie können einen Besitzer aus der Liste auswählen oder über Hinzufügen eine neue Gruppe oder einen neuen Benutzer hinzufügen. Dem Besitzer wird die uneingeschränkte Kontrolle über das Objekt eingeräumt.

Aktionen in Verbindung mit dem Besitzer

Nach Besitzer gruppieren – Sortiert die Objektliste nach Besitzer.

Nach Typ gruppieren – Sortiert die Objektliste nach Objekttyp.

Besitzer ändern – Ermöglicht das Zuweisen eines Besitzers bzw. das Ändern des Besitzers des aktuellen Objekts.

Aktionen in Verbindung mit dem Benutzerzugriff

Nach Benutzer gruppieren – Sortiert die Objektliste nach Benutzer.

Nach Typ gruppieren – Sortiert die Objektliste nach Objekttyp.

Löschen – Löscht die markierten Gruppen und Benutzer aus der Liste.

Rollen bearbeiten – Startet das Dialogfeld "Sicherheit für [Objektname]", in dem Sie die Einstellungen "Zulassen" und "Verweigern" in der Liste der verfügbaren Sicherheitsrollen sowie den Besitzer des aktuellen Objekts ändern können.

Beispiele für Sicherheit

Beispiel 1

Wenn Sie einem Benutzer einfach eine Rolle zuweisen, die nur über die Berechtigung "Gruppenmodifizierer verweigern" verfügt, erzielen Sie nichts Wesentliches. Standardmäßig besitzt der Benutzer keine Berechtigung zum Modifizieren der Gruppe, daher gibt es keine Serverberechtigung, die verweigert werden könnte. Auch jedes Objekt, das der Benutzer besitzt, kann weiterhin von ihm verändert werden. Das liegt daran, dass die Server- und die Objektrolle integriert sind. Serverrollen überschreiben keine Objektrollen. Sie gelten serverweit und nicht für bestimmte Objekte.

Beispiel 2

Das folgende Beispiel veranschaulicht den Zusammenhang zwischen Zulassen und Verweigern sowie das Konzept von zugewiesenen Gruppen- und Benutzerrollen.

Einer Active Directory-Gruppe wird eine Rolle mit der Berechtigung "Gruppenmodifizierer zulassen" zugewiesen. Einem Benutzer innerhalb dieser Gruppe wird später eine Rolle mit der Berechtigung "Gruppenmodifizierer verweigern" zugewiesen. Daraufhin sind alle Gruppenmitglieder berechtigt, Gruppen zu modifizieren, mit Ausnahme des Benutzers, dem das Recht explizit verweigert wurde. Sollte der Benutzer im obigen Beispiel Besitzer einer Gruppe sein, kann er diese nach wie vor modifizieren.

Widerrufen von Zugriffsrechten für einen Benutzer

Das Widerrufen von Zugriffsberechtigungen ist ein zweistufiger Prozess, bei dem Sie den Zugriff serverweit und auf Objektebene entfernen müssen.

Entfernen Sie zuerst alle relevanten Serverberechtigungen des betreffenden Benutzers. Entfernen Sie anschließend relevante Objektberechtigungen des Benutzers (die Berechtigungseinstellungen befinden sich unter den Knoten für Besitz und Benutzerzugriff).

Sicherheitsrollen

Serversicherheitsrollen

Serversicherheitsrollen sind globale Einstellungen, die für alle Bereiche von Management Server gelten.

Vordefinierte Serversicherheitsrollen

Bearbeiter – Diese Berechtigung ermöglicht das Bearbeiten/Ändern von Gruppen, Paketen, Berichten und Alarmen. Es können jedoch keine neuen Gruppen, Pakete, Berichte oder Alarme erstellt werden.

Serveradministrator – Uneingeschränkte Berechtigungen. Der Inhaber dieser Rolle sieht alle Objekte und kann Objekte hinzufügen, bearbeiten und löschen, auch wenn er nicht der Besitzer der Objekte ist. Diese Rolle wird standardmäßig dem Benutzer zugewiesen, der Management Center installiert. Die Serveradministrator-Berechtigungen sind aktiviert, siehe Rollendefinition.

Betrachter – Berechtigungen zum Anzeigen eines Objekts.

Benutzerdefinierte Serversicherheitsrollen

Wählen Sie Neue Serverrolle im Bereich "Aktionen" aus, um eine neue Rolle zu definieren. Das Dialogfeld "Rollendefinition" wird angezeigt.

