Globale und lokale Administration
In enaio® benötigen Sie mindestens einen Supervisor – einen Benutzer, der über alle Systemrollen verfügt. Dieser Benutzer hat Zugriff auf alle Programme und alle Daten.
Jeder andere Benutzer mit der Systemrolle 'Administrator: Konfiguration Sicherheitssystem' hat ebenfalls Supervisor-Funktion, da er mit dieser Systemrolle sich oder einem beliebigen Benutzer alle Systemrollen geben kann und damit Zugriff auf alle Programme und alle Daten hat.
Innerhalb komplexer Umgebungen kann es sinnvoll sein, lokale Administratoren mit beschränkten Rechten zur Konfiguration des Sicherheitssystems einzurichten.
Lokale Administratoren können innerhalb eines festgelegten Bereichs Benutzer anlegen, Gruppen anlegen, diesen Benutzern Gruppen und vorher zugelassene Systemrollen zuordnen und Benutzerkonten verwalten.
Lokale Administratoren können für die Gruppen die gruppenspezifischen Zugriffsrechte auf Objekttypen nicht festlegen oder bearbeiten. Diese Aufgabe muss ein Benutzer mit der Systemrolle 'Administrator: Konfiguration Sicherheitssystem' wahrnehmen.
Bereiche können vom Supervisor angelegt werden oder von einem Benutzer mit der Systemrolle 'Administrator: Konfiguration lokale Sicherheitsgruppen'.
Benutzer, die die Funktion eines lokalen Administrators übernehmen sollen, benötigen die Systemrolle 'Administrator: Konfiguration lokale Sicherheitsgruppen'.
Benutzer, die lokale Sicherheitsgruppen anlegen und konfigurieren dürfen, haben Supervisor-Funktion.
Die dezentralen Benutzeradministration steht zurzeit in Unicode-Installationen nicht zur Verfügung.
Folgende Arbeitsschritte führen Sie durch, um eine lokale Administration einzurichten:
- Sie legen einen Bereich an.
- Sie ordnen dem Bereich Gruppen und optional Benutzer zu.
Eine Gruppe wird als Standard-Gruppe geführt. Neue Benutzer sind automatisch Mitglied dieser Standard-Gruppe.
- Sie geben den lokalen Administrator an.
Der Benutzer mit dieser Funktion benötigt die Systemrolle 'Administrator: Konfiguration lokale Sicherheitsgruppen'.
Der lokale Administrator kann unterschiedlich weit reichende Berechtigungen erhalten.
- Sie legen fest, welche Systemrollen der lokale Administrator vergeben kann.
Die Konfigurationsdialoge öffnen Sie über den Eintrag Dezentrale Benutzeradministration aus dem Menü Einrichtung oder über die entsprechende Schaltfläche auf der Symbolleiste.
Die lokale Administration erfolgt analog zur globalen Administration über das Fenster Sicherheitssystem. Der Funktionsumfang ist entsprechend eingeschränkt.
Gruppen und Benutzer benötigen bereichsübergreifend eindeutige Namen.
Bereiche anlegen
Bereiche legen Sie über das Register Bereiche der dezentralen Benutzeradministration an.
Auf der Registerkarte werden die eingerichteten Bereiche aufgelistet.
Über die Schaltfläche Neu legen Sie einen neuen Bereich mit maximal 255 Zeichen für die Bezeichnung an. Eine Beschreibung ist optional.
Über die Schaltfläche Löschen löschen Sie einen Bereich. Sind diesem Bereich Benutzer oder Gruppen zugeordnet, werden diese in den globalen Bereich verschoben.
Über die Schaltfläche Beschreibung ändern Sie die Beschreibung eines Bereichs.
Lokale Gruppen und Benutzer
Über die Registerkarte Benutzer-/Gruppenzuordnung der dezentralen Benutzeradministration ordnen Sie bereits eingerichtete Benutzer und Gruppen einem Bereich zu.
Die Benutzer und Gruppen werden über die entsprechenden Funktionen des Dialogs Sicherheitssystem, unten beschrieben, angelegt.
Aus einer Liste wählen Sie den Bereich, für den Sie Zuordnungen erstellen wollen und lassen alle globalen Benutzer oder globalen Gruppen rechts auflisten.
Über die Schaltflächen Zuordnen und Entfernen konfigurieren Sie die Gruppen und Benutzer für den Bereich.
