M42 EM Konfiguration #3 – Computergruppen, Rollen, Teams, Berechtigungen

Funktioniert der Enterprise Manager (EM) und die Anbindung an SCCM werden als nächsten die Computergruppen, Teams, Rollen und initiale Berechtigungen definiert. Diese Objekte sind notwendig um mit der Arbeit mit EM starten zu können und bilden die Grundlage für das (im besten Fall) selbst-wachsende Rollenmodell.

Zum besseren Verständnis des folgendes Inhaltes sei auf diesen Artikel verwiesen.

Computergruppen

Computergruppen werden aus 2 Gründen angelegt:

  1. Zur Zuordnung von administrativen Personen
    Beispiel: Das IT Personal aus München soll alle Desktops in München verwalten.
  2. Zur Zuordnung von Software
    Beispiel: Es wird eine Collection „SAP“ für alle Desktops der Computergruppe „Buchhaltung“ erstellt auf die dann der Rolloutplan SAP zugewiesen wird.

Initial sollte eine Computergruppe „All Computers“ angelegt werden, die alle Computer umfasst, die um Unternehmen existieren. Die Gruppe darf nicht für die Benutzer (der EM Konsole) sichtbar sein. Als Datenquelle wird „Import all Computers“ definiert. Als Manager dieser Gruppe werden die Personen die definiert, die auch EM administrieren.

2015-09-23 14_49_14-Matrix42 - Enterprise Manager - Internet Explorer

Wird nun der Computer Datenimport gestartet, werden das erste mal Computer in der EM Datenbank angelegt.

Nach dieser initialen Gruppe, können weitere Gruppen nach gleichem Schema angelegt werden, die zentral verwaltet werden sollen. Beispiele könnten sein:

  • All Desktops
  • All Server (without Terminal Server)
  • All Terminal Server

Gruppen für Abteilungsrechner (Oder Referate) werden manchmal zentral, manchmal dezentral verwaltet. In öffentlichen Ämtern ist oft genau bekannt, welcher Rechner in welchem Referat genutzt wird. In anderen Unternehmen gibt es diese Information oder Zuordnung nicht.

Hinweis: Aktuell existiert noch das Konzept der „Locations“ in EM. Diese Locations sind allerdings veraltet und sollten nicht mehr verwendet werden.

Teams

Teams definieren eine Gruppe von Personen, die die gleichen Computer verwalten und sich untereinander Aufgaben teilen/ zuordnen.

Initial sollte ein Team angelegt werden, das alle User umfasst, die u.U. mit dem Enterprise Manager arbeiten. Ggf. kann dieses Team auch „Everyone“ genannt werden und eine Domain-Gruppe genutzt werden, die alle potentiellen EM-User enthält.

HINWEIS: Es ist nicht möglich, die Domain-Users Gruppe zu importieren.

2015-09-24 08_38_48-Matrix42 - Enterprise Manager - Internet Explorer

Es gibt einige Standard-Teams in den meisten Unternehmen, die immer identisch sind. Die folgende Liste zeigt ein paar Beispiele:

  • User Helpdesk (UHD)
  • Serveradministratoren
  • Terminal Server/Citrix Administratoren
  • Lokale IT-Gruppe pro Standort

Rollen

Rollen fassen einen Satz von Berechtigungen in logische Einheiten zusammen. So könnte folgende Rolle für Mitglieder des Benutzerservice gestaltet werden:

  • Keine Ansicht auf administrative Menüs
  • Es können Tasks nur in EM angelegt werden. Alle Optionen für Option-Listen sind vor-belegt (Beispiele: User darf Installationszeitpunkt entscheiden, Logfiles zum Server senden ist standardmäßig ausgeschaltet)
  • Collections, Reports und Patches dürfen nicht verwaltet werden
  • In OSD dürfen Tasks auch nur mit vor-belegten Optionen angelegt werden.

Berechtigungen

Sind die Rollen definiert, werden als nächstes die zentralen Berechtigungen eingetragen. Die erste Berechtigung die standardmäßig gesetzt wird, ist die Berechtigung der oben angelegten „Everyone“ Gruppe auf die Standardrolle „Users“.

Zu diesem Zweck wird der Berechtigungs-Wizard gestartet. 2015-09-24 08_59_31-Matrix42 - Enterprise Manager - Internet Explorer

Im ersten Schritt wird das Team „Everyone“ hinzugefügt.

2015-09-24 09_01_37-Matrix42 - Enterprise Manager - Internet Explorer

Anschließend wird die die Rolle „User“ hinzugefügt. In der Rollen User sind keine Berechtigungen enthalten, außer der Zugriff auf das eigene Profil und die Möglichkeit, Berechtigungen zu erfragen.

2015-09-24 09_02_11-Matrix42 - Enterprise Manager - Internet Explorer

Nun werden die Berechtigungen vergeben. Über den Schieberegler ist es nun möglich, Rechte zu gewähren oder explizit zu verweigern. Tauchen hier noch Computergruppen auf, können noch detaillierte Rechte für die Computergruppen vergeben werden, um Rechte die über die Rolle kommen weiter einzuschränken.

2015-09-24 09_07_36-Matrix42 - Enterprise Manager - Internet Explorer

Im letzten Schritt wird eine Begründung hinterlegt und der Wizard mit OK bestätigt.

2015-09-24 09_10_56-Matrix42 - Enterprise Manager - Internet Explorer

Startet nun ein Benutzer die EM Konsole, kann er initial nicht viel machen. Er wird durch die Auswahl der Optionen dazu genötigt, nun seine Profileinstellungen aufzumachen.

2015-09-24 09_15_36-Matrix42 - Enterprise Manager - Internet Explorer

Dort besteht nun für Ihn die Möglichkeit, Berechtigungen zu beantragen.

2015-09-24 09_17_18-Matrix42 - Enterprise Manager - Internet Explorer

Ruft der Benutzer den Wizard auf, kann er Berechtigungen für die, für Ihn sichtbaren, Rollen beantragen.

2015-09-24 09_20_42-Matrix42 - Enterprise Manager - Internet Explorer

Im nächsten Schritt definiert der Benutzer, auf welche Computer er gerne Rechte bekommen möchte.

2015-09-24 09_25_35-Matrix42 - Enterprise Manager - Internet Explorer

Als letztes wird der Benutzer aufgefordert, eine Begründung für die Vergabe der Rechte zu hinterlegen.

2015-09-24 09_26_47-Matrix42 - Enterprise Manager - Internet Explorer

Ist in EM ein Alert hinterlegt (Thema eines Folge-Blogs) erhalten nun die Manager der Gruppen eine E-Mail. Auf jeden Fall erhalten sie einen Eintrag im Menüpunkt „User Requests“.

2015-09-24 09_31_11-Matrix42 - Enterprise Manager - Internet Explorer

Wird der Request angeklickt, erscheint der übliche Wizard zur Berechtigung der User, in dem die Berechtigungen des anfragenden Benutzer noch einmal detailliert konfiguriert werden können.

2015-09-24 09_34_17-Matrix42 - Enterprise Manager - Internet Explorer

Advertisements

3 Gedanken zu „M42 EM Konfiguration #3 – Computergruppen, Rollen, Teams, Berechtigungen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s