Rollenbasierte Administration – Übersicht

Ivanti® Endpoint Manager bietet einen sehr umfangreichen Satz rollenbasierter Verwaltungsfunktionen für die Verwaltung von Konsolenbenutzern. Sie haben folgenden Möglichkeiten:

  • Zuweisung präziser funktionsbasierter Gruppenberechtigungen
  • Frühzeitige Zuweisung von Berechtigungen zu mehreren Benutzer durch lokale oder LDAP-Benutzergruppen
  • Synchronisierung von Konsolenbenutzerkonfigurationen über mehrere Coreserver hinweg.

Die von Ihnen erstellten Rollen können auf den Verantwortungsbereichen der Benutzer basieren, den Verwaltungstasks, die Sie den Benutzern einräumen möchten, und den Geräten, auf die die Benutzer zugreifen und die sie verwalten sollen. Der Gerätezugriff lässt sich auf einen Standort, beispielsweise ein Land, eine Region, ein Bundesland, eine Stadt oder sogar ein bestimmtes Büro oder eine Abteilung beschränken. Der Zugriff kann auch auf eine bestimmte Geräteplattform, einen Prozessortyp oder andere Hard- und Softwareattribute der Geräte eingeschränkt werden. Bei der rollenbasierten Administration können Sie frei entscheiden, wie viele Rollen Sie erstellen möchten, welche Benutzer diese Rollen wahrnehmen können und wie groß oder klein ihr Bereich des Gerätezugriffs sein soll. Sie können z. B. einem oder mehreren Benutzer die Rolle des Managers für die Softwareverteilung zuordnen, einen anderen Benutzer für die Remotesteuerungsvorgänge verantwortlich machen, einen weiteren Benutzer mit der Berichterstellung beauftragen usw.

Wenn Sie nicht allzu viele Konsolenbenutzer haben oder den Konsolenbenutzern, die Sie haben, keine Beschränkungen auferlegen wollen, können Sie die rollenbasierte Administration vollständig umgehen und Benutzer einfach zur lokalen Gruppe der LANDESK Administratoren des Coreservers hinzufügen. Die Mitglieder dieser Gruppe haben uneingeschränkten Zugriff auf die Konsole und können alle Geräte verwalten. Standardmäßig wird das Benutzerkonto, mit dem Endpoint Manager installiert wurde, zur Gruppe der LANDESK Administratoren hinzugefügt.

Die rollenbasierte Administration besitzt die Flexibilität, Sie so viele benutzerdefinierte Rollen erstellen zu lassen, wie Sie möchten. Sie können dieselben Berechtigung auch verschiedenen Benutzern zuweisen, den Zugriff dieser Benutzer jedoch auf eine begrenzte Gruppe von Geräten (reduzierter Bereich) limitieren. Sogar ein Administrator kann durch einen Bereich eingeschränkt werden, indem seine Administratoraufgaben auf eine bestimmte geographische Region oder einen bestimmten Typ von verwalteten Geräten eingeschränkt wird. Wie Sie am besten von der rollenbasierten Administration profitieren, hängt von Ihren Netzwerk- und Personalressourcen und Ihrem individuellen Unternehmensbedarf ab.

NOTE: Wenn Sie ein Upgrade von Endpoint Manager 8 vorgenommen haben, erstellt das Setupprogramm im Verzeichnis ...\LANDesk\Management Suite eine Protokolldatei mit dem Namen RBAUpgradeReport.txt. Diese Datei enthält Informationen, die Ihnen bei der Zuordnung von 8.x-Rollen zu 9.x helfen.

Nachstehend sind die wesentlichen Prozessschritte für den Einsatz der rollenbasierten Administration beschrieben:

  1. Erstellen von Rollen für Konsolenbenutzer.
  2. Hinzufügen von Konsolenbenutzern zu den entsprechenden Windows LANDESK Gruppen mithilfe des Windows-Extras "Lokale Benutzer und Gruppen".
  3. Erstellen von Authentifizierungen für jedes Active Directory, das Sie für die Bestimmung von Konsolenbenutzern verwenden werden.
  4. Verwendung von Bereichen, um die Liste der Geräte zu beschränken, die von Konsolenbenutzern verwaltet werden können (optional).
  5. Verwendung von Teams zur weiteren Kategorisierung von Konsolenbenutzern.

Endpoint Manager -Benutzer können sich an der Konsole anmelden und bestimmte Aufgaben für bestimmte Geräte im Netzwerk durchführen. Der Benutzer, der während der Installation von Endpoint Manager am Server angemeldet ist, wird automatisch als Mitglied der Windows-Benutzergruppe LANDESK Administratoren festgelegt und ist damit mit vollen Administratorrechten ausgestattet. Dieser Benutzer ist für das Hinzufügen weiterer Benutzergruppen zur Konsole und für die Zuweisung von Berechtigungen und Bereichen zuständig. Nachdem weitere Administratoren erstellt wurden, können diese dieselben administrativen Aufgaben durchführen.

