Implementieren von Benutzerrollen
In System Center Operations Manager sind Benutzerrollen die Methode, mit der Sie die erforderlichen Rechte für den Zugriff auf Überwachungsdaten zuweisen und Aktionen ausführen können. Benutzerrollen sind so konzipiert, dass sie auf Benutzergruppen angewendet werden, die Zugriff auf die gleiche Gruppe überwachter Objekte benötigen und Aktionen ausführen müssen. Standardmäßig hat nur das Operations Manager-Administratorkonto das Recht, alle Überwachungsdaten anzuzeigen und zu bearbeiten. Alle anderen Benutzer müssen eine Benutzerrolle zugewiesen haben, um bestimmte oder alle Überwachungsdaten anzuzeigen oder zu bearbeiten.
Benutzerrollen werden mithilfe des Assistenten zum Erstellen von Benutzerrollen erstellt. In diesem Assistenten konfigurieren Sie, welche Active Directory-Sicherheitsgruppen dieser Benutzerrolle zugewiesen werden, auf welche Operations Manager-Gruppe oder -Gruppen von überwachten Objekten dieser Benutzer zugreifen kann und auf welche Aufgaben, Dashboards und Ansichten diese Benutzerrolle zugreifen kann.
Eine Benutzerrolle ist die Kombination eines Profils und eines Bereichs, wie in der folgenden Abbildung dargestellt. Ein Benutzer kann Teil mehrerer Rollen sein, und der resultierende Bereich ist die Vereinigung aller Benutzerrollen.
Grundlegendes zu Profilen
Bevor Sie Benutzerrollen in Ihrer Verwaltungsgruppe erstellen, wählen Sie ein Profil aus, das für die Benutzerrolle gilt, die Sie erstellen. Ein Profil bestimmt die Aktionen, die ein Benutzer ausführen kann. Profile verfügen über einen definierten Satz von Rechten, und Sie können keine dieser zugewiesenen Rechte hinzufügen oder entfernen. Wenn Sie Benutzerrollen für Operatoren und andere Benutzer erstellen, wählen Sie das Profil aus, das den Zuständigkeiten der Benutzergruppe in Ihrer System Center - Operations Manager-Bereitstellung am ehesten entspricht.
Da Operations Manager eine Unternehmensüberwachungsplattform ist, die Infrastruktur, Arbeitsauslastung oder Anwendungen überwachen kann, die in Ihrem Unternehmen bereitgestellt werden, sollten Sie den Zugriff auf die Überwachung von Daten mit Ihren Dienstbetriebsprozessen ausrichten, damit die verschiedenen Vorfallskalationsunterstützungsebenen oder das Anwendungsentwicklerteam die für ihre Rolle relevanten Betriebsdaten sehen können. Die rollenbasierte Sicherheit ermöglicht Ihnen das Einschränken von Berechtigungen, die Benutzer für verschiedene Aspekte von Operations Manager haben.
Wichtig
Das Hinzufügen eines Computerkontos zu einem Benutzerrollenmitglied ermöglicht allen Diensten auf diesem Computer den Zugriff in Operations Manager. Es wird empfohlen, keiner Benutzerrolle ein Computerkonto hinzuzufügen.
In Operations Manager wurden Vorgänge wie das Auflösen von Warnungen, das Ausführen von Aufgaben, das Überschreiben von Monitoren, das Erstellen von Benutzerrollen, das Anzeigen von Warnungen, das Anzeigen von Ereignissen usw. in Profile gruppiert, wobei jedes Profil eine bestimmte Auftragsfunktion darstellt, wie in der folgenden Tabelle dargestellt. Eine Liste mit bestimmten Vorgängen, die den einzelnen Profilen zugeordnet sind, finden Sie unter "Vorgänge, die mit Benutzerrollenprofilen verknüpft sind".
