Benutzerverwaltung - Rollen
Moderators: MVogt, moderators
Benutzerverwaltung - Rollen
Hallo zusammen,
ich suche verzweifelt nach den Beschreibungen der einzelnen Rollen.
Begründung: Ich möchte die Userberechtigungen auf ein minimum einschränken, da mir die Gefahr, die von Fehlbedienungen durch die MA an der Hotline, im OnSiteSupport und RemoteSupport (Gesamt 20 MA) , in der EmpirumManagementConsole oder der Webconsole sehr hoch erscheint. Problem, die MA müssen je nach Konfigurationsgruppe SW installieren/deinstallieren, Rechner neu installieren, Computer einfügen/löschen,Untergruppen anlegen, Computer/SW/PXE aktivieren und Verteilungsoptionen setzen können.
Dazu habe ich eine neue Rolle angelegt, diese Rolle wurde einer Globalen Gruppe hinzugefügt.
Diese Globale Gruppe wurde dann auf die einzelnen Konfigurationsgruppen mit den entsprechenden Berechtigungen versehen.
Leider haben MA, welche Mitglied der Globalen Gruppe sind, keine Berechtigung einen Computer zu Qualifizieren, oder wenn Qualifiziert, diesen in eine Gruppe zu verschieben. Wo liegt da bei mir der Fehler? Habe ich da evtl. in die falsche Richtung gedacht.
ich suche verzweifelt nach den Beschreibungen der einzelnen Rollen.
Begründung: Ich möchte die Userberechtigungen auf ein minimum einschränken, da mir die Gefahr, die von Fehlbedienungen durch die MA an der Hotline, im OnSiteSupport und RemoteSupport (Gesamt 20 MA) , in der EmpirumManagementConsole oder der Webconsole sehr hoch erscheint. Problem, die MA müssen je nach Konfigurationsgruppe SW installieren/deinstallieren, Rechner neu installieren, Computer einfügen/löschen,Untergruppen anlegen, Computer/SW/PXE aktivieren und Verteilungsoptionen setzen können.
Dazu habe ich eine neue Rolle angelegt, diese Rolle wurde einer Globalen Gruppe hinzugefügt.
Diese Globale Gruppe wurde dann auf die einzelnen Konfigurationsgruppen mit den entsprechenden Berechtigungen versehen.
Leider haben MA, welche Mitglied der Globalen Gruppe sind, keine Berechtigung einen Computer zu Qualifizieren, oder wenn Qualifiziert, diesen in eine Gruppe zu verschieben. Wo liegt da bei mir der Fehler? Habe ich da evtl. in die falsche Richtung gedacht.
Last edited by KuM on 21. Jul 2009, 16:17, edited 1 time in total.
Hallo,
mein Fehler war damals, dass ich eine neue Rolle angelegt hatte und in dieser Rolle dann unten die einzelnen vorhandenen Rollen angeklickt habe. Das ist aber grade falschherum.
Du legst zunächst eine neue Rolle an, dann musst Du jede einzelne vorhandene Rolle öffnen (die nachher auf die neue durchgreifen soll) und dort die neue Rolle anklicken.
mein Fehler war damals, dass ich eine neue Rolle angelegt hatte und in dieser Rolle dann unten die einzelnen vorhandenen Rollen angeklickt habe. Das ist aber grade falschherum.
Du legst zunächst eine neue Rolle an, dann musst Du jede einzelne vorhandene Rolle öffnen (die nachher auf die neue durchgreifen soll) und dort die neue Rolle anklicken.
Viele Grüße
Tobias
---
Empirum Echtsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.3 und UEM Agent 1905.1
Empirum Testsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.5 und UEM Agent 1906.1
Workplace Management Echtsystem: ServiceStore 9.1.0.2532 - Win 2012 R2
Workplace Management Testsystem: ServiceStore 9.1.0.2532 - Win 2016
MDM: Silverback 18.0.3.27
DB-Server: Win 2012 R2 mit SQL 2014
Tobias
---
Empirum Echtsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.3 und UEM Agent 1905.1
Empirum Testsystem: v19 - 19.0.1 - Win 2012 R2 mit EPE 4.7.5 und UEM Agent 1906.1
Workplace Management Echtsystem: ServiceStore 9.1.0.2532 - Win 2012 R2
Workplace Management Testsystem: ServiceStore 9.1.0.2532 - Win 2016
MDM: Silverback 18.0.3.27
DB-Server: Win 2012 R2 mit SQL 2014
Hallo, vielen dank für den Tipp.
Habe die Beschreibung der Rollen gefunden, sie sind in der HILFE des DBUtil beschrieben.
Hier ein Auszug aus der Hilfe (Hier nur die für das EmpirumSoftwareManagement (Configurator) wichtig sind:
Rolle Aktion
EMP_C_ADMIN Darf alle Aktionen im Zusammenhang mit Empirum Software Management ausführen.
EMP_C_AGENT Darf Konfigurationen im Software Management > Register Agent-Verteilung vornehmen.