Endpoint Manager Setup erstellt mehrere lokale Windows-Gruppen auf dem Coreserver. Diese Gruppen steuern die Dateisystemberechtigungen für die Endpoint Manager und Security-Programmordner auf dem Coreserver. Konsolenbenutzer müssen folgenden lokalen Windows-Gruppen manuell hinzugefügt werden:

  • LANDesk Management Suite: Diese Gruppe gewährt einfachen Zugriff auf den Core. Die Endpoint Manager-Ordner sind schreibgeschützt. Benutzer in dieser Gruppe können nicht in das Skriptverzeichnis schreiben und daher keine Skripte verwalten. Die Reparatur von Anfälligkeiten und die Betriebssystembereitstellung funktionieren für Benutzer in dieser Gruppe nicht korrekt, da beide Funktionen Skripte verwenden.
  • LANDesk Administratoren: Dies ist die ausfallsichere Gruppe für den Konsolenzugriff. Jedes Mitglied dieser Gruppe hat vollständige Rechte in der Konsole, einschließlich des Schreibrechts für Skripte. Standardmäßig wird das Benutzerkonto, mit dem Endpoint Manager installiert wurde, zu dieser Gruppe hinzugefügt. Wenn Sie nicht allzu viele Konsolenbenutzer haben oder den Konsolenbenutzern, die Sie haben, keine Beschränkungen auferlegen wollen, können Sie die rollenbasierte Administration vollständig umgehen und Benutzer einfach zu dieser Gruppe hinzufügen.

Beim Hinzufügen von Administratoren mit vollständigen Rechten zur Konsole können Sie diese entweder zur Gruppe der lokalen LANDesk-Administratoren des Coreservers hinzufügen oder zu einer anderen Gruppe, die über das LANDesk Recht "Administrator" verfügt. Der einzige Unterschied besteht darin, dass Benutzer in der Windows-Gruppe "LANDesk Administratoren" erst dann von der Konsole gelöscht werden können, wenn Sie zuvor aus der Gruppe "LANDesk Administratoren" entfernt wurden.

Die Stukturansicht Benutzer und Gruppen des Extras "Benutzer" zeigt die Liste der autorisierten Konsolenbenutzer an. Sie können sehen, wann sich ein Konsolenbenutzer das letzte Mal angemeldet hat, welcher Gruppe er angehört, welche Rolle und welcher Bereich ihn zugeordnet ist, welche Zeitbeschränkung für die Remotesteuerung definiert ist und welchem Team er angehört. Sie können anhand dieser Strukturansicht feststellen, ob Benutzer den lokalen LANDesk Windows-Gruppen angehören. Benutzer können sich erst anmelden, wenn Sie diese zu einer der in diesem Abschnitt beschriebenen LANDesk Gruppen hinzugefügt haben.

Benutzer werden in der Datenbank unter Verwendung eindeutiger Kennungen (SIDs) gespeichert. Wenn sich der Name des Active Directory-Kontos eines Benutzers ändert, beispielsweise aufgrund von Heirat, sollten seine SID unverändert und die Endpoint Manager-Berechtigungen gültig bleiben.

IMPORTANT: Zusätzliche Konsolen und der Coreserver müssen Mitglieder derselben Domäne oder Arbeitsgruppe sein. Konsolenbenutzer können sich nicht bei einem Coreserver authentifizieren, der sich in einer anderen Domäne oder Arbeitsgruppe befindet.

So fügen Sie im Dialogfeld "Windows Computer Management" einen Benutzer zu einer LANDesk Gruppe hinzu:
  1. Navigieren Sie zum Dienstprogramm Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen > Gruppen des Servers.
  2. Klicken Sie mit der rechten Maustaste auf die gewünschte LANDesk Gruppe und wählen Sie dann Zur Gruppe hinzufügen aus.
  3. Klicken Sie im Dialogfeld Eigenschaften der Gruppe auf Hinzufügen.
  4. Wählen Sie im Dialogfeld Wählen Sie die Benutzer und Gruppen aus die gewünschten Benutzer (und Gruppen) in der Liste aus und klicken Sie auf Hinzufügen.
  5. Klicken Sie auf OK.
So fügen Sie einen Endpoint Manager-Konsolenbenutzer oder eine Gruppe hinzu:
  1. Klicken Sie auf Extras > Administration > Benutzerverwaltung.
  2. Klicken Sie in der Strukturansicht Benutzer und Gruppen mit der rechten Maustaste auf die Authentifizierungsquelle, die den gewünschten Benutzer bzw. die gewünschte Gruppe enthält, und klicken Sie dann auf Neuer Benutzer oder neue Gruppe.
  3. Wählen Sie im Quellverzeichnis für die Authentifizierung den Benutzer oder die Gruppe aus, den bzw. die Sie hinzufügen möchten, und klicken Sie auf Hinzufügen. Wenn Sie einzelne Benutzer innerhalb einer Gruppe auswählen möchten, klicken Sie mit der rechten Maustaste zunächst auf die Gruppe und klicken Sie dann auf Wählen Sie die Benutzer aus, die hinzugefügt werden sollen. Anschließend können Sie die gewünschten Benutzer auswählen und auf Ausgewählte Benutzer hinzufügen klicken.
  4. Klicken Sie in dem Dialogfeld mit der Erinnerung, den von Ihnen ausgewählten Benutzer bzw. die Gruppe manuell zur entsprechenden lokalen LANDesk Windows-Gruppe hinzuzufügen, auf OK.
  5. Klicken Sie auf Schließen.
  6. Wenn nicht bereits geschehen, verwenden Sie das Windows-Extra Lokale Benutzer und Gruppen, um den neuen Benutzer bzw. die neue Gruppe wie zuvor in diesem Abschnitt beschrieben zur entsprechenden lokalen LANDesk Windows-Gruppe hinzuzufügen.
  7. Weisen Sie dem neuen Benutzer bzw. der neuen Gruppe Rollen und Bereiche zu.