Hinweis
Ein Bereich definiert die Entitätsgruppen, Objekttypen, Aufgaben oder Ansichten, auf die ein Profil beschränkt ist. Nicht alle Bereiche gelten für alle Profile.
| Profil | Auftragsfunktionen und Bereich |
|---|---|
| Administrator | Enthält vollständige Berechtigungen, die in Operations Manager verfügbar sind. Hinweis: Sie können der Administratorrolle nur Active Directory-Sicherheitsgruppen hinzufügen. |
| Erweiterter Operator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die Zusätzlich zu den Operatorberechtigungen Zugriff auf eingeschränkte Anpassung von Überwachungskonfigurationen benötigen. Gewährt Mitgliedern die Möglichkeit, die Konfiguration von Regeln zu überschreiben und überwacht auf bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs zu überwachen. Der erweiterte Operator erbt auch Operatorberechtigungen. |
| Anwendungsüberwachungs-Operator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die Zugriff auf die Anwendungsdiagnose benötigen. Eine Benutzerrolle, die auf dem Anwendungsüberwachungsoperatorprofil basiert, gewährt Mitgliedern die Möglichkeit, die Anwendungsüberwachungsereignisse in der Anwendungsdiagnose-Webkonsole anzuzeigen. Hinweis: Der Zugriff auf das Feature "Anwendungsratgeber " erfordert das Berichtsoperator- oder Administratorprofil. |
| Autor | Enthält eine Reihe von Berechtigungen, die für die Erstellung von Überwachungskonfigurationen entwickelt wurden. Gewährt Mitgliedern die Möglichkeit, Überwachungskonfigurationen (z. B. Aufgaben, Regeln, Monitore und Ansichten) für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs zu erstellen, zu bearbeiten und zu löschen. |
| Operator | Enthält eine Reihe von Berechtigungen für Benutzer, die Zugriff auf Warnungen, Ansichten und Aufgaben benötigen. Gewährt Mitgliedern die Möglichkeit, gemäß ihrem konfigurierten Bereich mit Warnungen zu interagieren, Aufgaben auszuführen und auf Ansichten zuzugreifen. Sicherheitshinweis: Wenn eine Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten anzeigen, auf die sie sonst keinen Zugriff auf Ansichten haben, die Daten aus der betriebstechnischen Datenbank verwenden. |
| Schreibgeschützter Operator | Enthält eine Reihe von Berechtigungen für Benutzer, die schreibgeschützten Zugriff auf Warnungen und Ansichten benötigen. Gewährt Mitgliedern die Möglichkeit, Warnungen und Zugriffsansichten entsprechend ihrem konfigurierten Bereich anzuzeigen. Hinweis: Mitgliedern der Rolle "Schreibgeschützter Operator" sind der Ansicht "Vorgangsstatus" keine Rechte zugewiesen. Sicherheitshinweis: Wenn eine Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten anzeigen, auf die sie sonst keinen Zugriff auf Ansichten haben, die Daten aus der betriebstechnischen Datenbank verwenden. |
| Berichtsoperator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die Zugriff auf Berichte benötigen. Gewährt Mitgliedern die Möglichkeit, Berichte entsprechend ihrem konfigurierten Bereich anzuzeigen. Vorsicht: Benutzer, die dieser Rolle zugewiesen sind, haben Zugriff auf alle Berichtsdaten im Reporting Data Warehouse und sind nicht durch den Umfang beschränkt. |
| Berichtssicherheitsadministrator | Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Benutzerrollen. Dadurch erhalten Operations Manager-Administratoren die Möglichkeit, den Zugriff auf Berichte zu steuern. Diese Rolle kann nur über ein Mitgliedskonto verfügen und kann nicht auf einen Bereich eingestellt werden. |
Zusätzlich zu den oben aufgeführten vorhandenen Auftragsprofilen unterstützt Operations Manager 2022 die folgenden neuen Auftragsprofile:
| Profil | Auftragsfunktionen und Bereich |
|---|---|
| Read-only Administrator | Diese Funktion schließt alle Leseberechtigungen in Operations Manager zusammen mit der Berichterstellung ein. |
| Stellvertretender Administrator | Diese Funktion schließt alle Leseberechtigungen in Operations Manager mit Ausnahme der Berichterstellung ein. Gewährt dem Mitglied die Möglichkeit, eine benutzerdefinierte Benutzerrolle mit delegiertem Administrator bzw. delegierter Administratorin als Basisprofil zu erstellen. |
Definieren eines Bereichs mithilfe von Operations Manager-Gruppen
Der Bereich einer Benutzerrolle bestimmt, welche Objekte, für die die Benutzerrolle Aktionen in System Center – Operations Manager anzeigen und ausführen kann. Ein Bereich besteht aus einer oder mehreren Operations Manager-Gruppen und wird beim Erstellen einer Benutzerrolle als Teil des Assistenten zum Erstellen von Benutzerrollen definiert. Auf der Seite "Gruppenbereich " des Assistenten zum Erstellen von Benutzerrollen wird eine Liste aller vorhandenen Operations Manager-Gruppen bereitgestellt. Sie können alle oder einige dieser Gruppen als Bereich der Benutzerrolle auswählen, die Sie erstellen.
