Implementieren von Benutzerrollen
In System Center Operations Manager sind Benutzerrollen die Methode, mit der Sie die erforderlichen Rechte für den Zugriff auf Überwachungsdaten und das Ausführen von Aktionen zuweisen können. Benutzerrollen sind so konzipiert, dass sie auf Benutzergruppen angewendet werden, die Zugriff auf dieselbe Gruppe überwachter Objekte benötigen und dafür Aktionen ausführen müssen. Standardmäßig hat nur das Operations Manager-Administratorkonto das Recht, alle Überwachungsdaten anzuzeigen und zu bearbeiten. Allen anderen Benutzer muss eine Benutzerrolle zugewiesen werden, damit sie bestimmte oder alle Überwachungsdaten anzeigen oder bearbeiten können.
Benutzerrollen werden mithilfe des Assistenten zum Erstellen von Benutzerrollen erstellt. In diesem Assistenten konfigurieren Sie, welche Active Directory-Sicherheitsgruppen dieser Benutzerrolle zugewiesen werden, auf welche Operations Manager-Gruppe bzw. -Gruppen von überwachten Objekten der jeweilige Benutzer zugreifen kann und auf welche Aufgaben, Dashboards und Ansichten diese Benutzerrolle zugreifen kann.
Eine Benutzerrolle ist die Kombination eines Profils und eines Geltungsumfangs, wie in der folgenden Abbildung dargestellt. Einem Benutzer können mehrere Rollen zugewiesen werden, und der resultierende Geltungsumfang ist die Vereinigung aller Benutzerrollen.
Grundlegendes zu Profilen
Bevor Sie Benutzerrollen in Ihrer Verwaltungsgruppe erstellen, wählen Sie ein Profil für die zu erstellende Benutzerrolle aus. Ein Profil bestimmt die Aktionen, die ein Benutzer ausführen kann. Profile enthalten einen definierten Satz von Rechten, und Sie können keine dieser zugewiesenen Rechte hinzufügen oder entfernen. Wenn Sie Benutzerrollen für Operatoren und andere Benutzer erstellen, wählen Sie das Profil aus, das den Zuständigkeiten der Benutzergruppe in Ihrer System Center Operations Manager-Bereitstellung am ehesten entspricht.
Da Operations Manager eine Überwachungsplattform für Unternehmen ist, mit der Infrastrukturelemente, Workloads oder Anwendungen in Ihrem Unternehmen überwacht werden können, sollten Sie den Zugriff auf Überwachungsdaten auf Ihre Prozesse für die Dienstausführung abstimmen, damit die jeweils relevanten operativen Daten für die entsprechende Supportebene bei der Incidenteskalation oder für das Anwendungsentwicklerteam verfügbar sind. Mit der rollenbasierten Sicherheit können Sie die Berechtigungen der Benutzer auf bestimmte Aspekte von Operations Manager beschränken.
Wichtig
Das Hinzufügen eines Computerkontos zu einem Benutzerrollenmitglied ermöglicht allen Diensten auf diesem Computer den Zugriff in Operations Manager. Es wird empfohlen, Benutzerrollen kein Computerkonto hinzuzufügen.
In Operations Manager wurden Vorgänge wie das Auflösen von Warnungen, das Ausführen von Aufgaben, das Außerkraftsetzen von Monitoren, das Erstellen von Benutzerrollen, das Anzeigen von Warnungen, das Anzeigen von Ereignissen usw. in Profile gruppiert, wobei jedes Profil eine bestimmte Auftragsfunktion darstellt, wie in der folgenden Tabelle dargestellt. Eine Liste mit bestimmten Vorgängen, die den einzelnen Profilen zugeordnet sind, finden Sie unter Benutzerrollenprofilen zugeordnete Vorgänge.
