Benutzerverwaltung - Rollen

Moderators: MVogt, moderators

Post Reply
KuM
Posts: 15
Joined: 08. Dec 2008, 19:54
Location: Berlin
Contact:

Benutzerverwaltung - Rollen

Post by KuM » 21. Jul 2009, 15:06

Hallo zusammen,
ich suche verzweifelt nach den Beschreibungen der einzelnen Rollen.

Begründung: Ich möchte die Userberechtigungen auf ein minimum einschränken, da mir die Gefahr, die von Fehlbedienungen durch die MA an der Hotline, im OnSiteSupport und RemoteSupport (Gesamt 20 MA) , in der EmpirumManagementConsole oder der Webconsole sehr hoch erscheint. Problem, die MA müssen je nach Konfigurationsgruppe SW installieren/deinstallieren, Rechner neu installieren, Computer einfügen/löschen,Untergruppen anlegen, Computer/SW/PXE aktivieren und Verteilungsoptionen setzen können.

Dazu habe ich eine neue Rolle angelegt, diese Rolle wurde einer Globalen Gruppe hinzugefügt.

Diese Globale Gruppe wurde dann auf die einzelnen Konfigurationsgruppen mit den entsprechenden Berechtigungen versehen.

Leider haben MA, welche Mitglied der Globalen Gruppe sind, keine Berechtigung einen Computer zu Qualifizieren, oder wenn Qualifiziert, diesen in eine Gruppe zu verschieben. Wo liegt da bei mir der Fehler? Habe ich da evtl. in die falsche Richtung gedacht.
Last edited by KuM on 21. Jul 2009, 16:17, edited 1 time in total.

User avatar
tgrosch
Posts: 602
Joined: 14. Nov 2007, 16:34
Location: Fulda
Contact:

Post by tgrosch » 21. Jul 2009, 15:32

Hallo,

mein Fehler war damals, dass ich eine neue Rolle angelegt hatte und in dieser Rolle dann unten die einzelnen vorhandenen Rollen angeklickt habe. Das ist aber grade falschherum.

Du legst zunächst eine neue Rolle an, dann musst Du jede einzelne vorhandene Rolle öffnen (die nachher auf die neue durchgreifen soll) und dort die neue Rolle anklicken.
Viele Grüße

Tobias
---
Empirum Echtsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.3 und UEM Agent 1905.1
Empirum Testsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.5 und UEM Agent 1906.1
Workplace Management Echtsystem: ServiceStore 9.1.0.2532 - Win 2012 R2
Workplace Management Testsystem: ServiceStore 9.1.0.2532 - Win 2016
MDM: Silverback 18.0.3.27
DB-Server: Win 2012 R2 mit SQL 2014

KuM
Posts: 15
Joined: 08. Dec 2008, 19:54
Location: Berlin
Contact:

Post by KuM » 21. Jul 2009, 16:11

Hallo, vielen dank für den Tipp.



Habe die Beschreibung der Rollen gefunden, sie sind in der HILFE des DBUtil beschrieben.

Hier ein Auszug aus der Hilfe (Hier nur die für das EmpirumSoftwareManagement (Configurator) wichtig sind:
Rolle Aktion

EMP_C_ADMIN Darf alle Aktionen im Zusammenhang mit Empirum Software Management ausführen.
EMP_C_AGENT Darf Konfigurationen im Software Management > Register Agent-Verteilung vornehmen.
EMP_C_AGENT_CONFIG Darf Konfigurationen im Software Management > Register Empirum Agent vornehmen.
EMP_C_DEPOT Darf Konfigurationen im Software Management > Register Depot vornehmen.
EMP_C_DISTRIBUTION Darf Konfigurationen im Software Management > Register Verteilung vornehmen.
EMP_C_ER_CONFIG Darf Templates in Konfiguration > Easy Recovery erstellen, modifizieren und löschen.
EMP_C_PM_ADMIN Darf alle Aktionen im Software Management > Register Patch-Management ausführen.
Last edited by KuM on 21. Jul 2009, 16:28, edited 4 times in total.

User avatar
mniemann
Administrator
Administrator
Posts: 574
Joined: 25. Nov 2005, 17:03
Location: Mainz
Contact:

Post by mniemann » 21. Jul 2009, 16:17

die findest du in der Hilfe, welche du über Empirum DBUtil öffnen kannst.
Visit my Blog: "DiEW - Das inoffizielle Empirum Weblog" (http://www.diew.eu)

Martin Niemann
Manager Support (Service Management)

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.

KuM
Posts: 15
Joined: 08. Dec 2008, 19:54
Location: Berlin
Contact:

Es tun sich mir weitere Fragen auf

Post by KuM » 21. Jul 2009, 18:34

Hi und guten Abend,

warum muss ich einer Rolle welche mir zusätzliche Berechtigungen verschaffen soll, die Rolle in denen die Globale Benutzergruppe Mitglied ist hinzufügen?

Warum funktioniert das nur in diese Richtung?

AndreB94
Posts: 1
Joined: 27. Feb 2020, 09:51
Contact:

Re: Benutzerverwaltung - Rollen

Post by AndreB94 » 27. Feb 2020, 13:56

Hallo,

auch wenn der Thread schon etwas älter ist, hat mir die Antwort von tgrosch weitergeholfen. Ohne diese Information wäre ich jetzt noch immer am verzweifeln.

Diese Information sollte normalerweise im Handbuch riesengroß und in rot dargestellt werden.

Liebe Grüße
André

greimer
Posts: 4
Joined: 11. Oct 2020, 19:03
Contact:

Re: Benutzerverwaltung - Rollen

Post by greimer » 23. Sep 2021, 09:48

Heyho,

was M42 angeht, bin ich relativ neu. Was Systeme und Berechtigungen angeht nicht. Aber das ist schon sehr chaotisch mit der Berechtigungsvergabe in der EMC/WMC.

Mein Problem im Moment ist, dass einige unserer Mitarbeiter im Support permanent

1. Geräte und/oder ganze Gruppen komplett deaktivieren (Gründe sind mir fremd)
2. Permanent neue Gruppen erstellen (das sieht in kurzer Zeit sehr wüst aus)
3. Sobald etwas nicht funktioniert, wird wild probiert oder alles mögliche getan (gar nicht deren Aufgabenbereich und Anweisung)

Jetzt habe ich bereits ein wenig rumprobiert, komme aber zu keinem Ergebnis.

Die Anforderung meiner Teamleitung an mich:

1. Sichtbarkeit stark einschränken (Server, eventuell Filter, Gruppen, Software, usw.)
2. wenn möglich aktivieren ja, deaktivieren ja aber nicht im gesamten Baum (wenn überhaupt möglich)
3. löschen von Geräten unterbinden

Mir ist bewusst, dass dieser Thread älter ist. Aber nach mehreren Stunden Suche erscheinen mir die Infos hier bisher am besten.

Wir haben eine Konfigurationsgruppe, die beinhaltet alle Objekte, die Installation/Verteilung aber erfolgt komplett über Zuweisungsgruppen (~70). Das ist aus der Vergangenheit so und wurde 2015 von dem Dienstleister so empfohlen. Wobei ich schon mehrfach gelesen habe, dass es so nicht praktikabel ist.

Vielen Dank und freundliche Grüße

tim.v
Posts: 111
Joined: 01. Feb 2013, 07:54
Location: Berlin
Contact:

Re: Benutzerverwaltung - Rollen

Post by tim.v » 04. Nov 2021, 12:58

greimer wrote: 23. Sep 2021, 09:48 ...
Wir haben eine Konfigurationsgruppe, die beinhaltet alle Objekte, die Installation/Verteilung aber erfolgt komplett über Zuweisungsgruppen (~70). Das ist aus der Vergangenheit so und wurde 2015 von dem Dienstleister so empfohlen. Wobei ich schon mehrfach gelesen habe, dass es so nicht praktikabel ist.

Vielen Dank und freundliche Grüße
Hallo,

ich habe auch sehr lange gebraucht um das Rechte und Rollenkonzept in Gänze zu verstehen und wenn ich nicht einmal im Jahr dort etwas ändern würde, würde ich alles wieder vergessen :lol:
Erst vor kurzem habe ich ebenfalls mal wieder die Rechte für HelpDesk, IT-Support sowie eine ReadOnly-Zugriffsmöglichkeiten für Azubis oder Teamleiter überarbeitet und aufgetrennt.

Du schreibst:

- das die Sichtbarkeit eingeschränkt werden soll. Dies ist nur mit der Verwendung der EWC möglich. In der EMC sieht man immer alles, hat dann halt nur keine Rechte irgendetwas in den Bereichen zu tun.

- Gruppen erstellen ist bei uns Mittler Weile vollständig unterbunden, da dies ja Einfluss auf die Installations-Befehle (Nähe des Softwarepaketes zum Computerobjekt) und Reihenfolge haben kann. Das sollte der Administration vorbehalten sein ;)
Eine gut durchdachte vorgegebene Struktur hilft aber bei Diskussionen mit HelpDesk und Support ;)

Was ich noch jedem an Herz legen würde ist:

- die Rechte auf Konfigurationsgruppen so weit es geht einzuschränken, da dies im Notfall der letzte Anker ist etwas forciert seitens der Administration verteilen zu können. Bei der Nähe vom z.B. Softwarepaket zum Computerobjekt würde nämlich bei gleichem Zuordnungsabstand in Konfiggr. sowie Zuweisungsgr. die Befehle der Konfiggr. dominieren
- alle unsere Objekte befinden sich in wendigen Konfigurationsgruppen mit ausschließlich OS-Paketen und etwas MiddleWare.
- individuelle Softwarezuweisungen werden ausschließlich in Zuweisungsgruppen vom HelpDesk/Support oder durch Filter mit Filteraktionen teilweise automatisch durchgeführt
- um die Menge an Zuweisungsgruppen (je individuelles Software-Paket) einzudämmen , ist die Nutzung des Software Depots (Kiosk) zu empfehlen, das aber natürlich auch so einige Tücken mit sich bringt.

Wenn du also Fragen zu Szenarien hast, gern fragen und ich versuche zu weiterzuhelfen.

Grundlegend habe ich drei Rollen EMPU_* angelegt (für HelpDesk, IT-Support und ReadOnly) die ich jeweils an den Konfigurationsgruppen und Zuweisungsgruppen entsprechend konfiguriert sind.
Diese wiederum sind mit einer AD-Gruppe (Benutzer) verknüpft die dann neben der EMPU_*-Rolle die entsprechenden Standardberechtigungsrollen wie EMP_M_COMP_ROLE, EMP_M_SW_CLASSES,EMP_M_SW_PACKAGES, EMP_M_USER, etc. vererbt enthalten.

Post Reply

Return to “Software Management”

Who is online

Users browsing this forum: No registered users and 5 guests