Rollenbasierte Sicherheit in Operations Manager 2007
Letzte Aktualisierung: Mai 2009
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1
Verwenden Sie die Betriebskonsole, die Webkonsole, die Windows PowerShell oder benutzerdefinierte Anwendungen, um auf Operations Manager 2007 zuzugreifen und Änderungen vorzunehmen. In allen Fällen sorgt die rollenbasierte Sicherheit dafür, dass die bereitgestellten Benutzeranmeldeinformationen Mitglieder einer Operations Manager-Benutzerrolle sind.
Mit Operations Manager 2007 können die verschiedensten Anwendungen in Unternehmen überwacht werden, und diese Anwendungen können von mehreren Teams verwaltet werden. Als Operations Manager-Administrator können Sie den Zugriff dieser Teams einschränken, damit jedes Team nur auf die eigenen Überwachungsdaten zugreifen kann. Die rollenbasierte Sicherheit ermöglicht es Ihnen, einen teambasierten Zugriff auf Überwachungsdaten, Tools und Aktionen zu gewähren.
Terminologie und Konzepte
Die nachfolgende Tabelle bietet einen Überblick über die Terminologie zum Thema rollenbasierte Sicherheit.
| Term | Bedeutung |
|---|---|
Vorgang/Berechtigung |
Eine sicherungsfähige Aktion wie das Auflösen von Warnungen, das Ausführen von Tasks, das Außerkraftsetzen von Monitoren, das Erstellen von Benutzerrollen, das Anzeigen von Warnungen, das Anzeigen von Ereignissen usw. Eine Liste der verfügbaren Vorgänge finden Sie in Anhang A. |
Profil |
Eine Sammlung von Vorgängen, die einer Person gewährt werden (z. B. einem Administrator oder Operator). Operations Manager 2007 umfasst die folgenden Profile:
|
Bereich |
Definiert die Grenzen für die Ausführung von Profilvorgängen (z. B. Tasks und Gruppen). |
Benutzerrollen |
Kombination aus Profil und Bereich. |
Rollenzuweisung |
Eine Zuordnung von Windows-Benutzern und -Gruppen zu Operations Manager-Rollen. |
Bereich
Alle Management Pack-Objekte, zum Beispiel Attribute, Monitore, Objektermittlungen, Regeln, Tasks und Ansichten, sind durch Ziele eingeschränkt (auch Typen oder Klassen genannt). Ein Ziel steht laut Definition in einem Management Pack für einen bestimmten Objekttyp. Alle Objekte dieses Typs haben einige gemeinsame Eigenschaften. Überall, wo Objekte dieses Typs existieren, gibt es ein einheitliches Verfahren zur Ermittlung dieser Objekte, einen gemeinsamen Satz von Eigenschaften, die ermittelt werden können, sowie ein einheitliches Verfahren zur Überwachung dieser Objekte. Standardmäßig werden vor dem Import von Management Packs 163 Ziele in Operations Manager 2007 erstellt.
Gruppen stellen logische Sammlungen von Objekten wie Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server dar.
Bei den Tasks kann es sich um Agenttasks oder Konsolentasks handeln. Eine Remoteausführung von Agenttasks ist auf einem Agent oder einem Verwaltungsserver möglich, während Konsolentasks nur auf dem lokalen Computer ausgeführt werden können. Darüber hinaus sind Konsolentasks nicht durch Benutzerrollen eingeschränkt; sie stehen für alle Benutzer zur Verfügung. In Operations Manager 2007 können Sie eine Batchdatei oder ein Skript als einen Task remote oder lokal ausführen. Wird der Task jedoch von einer Warnung oder einem Ereignis generiert, kann er nur lokal ausgeführt werden.
Ansichten sind Gruppen verwalteter Objekte, die eine Gemeinsamkeit aufweisen, die in den Ansichtseigenschaften definiert ist. Wenn Sie eine Ansicht auswählen, wird eine Abfrage an die Operations Manager-Datenbank gesendet, und die Ergebnisse der Abfrage werden im Ergebnisbereich angezeigt.