Gruppen
Im globalen Bereich ist jeder neue Benutzer automatisch Mitglied der Gruppe 'Standard'. Diese Gruppe kann nicht gelöscht werden.
In einem lokalen Bereich erhält die zuerst zugeordnete Gruppe automatisch die Funktion 'Standardgruppe'. Über das Kontextmenü im linken Bereich kann diese Eigenschaft einer anderen Gruppe zugeordnet werden. Sie können alle Gruppen aus einem Bereich entfernen. Ohne Gruppe kann einem Bereich allerdings kein Benutzer zugeordnet werden.
Entfernen Sie eine Gruppe, werden alle Benutzer, die ausschließlich Mitglied dieser Gruppe sind, Mitglied der Standardgruppe.
Entfernen Sie eine Gruppe mit der Eigenschaft 'Standardgruppe', müssen Sie zuvor diese Eigenschaft einer anderen Gruppe geben. Gibt es keine andere Gruppe, werden alle Benutzer Mitglied der Gruppe 'Standard' des globalen Bereichs.
Sie erhalten entsprechende Sicherheitshinweise.
Entfernte Gruppen werden dem globalen Bereich zugeordnet.
Ein lokaler Administrator kann Gruppen anlegen. Die gruppenspezifischen Zugriffsrechte auf Objekttypen können nur mit der Systemrolle 'Administrator: Konfiguration Sicherheitssystem' vergeben werden.
Benutzer
Globale Benutzer können Sie erst einem Bereich zuordnen, nachdem sie dem Bereich mindestens eine Gruppe zugeordnet haben. Zugeordnete Benutzer werden automatisch Mitglied der Gruppe mit der Eigenschaft 'Standardgruppe'. Jeder Benutzer kann nur Mitglied eines Bereichs sein.
Ein lokaler Administrator kann Benutzer für seinen Bereich neu anlegen, aber keine globalen Benutzer in einen Bereich übertragen.
Lokale Administratoren
Den lokalen Administrator für einen Bereich legen Sie über die Registerkarte Lokale Administratoren fest.
Sie wählen den Bereich und finden rechts eine Liste aller Benutzer mit der Systemrolle 'Administrator: Konfiguration lokale Sicherheitsgruppen'.
Sie können mehrere Benutzer als lokale Administratoren auszeichnen.
Der lokale Administrator kann unterschiedlich weit reichende Berechtigungen erhalten:
- Benutzer anlegen
Der lokale Administrator kann Benutzer neu anlegen. Das Recht schließt ein, Benutzer über Abgleichfunktionen zu übernehmen.
- Benutzer bearbeiten
Hat der lokale Administrator nicht das Recht, Benutzer zu bearbeiten, kann er zwar die Systemrollen bearbeiten, andere Benutzereinstellungen nicht. Er kann insbesondere die Gruppenzugehörigkeiten nicht bearbeiten.
- Benutzer löschen
Der lokale Administrator kann Benutzer löschen.
- Benutzer kopieren
Der lokale Administrator kann über die Kopierfunktion einen neuen Benutzer anlegen, der die gleichen Systemrollen und Gruppenmitgliedschaften hat, wie ein Benutzer, der bereits Mitglied im Bereich ist.
Gibt es in einem Bereich Benutzer mit Systemrollen, die über diejenigen hinaus gehen, die der lokale Administrator selbst vergeben darf, dann kann der lokale Administrator über die Kopierfunktion Benutzer mit weiter reichenden Systemrollen anlegen, als durch die lokale Systemrollenvergabe konfiguriert ist.
Haben Sie die gewünschten Berechtigungen markiert, müssen Sie diese Zuweisen und die Einstellungen mit OK speichern.
Lokale Systemrollenvergabe
Der lokale Administrator kann den Benutzern seines Bereichs nur diejenigen Systemrollen geben oder nehmen, die Sie über die dezentrale Benutzeradministration auf der Registerkarte Systemrollen markieren.
Die markierten Systemrollen werden ebenfalls automatisch jedem neuen Benutzer im Bereich zugeordnet.
Markieren Sie links den Bereich und wählen Sie rechts die Systemrollen aus, die der lokale Administrator vergeben und zurücknehmen darf.
Haben Sie die gewünschten Systemrollen markiert, müssen Sie diese Zuweisen und die Einstellungen mit OK speichern.
rechts temporär einblenden.
Bereiche können Sie einblenden. Alle ausgeblendeten Bereiche einer Seite blenden Sie über die Toolbar ein:
