Administratorhandbuch > Berechtigungssystem > Anlegen von Benutzern und BenutzerGruppen

Anlegen von Benutzern und BenutzerGruppen

Automic empfiehlt dringend, im ersten Schritt Ihr Berechtigungssystem zu planen. Welche Personen müssen Zugang zum Automation Engine System haben und welche Tätigkeiten werden jene durchführen. Schreiben Sie Ihre Überlegungen auf, damit Sie in weiteren Schritten schnell und einfach die zugehörigen Benutzer- und BenutzerGruppen anlegen können.

	1.	BenutzerGruppen anlegen

Es ist möglich Berechtigungen sowohl bei Benutzer- als auch bei BenutzerGruppen zu setzen. Die Administration ist jedoch einfacher, wenn Sie die Rechte über BenutzerGruppen vergeben. So haben Sie an diesen zentralen Stellen einen sehr guten Überblick, der auch die Sicherheit Ihres Automation Engine Systems erhöht.

	2.	Privilegien vergeben

Die Funktionsvielfalt des UserInterfaces ist an spezielle Privilegien gebunden. Nach der Erstellung eines neuen Benutzers bzw. einer neuen BenutzerGruppe sind diese nicht aktiv.

Erteilen Sie Privilegien mit Umsicht! Einige der Funktionen erlauben die Beeinflussung der Verarbeitung eines Automation Engine Systems oder auch den Zugang zu sicherheitsrelevanten Daten!

Eine Liste aller Privilegien finden Sie in der gleichnamigen Registerkarte des BenutzerGruppen-Objektes. Dort können Sie einzelne bzw. alle aktivieren.

Die Privilegien eines Benutzers und seiner BenutzerGruppe summieren sich. Der Benutzer erhält Zugriff auf alle Funktionen des UserInterfaces, die bei ihm und seinen Gruppen aktiviert wurden.

Beispiel:
Dem Benutzer Meier ist es erlaubt, auf den Papierkorb und den Transportkoffer zuzugreifen. Da in einer seiner BenutzerGruppen auch das Privileg "Anmeldung über Call-Schnittstelle" eingerichtet wurde, kann er zusätzlich auch die CallAPIs nutzen.

	3.	Rechte vergeben

Der Zugriff auf Ordner, Statistiken, Reports und Objekte unterliegt Berechtigungen. Beachten Sie, dass zu letzteren auch Server und Agenten gehören. Genauso wie bei den Privilegien besitzen neu angelegte Benutzer und BenutzerGruppen keinerlei Rechte.

Vergeben Sie Berechtigungen mit Bedacht und machen Sie auch von der Möglichkeit Gebrauch Zugriffsverbote zu definieren!

Die Berechtigungen werden in der gleichnamigen Registerkarte des BenutzerGruppen-Objektes in einzelnen Zeilen festgelegt. Bei der Vergabe wird zwischen Berechtigungsgruppen sowie Verboten unterschieden. Diese Rechtetypen werden in der ersten Spalte ausgewählt. Gleiche Zahlen bedeuten gleiche Berechtigungsgruppen und das Schlüsselwort NOT steht für Verbote.

Gleiche Berechtigungsgruppe:

Die Rechte eines Benutzers und seiner BenutzerGruppen summieren sich.

Beispiel:
Der Benutzer Meier darf alle Objekte, deren Name mit "MAWI" beginnt lesen, ausführen und die Statistik aufrufen. Da in einer seiner Benutzergruppen die Zugriffsrechte Schreiben und Löschen für diese Objekte definiert wurden, ist er zusätzlich auch für diese beide berechtigt.

Unterschiedliche Berechtigungsgruppen:

Aus Gründen der Vollständigkeit sei an dieser Stelle auch die Verwendung unterschiedlicher Berechtigungsgruppen angeführt. Wir empfehlen diese aber nur im Ausnahmefall einzusetzen!

Wenn Sie unterschiedliche Berechtigungsgruppen definieren, erhält der Benutzer nur die Rechte, die in allen Gruppen gleichermaßen eingerichtet wurden.

Obiges Beispiel:
Der Benutzer Meier darf alle Objekte, deren Name mit "MAWI" beginnt lesen, ausführen und die Statistik aufrufen. In einer seiner BenutzerGruppen wurden die Zugriffsrechte Lesen, Ausführen, Schreiben und Löschen für diese Objekte definiert. In Summe darf Meier jedoch nur lesen und ausführen (logische UND-Verknüpfung).

Verbote

Verbote werden immer vorrangig behandelt. Besteht beim Benutzer oder bei einer seiner BenutzerGruppen ein Verbot, wird der Zugriff auf jenen Bereich nicht erlaubt. Dies gilt unabhängig von der Berechtigungsgruppe.

Beispiel:
Der Benutzer Meier darf Jobs auf allen Hosts ausführen. In einer seiner BenutzerGruppe ist jedoch ein Verbot auf die Verwendung des Agenten "UNIX01" definiert. Diesen kann er bei der Ausführung der Aufgaben daher nicht verwenden.

Verbote werden in der Registerkarte Berechtigungen mit der Berechtigungsgruppe "NOT" festgelegt.

	4.	Anlegen von Benutzern

Nach der Erstellung der BenutzerGruppen können Sie nun die einzelnen Benutzer anlegen. Der Name des Benutzer-Objekts wird aus dem Namen des Benutzers und der Abteilung, getrennt durch einen Schrägstrich, gebildet (z.B. MEIER/DEV). Es sind maximal 200 Zeichen für diese Kombination erlaubt.

Füllen Sie nun die Registerkarte Benutzer aus. Dabei gibt es unter anderem die Möglichkeit die Anmeldung nur in einem bestimmten Zeitraum des Tages zuzulassen (z.B: von 08:00 - 18:00).

Nur aktive Benutzern dürfen sich am Automation Engine System anmelden. In der rechten oberen Ecke der Registerkarte ist zu diesem Zweck ein Kontrollkästchen. Sie können Benutzer sperren indem Sie das Häckchen wieder entfernen.

	5.	Benutzer den BenutzerGruppen zuweisen

Es gibt zwei Wege, wie Sie Benutzer den BenutzerGruppen zuweisen können. Wählen Sie entweder beim Benutzer die Gruppen aus, in denen dieser Mitglied sein soll, oder bestimmen Sie direkt in der BenutzerGruppe die Mitglieder. Bei beiden Optionen geschieht die Zuweisung über die Registerkarte BenutzerGruppe.

	6.	Protokollierung der Zugriffe

Über die Variable UC_CLIENT_SETTINGS kann die Zugriffsverfolgung aktiviert und deren Umfang bestimmt werden. Hier ist festlegbar, für welche Zugriffskategorie - Anmeldung, Objektzugriff, Hostzugriff und/oder Privileg - die Überwachung erfolgen soll. Zusätzlich können Sie einstellen, ob ausschließlich Zugriffsverweigerungen oder auch Zugriffserlaubnisse in den Sicherheitsmeldungen der Systemübersicht protokolliert werden sollen.

Automic Documentation - Tutorials - Automic Blog - Resources - Training & Services - Automic YouTube Channel - Download Center - Support