Delegierte Administration für UMC-Module

4.10. Delegierte Administration für UMC-Module#

In der Grundeinstellung können nur die Mitglieder der Gruppe Domain Admins alle UMC-Module aufrufen. Über Richtlinien kann für Gruppen oder einzelne Benutzer der Zugriff auf UMC-Module konfiguriert werden. Dies kann beispielsweise verwendet werden, um einem Helpdesk-Team die Berechtigung zu erteilen Drucker zu verwalten ohne ihnen Vollzugriff auf die Administration der Domäne zu erteilen.

Die Zuweisung von UMC-Modulen erfolgt über eine UMC-Richtlinie (siehe auch Richtlinien), die Benutzer- und Gruppenobjekten zugewiesen werden kann. Die Auswertung erfolgt dabei additiv, d.h. man kann allgemeine Zugriffsrechte durch ACLs auf Gruppenmitgliedschaften erteilen und durch ACLs auf Benutzer ergänzen.

Zusätzlich zu der Zuweisung von UMC-Richtlinien, müssen für UMC-Module, die Daten des LDAP-Verzeichnisses verwalten, ebenfalls LDAP-Zugriffsrechte berücksichtigt werden. Alle im LDAP vorgenommenen Änderungen gelten für die gesamte UCS-Domäne. Daher haben in der Grundeinstellung nur Mitglieder der Gruppe Domain Admins sowie einige intern genutzte Konten Vollzugriff auf das UCS-LDAP. Wird ein Modul über eine UMC-Richtlinie freigegeben, muss für den Benutzer/die Gruppe zusätzlich der Zugriff in den LDAP-ACLs freigegeben werden. Weitere Hinweis zu LDAP-ACLs finden sich in Zugriffskontrolle auf das LDAP-Verzeichnis.

Tab. 4.8 Richtlinie UMC#

Attribut

Beschreibung

Liste der erlaubten Operationen

Alle hier definierten UMC-Module werden dem Benutzer oder der Gruppen angezeigt, auf die diese ACL angewendet wird. Die Namen von Domänen-Modulen beginnen mit UDM.

Vorsicht

Für den Zugriff auf UMC-Module werden nur Richtlinien ausgewertet, die Gruppen oder aber direkt Benutzer- sowie Rechnerkonten zugewiesen sind. Eine Auswertung von verschachtelten Gruppenmitgliedsschaften (also Gruppen in Gruppen) findet nicht statt.