Im Dialogfeld "Rollendefinition" werden alle Serverrollenberechtigungen aufgeführt. Wählen Sie die zu aktivierenden Berechtigungen aus, die Sie der neuen Rolle zuweisen möchten. Die folgenden Berechtigungen sind verfügbar:

  • Serveradministrator – Diese Berechtigungen sind der Rolle des Serveradministrators zugewiesen.
  • Failoverserver-Administrator
  • Bereitstellungsgruppenbetrachter
  • Bereitstellungsadministrator

Für folgende Elemente sind die Berechtigungen Administrator, Ersteller, Bearbeiter und Betrachter verfügbar:

  • Gruppe
  • Sicherheit
  • Paket
  • Bericht
  • Alarmregel

Beispiel 1

Wenn ein Administrator die Administration der Gruppen an

eine andere Person delegieren möchte, kann er eine Rolle vom Typ "Eingeschränkter Gruppenadministrator" mit folgenden

Berechtigungen anlegen:

  • Gruppenadministrator
  • Paketbetrachter
  • Paketersteller
  • Berichtsbetrachter
  • Alarmregelbetrachter
  • Bereitstellungsadministrator

Ein Benutzer, dem die Rolle eines eingeschränkten Administrators zugewiesen wurde, ist berechtigt, folgende Aktionen durchzuführen:

  • Gruppen erstellen, ändern und löschen und ihnen Computer zuweisen
  • Deployment Agent auf Computern bereitstellen
  • Alle Pakete anzeigen und Pakete den Gruppen zuweisen
  • Neue Pakete hinzufügen und diese wieder löschen
  • Berichte erstellen

Folgendes kann der Benutzer jedoch nicht:

  • Vorhandene Pakete löschen
  • Alarme oder Ereignisse löschen
  • Berichte entfernen oder hinzufügen
  • Sicherheit für Objekte ändern, die er nicht selbst erstellt oder hinzugefügt hat

Beispiel 2

Wenn Mitarbeiter für das Erstellen und Warten von Produktkonfigurationen zuständig sind, jedoch

keinen Zugriff auf die Management Console benötigen, kann der Administrator eine Rolle vom Typ Paketbearbeiter mit der folgenden Berechtigung anlegen:

  • Paketadministrator

Ein Benutzer, dem diese Rolle zugewiesen wurde, kann Konfigurationen unter Verwendung der Produktkonsolen öffnen, bearbeiten und auf dem Management Server speichern.

Objektsicherheitsrollen

Objektsicherheitsrollen sind Einstellungen für bestimmte Objekte.

Vordefinierte Objektsicherheitsrollen

  • Betrachter – Berechtigungen zum Anzeigen eines Objekts.
  • Bearbeiter – Berechtigung zum Bearbeiten des Objekts, jedoch nicht zum Löschen.
  • Vollständige Kontrolle – Berechtigung zum Bearbeiten und Löschen des Objekts.

Serverrollen übersteuern Objektrollen.

Benutzerdefinierte Objektsicherheitsrollen

Wählen Sie Neue Objektrolle im Bereich "Aktionen" aus, um eine neue Rolle zu definieren. Das Dialogfeld "Rollendefinition" wird angezeigt.

Im Dialogfeld "Rollendefinition" werden alle Objektrollenberechtigungen aufgeführt. Wählen Sie die zu aktivierenden Berechtigungen aus, die Sie der neuen Rolle zuweisen möchten. Die folgenden Berechtigungen sind verfügbar:

  • Vollständige Kontrolle
  • Sicherheit
  • Anzeigen
  • Ändern
  • Besitzer ändern
  • Bericht exportieren
  • Computer zuweisen
  • Alarmregel zuweisen
  • Ereignis anzeigen
  • Installationszeitplan ändern
  • Paket zuweisen

Wenn ein Administrator die Zuständigkeit für das Zuweisen von Paketen zu einer bestimmten Gruppe delegieren möchte, kann er eine Rolle vom Typ Paketmanager mit folgenden Berechtigungen anlegen:

  • Anzeigen
  • Paket zuweisen

Wenn ein Benutzer mit der Rolle eines Paketmanagers später zur Sicherheit einer Gruppe hinzugefügt wird, kann er nur diese eine Gruppe anzeigen (sofern er nicht über weitere Rollen verfügt). Er kann zwar alle Einstellungen für diese Gruppe anzeigen, ändern kann er jedoch nur die der Gruppe zugewiesenen Pakete.

Server

  • Neue Serverrolle – Definieren Sie eine neue Serverrolle.
  • Eigenschaften – Zeigen Sie die Details der Rolle an.

