Access Listen (ACLs)
Access Lists (ACLs) sind ein zentrales Element für die Verwaltung von Berechtigungen für Gruppen und Benutzer. Mit den Listen können Sie in verschiedenen Bereichen von ACMP steuern, welche Gruppen und Benutzer auf bestimmte Funktionen und Systemkomponenten zugreifen können.
Vorkommen von Access Lists
Generell kommen Access Lists in der ACMP Console an nahezu allen Stellen vor, an denen sich Inhalte und Komponenten durch Ordner strukturieren lassen. So können Sie bei der Erstellung eines neuen Ordners einstellen bzw. für jeden bereits erstellten Ordner verwalten, für welche Gruppen und Benutzer ein Ordner sichtbar sein soll.
Access Lists bei Ordnern
Abgesehen von den Ordnern, können Sie die Berechtigungen von Gruppen und Benutzern mit Access Lists an weiteren spezifischen Stellen in der ACMP Console verwalten:
- Abfrageverwaltung
- Reports
- Client Commands
- Job Collections
- Asset Management
- Helpdesk
- Stammdaten (Verträge)
Note:
Abhängig von der jeweiligen Stelle, unterscheiden sich die einstellbaren Berechtigungen. Detaillierte Informationen zu den einzelnen Access Lists finden Sie daher in den jeweils verlinkten Abschnitten.
Gruppen und Benutzer
Entsprechend der Benutzerverwaltung in ACMP können bei den Access Lists jeweils Berechtigungen für Benutzergruppen und einzelne Benutzer gesetzt werden. Wenn also ein Benutzer einer der Gruppen zugeordnet wird, übernimmt er auch die Berechtigungen der Gruppe. Zudem existiert mit der Gruppe Privileged users eine spezielle Gruppe, für die es einige Besonderheiten zu beachten gilt.
Privileged users
Bei der Gruppe Privileged users handelt es sich in ACMP um eine Standard-Gruppe, die in jeder Access List vorkommt. Diese Gruppe kann im Gegensatz zu allen anderen Gruppen nicht über die allgemeine Benutzerverwaltung bearbeitet werden, da es sich um eine dynamisch erzeugte Gruppe handelt, die für jede Access List individuell erzeugt wird. In dieser Gruppe enthalten sind alle Benutzer, die über das grundlegende Recht verfügen, die jeweilige Solution, in der die spezifische Access List enthalten ist, sehen zu können.
Gruppen und Benutzer hinzufügen oder entfernen
Gruppen und Benutzer können in den spezifischen Access Lists mit Hilfe der jeweiligen Buttons hinzugefügt oder entfernt werden. Ausgenommen von den beiden Aktionen sind dabei die Standard-Gruppe Privileged users sowie der Standard-Benutzer ADMINISTRATOR. Beide können nicht entfernt werden. Weitere Informationen zu den Standard-Gruppen und -Benutzern finden Sie im Abschnitt Benutzerverwaltung.
Note:
Auch wenn die Gruppe Privileged users nicht entfernt werden kann, so können jedoch die Berechtigungen geändert werden. Für den Standard-Benutzer ADMINISTRATOR ist hingegen auch das Ändern der Berechtigungen nicht möglich.
Standard-Gruppe und -Benutzer in Access Lists
Berechtigungen
Abhängig davon, welche spezifische Access List Sie aufrufen, können sich die verwaltbaren Berechtigungen unterscheiden. Generell existieren folgende Berechtigungen:
- Sichtbar = Benutzer mit dieser Berechtigung können die jeweilige Systemkomponente sehen, aber nicht bearbeiten, ausführen oder weitere komponentenspezifische Aktionen durchführen.
- Bearbeiten = Benutzer mit dieser Berechtigung können die jeweilige Systemkomponente generell sehen und bearbeiten sowie weitere komponentenspezifische Aktionen durchführen.
Note:
Zwischen den Rechten liegt eine Abhängigkeit vor. Damit das Recht “Bearbeiten” aktiviert werden kann, muss immer das Recht “Sichtbar” mit aktiviert sein.
Zustände und Prioritäten der Berechtigungen
Die Rechte können einen der folgenden Zustände besitzen:
- Nicht gesetzt = Es wird eine nicht markierte Checkbox angezeigt
- Erlaubt = Es wird eine Checkbox mit grünem Haken angezeigt
- Verboten = Es wird ein rotes Verbots-Zeichen angezeigt
Die Zustände sind unterschiedlich priorisiert. Die Rechte werden daher in absteigender Priorität folgendermaßen berücksichtigt: Verboten > Erlaubt > Nicht gesetzt
Note:
Generell gelten Gruppenrechte immer vor den einzelnen Benutzerrechten. Durch die unterschiedlichen Prioritäten können einzelne Nutzer jedoch von der Gruppe abweichende Rechte haben.
Beispiel: Wenn es einer Gruppe erlaubt ist, eine bestimmte Komponente zu sehen, kann es für einzelne Nutzer der Gruppe trotzdem verboten sein.
Import von Systemkomponenten mit Access Lists
An verschiedenen Stellen von ACMP, in denen Access Lists vorkommen, ist es möglich bestimmte Systemkomponenten zu exportieren und zu importieren (z.B. bei Abfragen, Reports und Client Commands). Bei diesen Vorgängen werden auch die Access Lists mit exportiert und importiert. Dabei ist das Importverhalten von Systemkomponenten mit Access Lists nicht immer identisch, weshalb es einige Besonderheiten zu beachten gilt.
Übernahme von Access Lists beim Import
Beim Import der folgenden Systemkomponenten werden die Access Lists mitsamt den Einstellungen für Gruppen und Benutzer übernommen:
- Beim Import von Abfragen in der Abfrageverwaltung
- Beim Import von Helpdesk Abfragen
- Beim Import von Reports
- Beim Import von Client Command Funktionen
Note:
Wenn eine Gruppe oder ein Benutzer auf dem Zielsystem nicht vorhanden ist, wird die Gruppe oder der Benutzer nicht in die ACLs eingetragen und muss nachträglich ergänzt werden. Als Identifikationsmerkmal dient dabei die ID der Gruppe oder des Benutzers.
Zurücksetzen von Access Lists beim Import
Beim Import der folgenden Systemkomponenten werden die Access Lists mitsamt den Einstellungen für Gruppen und Benutzer auf die Standardeinstellungen zurückgesetzt:
- Beim Import von Client Commands