EMP_C_AGENT_CONFIG Darf Konfigurationen im Software Management > Register Empirum Agent vornehmen.
EMP_C_DEPOT Darf Konfigurationen im Software Management > Register Depot vornehmen.
EMP_C_DISTRIBUTION Darf Konfigurationen im Software Management > Register Verteilung vornehmen.
EMP_C_ER_CONFIG Darf Templates in Konfiguration > Easy Recovery erstellen, modifizieren und löschen.
EMP_C_PM_ADMIN Darf alle Aktionen im Software Management > Register Patch-Management ausführen.
Habe die Beschreibung der Rollen gefunden, sie sind in der HILFE des DBUtil beschrieben.
Hier ein Auszug aus der Hilfe (Hier nur die für das EmpirumSoftwareManagement (Configurator) wichtig sind:
Rolle Aktion
EMP_C_ADMIN Darf alle Aktionen im Zusammenhang mit Empirum Software Management ausführen.
EMP_C_AGENT Darf Konfigurationen im Software Management > Register Agent-Verteilung vornehmen.
EMP_C_AGENT_CONFIG Darf Konfigurationen im Software Management > Register Empirum Agent vornehmen.
EMP_C_DEPOT Darf Konfigurationen im Software Management > Register Depot vornehmen.
EMP_C_DISTRIBUTION Darf Konfigurationen im Software Management > Register Verteilung vornehmen.
EMP_C_ER_CONFIG Darf Templates in Konfiguration > Easy Recovery erstellen, modifizieren und löschen.
EMP_C_PM_ADMIN Darf alle Aktionen im Software Management > Register Patch-Management ausführen.
Last edited by KuM on 21. Jul 2009, 16:28, edited 4 times in total.
die findest du in der Hilfe, welche du über Empirum DBUtil öffnen kannst.
Visit my Blog: "DiEW - Das inoffizielle Empirum Weblog" (http://www.diew.eu)
Martin Niemann
Manager Support (Service Management)
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.
Martin Niemann
Manager Support (Service Management)
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of matrix42 AG or of the support team.
Es tun sich mir weitere Fragen auf
Hi und guten Abend,
warum muss ich einer Rolle welche mir zusätzliche Berechtigungen verschaffen soll, die Rolle in denen die Globale Benutzergruppe Mitglied ist hinzufügen?
Warum funktioniert das nur in diese Richtung?
warum muss ich einer Rolle welche mir zusätzliche Berechtigungen verschaffen soll, die Rolle in denen die Globale Benutzergruppe Mitglied ist hinzufügen?
Warum funktioniert das nur in diese Richtung?
Re: Benutzerverwaltung - Rollen
Hallo,
auch wenn der Thread schon etwas älter ist, hat mir die Antwort von tgrosch weitergeholfen. Ohne diese Information wäre ich jetzt noch immer am verzweifeln.
Diese Information sollte normalerweise im Handbuch riesengroß und in rot dargestellt werden.
Liebe Grüße
André
auch wenn der Thread schon etwas älter ist, hat mir die Antwort von tgrosch weitergeholfen. Ohne diese Information wäre ich jetzt noch immer am verzweifeln.
Diese Information sollte normalerweise im Handbuch riesengroß und in rot dargestellt werden.
Liebe Grüße
André
Re: Benutzerverwaltung - Rollen
Heyho,
was M42 angeht, bin ich relativ neu. Was Systeme und Berechtigungen angeht nicht. Aber das ist schon sehr chaotisch mit der Berechtigungsvergabe in der EMC/WMC.
Mein Problem im Moment ist, dass einige unserer Mitarbeiter im Support permanent
1. Geräte und/oder ganze Gruppen komplett deaktivieren (Gründe sind mir fremd)
2. Permanent neue Gruppen erstellen (das sieht in kurzer Zeit sehr wüst aus)
3. Sobald etwas nicht funktioniert, wird wild probiert oder alles mögliche getan (gar nicht deren Aufgabenbereich und Anweisung)
Jetzt habe ich bereits ein wenig rumprobiert, komme aber zu keinem Ergebnis.
Die Anforderung meiner Teamleitung an mich:
1. Sichtbarkeit stark einschränken (Server, eventuell Filter, Gruppen, Software, usw.)
2. wenn möglich aktivieren ja, deaktivieren ja aber nicht im gesamten Baum (wenn überhaupt möglich)
3. löschen von Geräten unterbinden
Mir ist bewusst, dass dieser Thread älter ist. Aber nach mehreren Stunden Suche erscheinen mir die Infos hier bisher am besten.
Wir haben eine Konfigurationsgruppe, die beinhaltet alle Objekte, die Installation/Verteilung aber erfolgt komplett über Zuweisungsgruppen (~70). Das ist aus der Vergangenheit so und wurde 2015 von dem Dienstleister so empfohlen. Wobei ich schon mehrfach gelesen habe, dass es so nicht praktikabel ist.