Gruppen, wie andere Operations Manager-Objekte, werden in Management Packs definiert. In Operations Manager sind Gruppen logische Auflistungen von Objekten, z. B. Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server. Mehrere Gruppen werden von den Management Packs erstellt, die während einer Operations Manager-Installation automatisch importiert werden. Wenn diese Gruppen nicht die überwachten Objekte enthalten, die Sie für einen Bereich benötigen, können Sie eine Gruppe erstellen, die dies tut. Dazu müssen Sie den Assistenten zum Erstellen von Benutzerrollen beenden, zum Arbeitsbereich "Überwachung" wechseln und den Assistenten zum Erstellen von Gruppen verwenden, um eine Gruppe zu erstellen, die Ihren Anforderungen besser entspricht.
Zuweisen von Aufgaben, Dashboards und Ansichten
Eine Aufgabe ist eine vom Benutzer initiierte Aktion aus der Operations-Konsole, die auf einem Operations Manager-Agent oder auf dem System ausgeführt wird, von dem die Konsole gestartet wird. Aufgaben, die Sie einer von Ihnen erstellten Benutzerrolle gewähren, können diese spezifischen Befehle oder Aktionen für die benutzerbezogene Rolle ausführen, die Sie erstellen. Die Standardeinstellung besteht darin, dass alle Benutzer, denen diese Benutzerrolle zugewiesen wurde, alle Aufgaben ausführen und alle Dashboard- und Ansichten öffnen können, sofern ihr Profil und bereich dies zulässt. Die Alternative auf der Seite "Aufgaben des Assistenten zum Erstellen von Benutzerrollen" besteht darin, die spezifischen Aufgaben auflisten, auf die die benutzerregel, auf die Sie zugreifen können. Ähnlich wie auf der Seite "Benutzerrollendashboards und Ansichten erstellen" können Sie angeben, auf welche Dashboards und Ansichten sowie auf welche spezifischen Dashboards über den Aufgabenbereich zugegriffen werden kann.
Zuweisen von Mitgliedern zu integrierten Benutzerrollen
Operations Manager stellt acht Standardbenutzerrollen bereit, die während des Setups erstellt werden. Sie können diesen integrierten Benutzerrollen Gruppen und Einzelpersonen direkt zuweisen, um ihnen die Möglichkeit zu bieten, bestimmte Aufgaben auszuführen und auf bestimmte Informationen zuzugreifen. Diese integrierten Rollen haben einen globalen Bereich für die Verwaltungsgruppe.
Um den Bereich für einen Benutzer einzuschränken, erstellen Sie eine neue Benutzerrolle.
So weisen Sie Einer integrierten Benutzerrolle Mitglieder zu
Wählen Sie in der Betriebskonsole Verwaltung.
Wählen Sie in "Sicherheit" die Option "Benutzerrollen" aus.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf eine der Benutzerrollen, z. B. Operations Manager-Operatoren, und wählen Sie "Eigenschaften" aus.
Wählen Sie auf der Registerkarte "Allgemeine Eigenschaften" in "Benutzerrollenmitglieder" "Hinzufügen" aus.
Geben Sie in "Geben Sie die auszuwählenden Objektnamen ein, geben Sie den Namen des Benutzer- oder Gruppenkontos ein, das Sie der Benutzerrolle hinzufügen möchten, und wählen Sie dann OK aus, um das Dialogfeld zu schließen.
Wählen Sie "OK" aus, um die Eigenschaften für die Benutzerrolle zu schließen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für