Delegierte Administration für Verwaltungsmodule

4.5. Delegierte Administration für Verwaltungsmodule#

Standardmäßig können nur Mitglieder der Gruppe Domain Admins auf alle Verwaltungsmodule zugreifen. Mit einer UMC-Richtlinie können Sie bestimmten Gruppen oder einzelnen Benutzern Zugriff auf ausgewählte Module gewähren. Dies ermöglicht es Ihnen, Zugriff zu delegieren, ohne ihnen umfassende Verwaltungsrechte für die Domäne zu geben. Sie können beispielsweise einem Helpdesk-Team die Verwaltung von Druckern ermöglichen, ohne ihnen Zugriff auf die Benutzer- oder Gruppenverwaltung zu geben.

4.5.1. Wie die delegierte Verwaltung funktioniert#

Eine UMC-Richtlinie definiert eine Liste von UMC Operationssätzen. Jeder Operationssatz umfasst ein oder mehrere Verwaltungsmodule und die Aktionen, die Sie darin ausführen können. Wenn Sie eine UMC-Richtlinie einer Gruppe oder einem Benutzer zuweisen, können diese Gruppe oder dieser Benutzer die Module, die die Richtlinie abdeckt, in der Management UI sehen und nutzen.

Richtlinien kombinieren sich. Ein Benutzer erhält Zugriff von jeder UMC-Richtlinie, die ihm direkt zugewiesen ist, sowie von allen Richtlinien, die den Gruppen zugewiesen sind, denen er angehört. Weitere Informationen zur allgemeinen Funktionsweise von Richtlinien finden Sie unter Richtlinien Modul im Nubus Handbuch 1.x [4].

Vorsicht

Das System wertet nur UMC-Richtlinien aus, die direkt Benutzerkonten, Computerkonten und Gruppen zugewiesen sind. Nubus wertet keine verschachtelten Gruppenmitgliedschaften aus – also Gruppen, die zu anderen Gruppen gehören.

4.5.2. Eingebaute UMC Operationssätze#

Tab. 4.1 beschreibt die eingebauten Operationssätze für UMC-Richtlinien. Verwenden Sie diese, wenn Sie eine UMC-Richtlinie erstellen.

Tab. 4.1 Eingebaute UMC Operationssätze#

Name des Operationssatzes

Modul, das in der Management UI angezeigt wird

Beschreibung

udm-all

Alle Verwaltungsmodule

Gewährt Zugriff auf alle Verwaltungsmodule.

udm-users

Benutzer

Gewährt Zugriff auf das Verwaltungsmodul Benutzer.

udm-groups

Gruppen

Gewährt Zugriff auf das Verwaltungsmodul Gruppen.

udm-computers

Computer

Gewährt Zugriff auf das Verwaltungsmodul Computer.

udm-printers

Druckfreigaben

Gewährt Zugriff auf das Verwaltungsmodul Druckfreigaben.

udm-shares

Freigaben

Gewährt Zugriff auf das Verwaltungsmodul Freigaben.

udm-policies

Richtlinien

Gewährt Zugriff auf das Verwaltungsmodul Richtlinien.

udm-mail

E-Mail

Gewährt Zugriff auf das Verwaltungsmodul E-Mail.

udm-network

Netzwerke

Gewährt Zugriff auf das Verwaltungsmodul Netzwerke.

udm-dns

DNS

Gewährt Zugriff auf das Verwaltungsmodul DNS.

udm-dhcp

DHCP

Gewährt Zugriff auf das Verwaltungsmodul DHCP.

udm-nagios

Nagios

Gewährt Zugriff auf das Verwaltungsmodul Nagios zur Konfiguration der NRPE-Host-Überwachung. Die Nagios Serververwaltung ist seit UCS 5.2 nicht verfügbar.

udm-navigation

LDAP-Verzeichnis

Gewährt Zugriff auf den LDAP-Verzeichnis-Browser.

udm-reports

Gewährt die Möglichkeit, Verzeichnisberichte zu erstellen. Berichte sind in den Modulen Benutzer, Gruppen und Computer unter Mehr ‣ Bericht erstellen verfügbar.