Vielen Dank und freundliche Grüße
was M42 angeht, bin ich relativ neu. Was Systeme und Berechtigungen angeht nicht. Aber das ist schon sehr chaotisch mit der Berechtigungsvergabe in der EMC/WMC.
Mein Problem im Moment ist, dass einige unserer Mitarbeiter im Support permanent
1. Geräte und/oder ganze Gruppen komplett deaktivieren (Gründe sind mir fremd)
2. Permanent neue Gruppen erstellen (das sieht in kurzer Zeit sehr wüst aus)
3. Sobald etwas nicht funktioniert, wird wild probiert oder alles mögliche getan (gar nicht deren Aufgabenbereich und Anweisung)
Jetzt habe ich bereits ein wenig rumprobiert, komme aber zu keinem Ergebnis.
Die Anforderung meiner Teamleitung an mich:
1. Sichtbarkeit stark einschränken (Server, eventuell Filter, Gruppen, Software, usw.)
2. wenn möglich aktivieren ja, deaktivieren ja aber nicht im gesamten Baum (wenn überhaupt möglich)
3. löschen von Geräten unterbinden
Mir ist bewusst, dass dieser Thread älter ist. Aber nach mehreren Stunden Suche erscheinen mir die Infos hier bisher am besten.
Wir haben eine Konfigurationsgruppe, die beinhaltet alle Objekte, die Installation/Verteilung aber erfolgt komplett über Zuweisungsgruppen (~70). Das ist aus der Vergangenheit so und wurde 2015 von dem Dienstleister so empfohlen. Wobei ich schon mehrfach gelesen habe, dass es so nicht praktikabel ist.
Vielen Dank und freundliche Grüße
Re: Benutzerverwaltung - Rollen
Hallo,greimer wrote: ↑23. Sep 2021, 09:48 ...
Wir haben eine Konfigurationsgruppe, die beinhaltet alle Objekte, die Installation/Verteilung aber erfolgt komplett über Zuweisungsgruppen (~70). Das ist aus der Vergangenheit so und wurde 2015 von dem Dienstleister so empfohlen. Wobei ich schon mehrfach gelesen habe, dass es so nicht praktikabel ist.
Vielen Dank und freundliche Grüße
ich habe auch sehr lange gebraucht um das Rechte und Rollenkonzept in Gänze zu verstehen und wenn ich nicht einmal im Jahr dort etwas ändern würde, würde ich alles wieder vergessen
Erst vor kurzem habe ich ebenfalls mal wieder die Rechte für HelpDesk, IT-Support sowie eine ReadOnly-Zugriffsmöglichkeiten für Azubis oder Teamleiter überarbeitet und aufgetrennt.
Du schreibst:
- das die Sichtbarkeit eingeschränkt werden soll. Dies ist nur mit der Verwendung der EWC möglich. In der EMC sieht man immer alles, hat dann halt nur keine Rechte irgendetwas in den Bereichen zu tun.
- Gruppen erstellen ist bei uns Mittler Weile vollständig unterbunden, da dies ja Einfluss auf die Installations-Befehle (Nähe des Softwarepaketes zum Computerobjekt) und Reihenfolge haben kann. Das sollte der Administration vorbehalten sein
Eine gut durchdachte vorgegebene Struktur hilft aber bei Diskussionen mit HelpDesk und Support
Was ich noch jedem an Herz legen würde ist:
- die Rechte auf Konfigurationsgruppen so weit es geht einzuschränken, da dies im Notfall der letzte Anker ist etwas forciert seitens der Administration verteilen zu können. Bei der Nähe vom z.B. Softwarepaket zum Computerobjekt würde nämlich bei gleichem Zuordnungsabstand in Konfiggr. sowie Zuweisungsgr. die Befehle der Konfiggr. dominieren
- alle unsere Objekte befinden sich in wendigen Konfigurationsgruppen mit ausschließlich OS-Paketen und etwas MiddleWare.
- individuelle Softwarezuweisungen werden ausschließlich in Zuweisungsgruppen vom HelpDesk/Support oder durch Filter mit Filteraktionen teilweise automatisch durchgeführt
- um die Menge an Zuweisungsgruppen (je individuelles Software-Paket) einzudämmen , ist die Nutzung des Software Depots (Kiosk) zu empfehlen, das aber natürlich auch so einige Tücken mit sich bringt.
Wenn du also Fragen zu Szenarien hast, gern fragen und ich versuche zu weiterzuhelfen.
Grundlegend habe ich drei Rollen EMPU_* angelegt (für HelpDesk, IT-Support und ReadOnly) die ich jeweils an den Konfigurationsgruppen und Zuweisungsgruppen entsprechend konfiguriert sind.
Diese wiederum sind mit einer AD-Gruppe (Benutzer) verknüpft die dann neben der EMPU_*-Rolle die entsprechenden Standardberechtigungsrollen wie EMP_M_COMP_ROLE, EMP_M_SW_CLASSES,EMP_M_SW_PACKAGES, EMP_M_USER, etc. vererbt enthalten.
Who is online
Users browsing this forum: No registered users and 4 guests