Benutzerrolle
In Operations Manager 2007 wird eine Benutzerrolle durch Definieren einer Kombination aus Profil und Bereich erstellt. Sie erstellen eine Benutzerrolle aus einem von fünf vordefinierten Profilen, bzw. aus einem von sieben vordefinierten Profilen, wenn die Berichterstattung installiert ist, und definieren anschließend einen geeigneten Bereich. In der nachfolgenden Tabelle finden Sie Definitionen zu den einzelnen Profiltypen sowie einen entsprechenden Bereich für jeden Typ.
| Profiltyp | Profilbeschreibung | Rollenbereich |
|---|---|---|
Administrator |
Verfügt über umfassende Berechtigungen für Operations Manager; eine Bereichsdefinition für das Administratorprofil wird nicht unterstützt. |
Vollständiger Zugriff auf alle Daten, Dienste, Verwaltungs- und Entwurfstools von Operations Manager |
Erweiterter Operator |
Verfügt über einen eingeschränkten Zugriff zum Ändern der Operations Manager-Konfiguration; kann Außerkraftsetzungen von Regeln erstellen; überwacht Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs. Ein "Erweiterter Operator" erbt außerdem Rechte für "Operator". |
Kann gegenüber aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks eingeschränkt werden. |
Autor |
Kann Tasks, Regeln, Monitore und Ansichten innerhalb des konfigurierten Bereichs erstellen, bearbeiten und löschen. Ein "Autor" erbt außerdem Rechte für "Erweiterter Operator". |
Kann gegenüber aktuell vorhandenen und zukünftig importierten Zielen, Gruppen, Ansichten und Tasks eingeschränkt werden. Die Besonderheit der Rolle "Autor" besteht darin, dass sie der einzige Profiltyp ist, der gegenüber den Zielen eingeschränkt werden kann. |
Operator |
Kann innerhalb des konfigurierten Bereichs Warnungen bearbeiten oder löschen, Tasks ausführen und auf Ansichten zugreifen. Ein "Operator" erbt außerdem Rechte für "Schreibgeschützter Operator". |
Kann gegenüber aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks eingeschränkt werden. |
Schreibgeschützter Operator |
Kann innerhalb des konfigurierten Bereichs Warnungen anzeigen und auf Ansichten zugreifen. |
Kann gegenüber aktuell vorhandenen und zukünftig importierten Gruppen und Ansichten eingeschränkt werden. |
Bericht-Operator |
Kann innerhalb des konfigurierten Bereichs Berichte anzeigen. |
Gilt für alle Bereiche. |
Bericht-Sicherheitsadministrator |
Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Rollen. |
Kein Bereich |
Wichtig
Wenn Sie einem Benutzerrollenmitglied ein Computerkonto hinzufügen, haben alle Dienste auf diesem Computer Zugriff auf SDK. Es wird empfohlen, keiner Benutzerrolle ein Computerkonto hinzuzufügen.
Mit Ausnahme der Administratorrolle können Sie die Active Directory-Sicherheitsgruppen oder einzelne Konten zu jeder dieser vordefinierten Rollen zuordnen. Sie können Active Directory-Sicherheitsgruppen nur der Administratorrolle zuordnen.
Indem Sie Benutzer oder eine Gruppe zu einer Rolle hinzufügen, erhalten die einzelnen Benutzer die Berechtigungen der jeweiligen Rollen für die Objekte des festgelegten Bereichs (dies schließt auch geerbte Objekte ein).
Hinweis
Die vordefinierten Rollen gelten für alle Bereiche, und bieten Zugriff auf alle Gruppen, Ansichten, Ziele und Tasks (außer für den Bericht-Sicherheitsadministrator).
Operations Manager ermöglicht Ihnen außerdem, benutzerdefinierte Rollen basierend auf den Profilen "Operator", "Schreibgeschützter Operator", "Autor" und "Erweiterter Operator" zu erstellen. Beim Erstellen der Rolle können Sie die Bereiche von Gruppen, Tasks und Ansichten, auf die die Rolle zugreifen kann, weiter einschränken. Sie können z. B. eine Rolle mit dem Namen "Exchange-Operator" erstellen, und den Bereich auf Exchange-bezogene Gruppen, Ansichten und Tasks beschränken. Benutzerkonten, die dieser Rolle zugewiesen werden, können Aktionen auf Operatorebene nur für Exchange-bezogene Objekte ausführen.
Wichtig
Erstellen Sie unbedingt eine Domänensicherheitsgruppe für die Operations Manager-Administratorrolle. Diese Gruppe muss bei der ersten Setupausführung für eine Verwaltungsgruppe vorhanden sein.
Weitere Informationen zur Verwaltung von Sicherheitsrollen, Konten und Profilen in Operations Manager 2007 finden Sie unter dem Thema How to Administer Security Roles, Accounts, and Profiles in Operations Manager 2007 (Verwalten von Sicherheitsrollen, Konten und Profilen in Operations Manager 2007) (https://go.microsoft.com/fwlink/?LinkId=88131, möglicherweise in englischer Sprache).