Sie können die Struktur Benutzerverwaltung auch zum Löschen von Konsolenbenutzern oder Gruppen verwenden. Wenn Sie einen Benutzer oder eine Gruppe löschen, werden Sie aufgefordert, zu entscheiden, wie mit den Konsolenelementen verfahren werden soll, deren Eigentümer der Benutzer bzw. die Gruppe ist, wie beispielsweise Abfragen, geplante Tasks und so weiter. Sie können die Konsole anweisen, automatisch alle Elemente zu löschen, die diesen gehören. Sie können die Konsole aber auch anweisen, diese Elemente einem anderen Benutzer oder einer anderen Gruppe zuzuordnen, den bzw. die Sie bestimmen. Beachten Sie, dass durch Löschen eines Benutzers oder einer Gruppe lediglich der Benutzer- oder Gruppeneintrag in der Endpoint Manager-Benutzerdatenbank gelöscht wird. Sie müssen den Benutzer bzw. die Gruppe außerdem manuell aus allen lokalen LANDesk Windows-Gruppen löschen, bei denen er bzw. sie Mitglied ist. Wenn Sie dies nicht tun, kann sich der gelöschte Benutzer immer noch in der Konsole anmelden.

So löschen Sie einen Konsolenbenutzer:
  1. Klicken Sie auf Extras > Administration > Benutzerverwaltung.
  2. Klicken Sie in der Struktur Benutzerverwaltung auf Benutzer und Gruppen.
  3. Wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie löschen möchten, und drücken Sie die Taste ENTF.
  4. Wenn Sie mit dem Benutzer verknüpfte Objekte löschen möchten, klicken Sie auf OK.
  5. Wenn Sie eine Neuzuweisung der mit dem Konsolenbenutzer verknüpften Objekte vornehmen wollen, wählen Sie Folgendem Benutzer, folgender Gruppe bzw. folgendem Team Objekte zuweisen: aus und klicken auf den Benutzer, die Gruppe oder das Team, der/die/das die Objekte erhalten soll, und klicken Sie auf OK.
  6. Entfernen Sie den Benutzer aus der lokalen LANDesk Windows-Gruppe oder Active Directory-Gruppe, die ihm Konsolenzugriff gewährt.

In der Struktur Administration > Benutzerverwaltung können Sie mit der rechten Maustaste auf den Benutzer oder die Gruppe im rechten Ausschnitt klicken und dann Eigenschaften auswählen. Das Dialogfeld "Eigenschaften" zeigt alle Eigenschaften und effektiven Rechte für den betreffenden Benutzer an. Das Dialogfeld "Eigenschaften" umfasst die folgenden Seiten:

  • Übersicht: Ein Zusammenfassung der Rollen, Bereiche, Teams, Gruppenmitgliedschaften und effektiven Rechte des betreffenden Benutzers bzw. der betreffenden Gruppe.
  • Effektive Rechte: Eine detailliertere Ansicht der effektiven Rechte des Benutzers bzw. der Gruppe.
  • Rollen: Zeigt explizite und vererbte Rollen. Sie können wählen, welche expliziten Rollen für diesen Benutzer oder für diese Gruppe gelten.
  • Bereiche: Zeigt explizite und vererbte Bereiche. Sie können wählen, welche expliziten Bereiche für diesen Benutzer oder für diese Gruppe gelten.
  • Teams: Zeigt explizite und vererbte Teams. Sie können wählen, welche expliziten Teams für diesen Benutzer oder für diese Gruppe gelten.
  • RC-Zeitbeschränkungen: Dient der Übernahme und Änderung von RC-Zeitbeschränkungen. Weitere Informationen finden Sie unter Verwenden der Zeitbeschränkungen für die Remotesteuerung.
  • Gruppenmitgliedschaft: Zeigt die Gruppen an, denen der Benutzer angehört.
  • Gruppenmitglieder: Zeigt die Mitglieder einer Gruppe an, wenn eine Gruppe ausgewählt wurde. Zeigt die Gruppe an, der ein Benutzer angehört, wenn ein Benutzer ausgewählt wurde.

Wenn Sie Änderungen an bearbeitbaren Seiten vornehmen, müssen Sie auf OK klicken, damit Ihre Änderungen übernommen werden. Sie können das Dialogfeld "Eigenschaften", falls erforderlich, erneut aufrufen.