Hinweis
Ein Geltungsbereich definiert die Entitätsgruppen, Objekttypen, Aufgaben oder Ansichten, auf die ein Profil beschränkt ist. Nicht alle Geltungsumfänge gelten für alle Profile.
| Profil | Auftragsfunktionen und Geltungsumfang |
|---|---|
| Administrator | Enthält uneingeschränkte Berechtigungen, die in Operations Manager verfügbar sind. Hinweis: Sie können der Administratorrolle nur Active Directory-Sicherheitsgruppen hinzufügen. |
| Erweiterter Operator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die zusätzlich zu den Operatorberechtigungen Zugriff auf eingeschränkte Anpassung von Überwachungskonfigurationen benötigen. Gewährt Mitgliedern die Möglichkeit, die Konfiguration von Regeln außer Kraft zu setzen, und überwacht auf bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Geltungsbereichs. Der erweiterte Operator erbt auch Operatorberechtigungen. |
| Anwendungsüberwachungs-Operator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die Zugriff auf die Anwendungsdiagnose benötigen. Eine Benutzerrolle, die auf dem Profil „Anwendungsüberwachungs-Operator“ basiert, gewährt Mitgliedern die Möglichkeit, die Anwendungsüberwachungsereignisse in der Anwendungsdiagnose-Webkonsole anzuzeigen. Hinweis: Für den Zugriff auf das die Funktion Anwendungsratgeber ist eines der Profile „Berichtsoperator“ oder „Administrator“ erforderlich. |
| Autor | Enthält eine Reihe von Berechtigungen, die für die Erstellung von Überwachungskonfigurationen entwickelt wurden. Gewährt Mitgliedern die Möglichkeit, Überwachungskonfigurationen (z. B. Aufgaben, Regeln, Monitore und Ansichten) für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Geltungsumfangs zu erstellen, zu bearbeiten und zu löschen. |
| Operator | Enthält eine Reihe von Berechtigungen für Benutzer, die Zugriff auf Warnungen, Ansichten und Aufgaben benötigen. Gewährt Mitgliedern die Möglichkeit, im Rahmen ihres konfigurierten Geltungsumfangs mit Warnungen zu interagieren, Aufgaben auszuführen und auf Ansichten zuzugreifen. Sicherheitshinweis: Wenn eine Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten in Ansichten anzeigen, die Daten aus der operativen Datenbank verwenden, und auf die die Operatoren normalerweise keinen Zugriff haben. |
| Operator nur mit Leseberechtigung | Enthält eine Reihe von Berechtigungen für Benutzer, die schreibgeschützten Zugriff auf Warnungen und Ansichten benötigen. Gewährt Mitgliedern die Möglichkeit, Warnungen anzuzeigen und auf Ansichten zuzugreifen, die ihrem konfigurierten Geltungsumfang entsprechen. Hinweis: Mitgliedern der Rolle „Operator nur mit Leseberechtigung“ werden keine Rechte für die Ansicht „Aufgabenstatus“ zugewiesen. Sicherheitshinweis: Wenn eine Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten in Ansichten anzeigen, die Daten aus der operativen Datenbank verwenden, und auf die die Operatoren normalerweise keinen Zugriff haben. |
| Berichtsoperator | Enthält eine Reihe von Berechtigungen, die für Benutzer entwickelt wurden, die Zugriff auf Berichte benötigen. Gewährt Mitgliedern die Möglichkeit, Berichte entsprechend ihrem konfigurierten Geltungsumfang anzuzeigen. Vorsicht: Benutzer, die dieser Rolle zugewiesen sind, haben Zugriff auf alle Berichtsdaten im Reporting-Data Warehouse und sind dabei nicht auf den Geltungsumfang beschränkt. |
| Berichtssicherheitsadministrator | Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Benutzerrollen. Dadurch erhalten Operations Manager-Administratoren die Möglichkeit, den Zugriff auf Berichte zu steuern. Diese Rolle kann nur über ein Mitgliedskonto verfügen und kann nicht auf einen Geltungsumfang begrenzt werden. |
Zusätzlich zu den oben aufgeführten vorhandenen Auftragsprofilen unterstützt Operations Manager 2022 die folgenden neuen Auftragsprofile:
| Profil | Auftragsfunktionen und Geltungsumfang |
|---|---|
| Read-only Administrator | Diese Funktion schließt alle Leseberechtigungen in Operations Manager zusammen mit der Berichterstellung ein. |
| Stellvertretender Administrator | Diese Funktion schließt alle Leseberechtigungen in Operations Manager mit Ausnahme der Berichterstellung ein. Gewährt dem Mitglied die Möglichkeit, eine benutzerdefinierte Benutzerrolle mit delegiertem Administrator bzw. delegierter Administratorin als Basisprofil zu erstellen. |
Definieren eines Geltungsumfangs mithilfe von Operations Manager-Gruppen
Welche Objekte eine Benutzerrolle in System Center Operations Manager anzeigen und bearbeiten kann, richtet sich nach dem Geltungsumfang der Benutzerrolle. Ein Geltungsumfang besteht aus einer oder mehreren Operations Manager-Gruppen und wird beim Erstellen einer Benutzerrolle im Rahmen des Assistenten zum Erstellen von Benutzerrollen definiert. Die Seite Gruppenbereich im Assistenten für das Erstellen von Benutzerrollen enthält eine Liste aller vorhandenen Operations Manager-Gruppen. Sie können alle oder einige dieser Gruppen als Geltungsbereich für die Benutzerrolle auswählen, die Sie erstellen.