4.5.3. LDAP-Zugriffsrechte#

Eine UMC-Richtlinie bestimmt, welche Module ein Benutzer sehen und öffnen kann. Für Module, die Daten im LDAP-Verzeichnis lesen oder schreiben, wie z. B. Benutzer, Gruppen oder Druckfreigaben, benötigt der Benutzer auch ausreichende LDAP-Zugriffsrechte.

Standardmäßig haben nur Mitglieder von Domain Admins und bestimmte Systemkonten Schreibzugriff auf das LDAP-Verzeichnis. Wenn ein Benutzer ein Modul über eine UMC-Richtlinie öffnen kann, aber nicht über die erforderlichen LDAP-Zugriffsrechte verfügt, zeigt das Modul den Fehler Zugriff verweigert an und blockiert die Änderungen.

Weitere Informationen zur Konfiguration von LDAP-Zugriffsrechten finden Sie unter Zugriffskontrolle auf das LDAP-Verzeichnis im UCS Handbuch [3].

4.5.4. Gruppenzugriff auf Verwaltungsmodule#

Die folgenden Schritte zeigen, wie Sie eine UMC-Richtlinie erstellen, ihr die gewünschten Operationssätze zuweisen und sie mit einer Gruppe verknüpfen. Das Beispiel verwendet das Modul Druckfreigaben und eine Gruppe für den Helpdesk.

4.5.4.1. Voraussetzungen#

Überprüfen Sie vor Beginn die folgenden Bedingungen:

  • Melden Sie sich als Mitglied von Domain Admins an.

  • Die Gruppe muss bereits vorhanden sein. Falls nicht, erstellen Sie sie zuerst in Benutzer ‣ Gruppen.

  • Für Module, die in das LDAP-Verzeichnis schreiben, benötigt die Gruppe ausreichende LDAP-Zugriffsrechte. Siehe LDAP-Zugriffsrechte.

4.5.4.2. Erstellen Sie eine UMC-Richtlinie#

Folgen Sie diesen Schritten, um eine UMC-Richtlinie zu erstellen:

  1. Gehen Sie zu Domäne ‣ Richtlinien.

  2. Klicken Sie Hinzufügen.

  3. Wählen Sie UMC als Richtlinientyp.

  4. Wählen Sie einen Container, um die Richtlinie darin zu speichern.

  5. Geben Sie einen Namen für die Richtlinie ein, z. B. helpdesk-printers.

  6. Wählen Sie im Feld Liste der zulässigen UMC-Operationssätze die Operationssätze aus, die Sie gewähren möchten. Wählen Sie für die Druckerverwaltung udm-printers.

  7. Klicken Sie Speichern.

4.5.4.3. Weisen Sie die Richtlinie einer Gruppe zu#

Folgen Sie diesen Schritten, um die UMC-Richtlinie zuzuweisen:

  1. Gehen Sie zu Benutzer ‣ Gruppen.

  2. Wählen Sie die Gruppe aus, z. B. Helpdesk.

  3. Gehen Sie zur Registerkarte Richtlinien.

  4. Wählen Sie im Bereich UMC die Richtlinie aus, die Sie erstellt haben, z. B. helpdesk-printers.

  5. Klicken Sie Speichern.

Mitglieder der Gruppe können nun das Modul Druckfreigaben sehen, wenn sie sich bei der Management UI anmelden.

Siehe auch

Richtlinien Modul

im Nubus Handbuch 1.x [4] für Informationen darüber, wie Richtlinien funktionieren und wie Sie diese verwalten.

Zugriffskontrolle auf das LDAP-Verzeichnis

im UCS Handbuch [3] für Informationen über LDAP-Zugriffskontrolllisten.

Auf dieser Seite