Objekt

  • Neue Objektrolle – Definieren Sie eine neue Objektrolle.
  • Eigenschaften – Zeigen Sie die Details der Rolle an.

Konfigurieren von Sicherheit

Sie können die Sicherheit für Gruppen oder Benutzer konfigurieren, die berechtigt sind, sich bei der Management Console anzumelden. Sie können die Berechtigungen Serveradministrator (vollständige Berechtigungen), Bearbeiter und Betrachter vergeben.

  1. Wählen Sie im Navigationsbereich die Schaltfläche Sicherheit aus.
  2. Erweitern Sie zum Konfigurieren von Sicherheit für eine Gruppe Serverberechtigungen und wählen Sie den Knoten Gruppen aus.
  3. Erweitern Sie zum Konfigurieren von Sicherheit für einen Benutzer Serverberechtigungen und wählen Sie den Knoten Benutzer aus.
  4. Wählen Sie eine Gruppe oder einen Benutzer aus.
  5. Wählen Sie im Menü "Aktionen" die Option Rollen bearbeiten aus.  Das Dialogfeld "Globale Sicherheitsrollen" wird angezeigt.
  6. Wählen Sie aus, ob die Berechtigungen Bearbeiter, Serveradministrator und Betrachter eingeräumt oder verweigert werden sollen.
  7. Klicken Sie auf OK.

Sie können die Sicherheit für Gruppen konfigurieren, die berechtigt sind, sich bei der Management Console anzumelden. Sie können Berechtigungen vergeben, die lediglich das Anzeigen von Elementen in der Konsole erlauben.

  1. Wählen Sie im Navigationsbereich die Schaltfläche Sicherheit aus.
  2. Erweitern Sie Serverberechtigungen und wählen Sie den Knoten Gruppen aus.
  3. Wählen Sie im Menü "Aktionen" die Option Gruppe hinzufügen aus. Das Dialogfeld "Gruppen auswählen" wird angezeigt.
  4. Machen Sie die Gruppe ausfindig, für die Sie Anzeigeberechtigungen vergeben möchten, und klicken Sie auf OK.
  5. Wählen Sie die Gruppe im Arbeitsbereich aus.
  6. Wählen Sie im Menü "Aktionen" die Option Rollen bearbeiten aus. Das Dialogfeld "Globale Sicherheitsrollen" wird angezeigt.
  7. Wählen Sie in der Spalte "Zulassen" die Option Betrachter aus.
  8. Wählen Sie in der Spalte "Verweigern" die Optionen Bearbeiter und Serveradministrator aus.

  9. Klicken Sie auf OK.

Sie können die Sicherheit für Benutzer konfigurieren, die berechtigt sind, sich bei der Management Console anzumelden. Sie können einer Gruppe oder einem Benutzer Berechtigungen für den Zugriff auf eine ganz bestimmte Bereitstellungsgruppe einräumen.

  1. Wählen Sie im Navigationsbereich die Schaltfläche Sicherheit aus.
  2. Erweitern Sie "Serverberechtigungen" und wählen Sie den Knoten Benutzer aus.
  3. Klicken Sie im Menü "Aktionen" auf Benutzer hinzufügen. Das Dialogfeld "Benutzer auswählen" wird angezeigt.
  4. Machen Sie den Benutzer ausfindig, dem Sie Zugriff auf eine bestimmte Bereitstellungsgruppe gewähren möchten, und klicken Sie auf OK.
  5. Wählen Sie im Navigationsbereich die Schaltfläche Startseite aus.
  6. Navigieren Sie zum Knoten [Server] > Bereitstellungsgruppen.
  7. Wählen Sie die Bereitstellungsgruppe aus, auf die Sie Zugriff gewähren möchten.
  8. Wählen Sie im Bereich "Aktionen" die Option Sicherheit aus. Das Dialogfeld "Sicherheit für [Bereitstellungsgruppe]" wird angezeigt.
  9. Wählen Sie die Registerkarte Berechtigungen aus und klicken Sie auf Hinzufügen. Das Dialogfeld "Benutzer auswählen" bzw. "Gruppe auswählen" wird angezeigt.
  10. Machen Sie den in Schritt 4 angegebenen Benutzer ausfindig und klicken Sie auf OK.
  11. Wählen Sie im Bereich "Rollen" die Optionen Betrachter, Bearbeiter und Vollständige Kontrolle in der Spalte "Zulassen" aus.
  12. Klicken Sie auf OK.

Verwandte Themen

Bereitstellungsgruppen

Pakete

Alarme

Berichte