Wie andere Operations Manager-Objekte werden Gruppen in Management Packs definiert. In Operations Manager sind Gruppen logische Sammlungen von Objekten, wie Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server. Mehrere Gruppen werden von den Management Packs erstellt, die während einer Operations Manager-Installation automatisch importiert werden. Wenn diese Gruppen nicht die überwachten Objekte enthalten, die Sie für einen Geltungsumfang benötigen, können Sie hierfür eine Gruppe erstellen. Dazu müssen Sie den Assistenten zum Erstellen von Benutzerrollen beenden, zum Arbeitsbereich „Überwachung“ wechseln und mithilfe des Assistenten zum Erstellen von Gruppen eine Gruppe erstellen, die Ihren Anforderungen besser entspricht.
Zuweisen von Aufgaben, Dashboards und Ansichten
Eine Aufgabe ist eine vom Benutzer initiierte Aktion aus der Betriebskonsole, die auf einem Operations Manager-Agent oder auf dem System ausgeführt wird, von dem die Konsole gestartet wird. Aufgaben, die Sie einer von Ihnen erstellten Benutzerrolle zuweisen, können diese spezifischen Befehle oder Aktionen für die von Ihnen erstellte Benutzerrolle ausführen. Gemäß der Standardeinstellung können alle Benutzende, denen diese Benutzerrolle zugewiesen wurde, alle Aufgaben ausführen und alle Dashboards und Ansichten öffnen, sofern ihr Profil und ihr Geltungsumfang dies zulässt. Alternativ können Sie auf der Seite Aufgaben des Assistenten zum Erstellen von Benutzerrollen die spezifischen Aufgaben auflisten, auf die die von Ihnen erstellte Benutzerrolle zugreifen kann. Gleichermaßen wird auf der Seite Dashboards und Ansichten für das Erstellen von Benutzerrollen des Assistenten angegeben, auf welche Dashboards und Ansichten sowie auf welche spezifischen über den Aufgabenbereich zugänglichen Dashboards zugegriffen werden darf.
Zuweisen von Mitgliedern zu integrierten Benutzerrollen
Operations Manager enthält acht Standardbenutzerrollen, die während des Setups erstellt werden. Sie können diesen integrierten Benutzerrollen Gruppen und Einzelpersonen direkt zuweisen, damit sie bestimmte Aufgaben ausführen und auf bestimmte Informationen zugreifen können. Diese integrierten Rollen haben für die Verwaltungsgruppe globalen Geltungsumfang.
Um den Geltungsumfang für einen Benutzer zu begrenzen, erstellen Sie eine neue Benutzerrolle.
So weisen Sie einer integrierten Benutzerrolle Mitglieder zu
Wählen Sie in der Betriebskonsole Verwaltung.
Wählen Sie in Sicherheit die Option Benutzerrollen aus.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf eine der Benutzerrollen, z. B. Operations Manager-Operatoren, und wählen Sie Eigenschaften aus.
Klicken Sie auf der Registerkarte Allgemeine Eigenschaften unter Benutzerrollenmitglieder auf Hinzufügen.
Geben Sie unter Namen der auszuwählenden Objekte eingeben den Namen der Benutzerin bzw. des Benutzers oder des Gruppenkontos ein, das Sie hinzufügen möchten, und klicken Sie dann auf OK.
Klicken Sie auf OK, um die Eigenschaften für die Benutzerrolle zu schließen.