Implementieren von Benutzerrollen

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

In System Center Operations Manager werden Benutzerrollen verwendet, um die erforderlichen Rechte für den Zugriff auf Überwachungsdaten und die Ausführung von Aktionen zuzuweisen. Benutzerrollen sind für Gruppen von Benutzern vorgesehen, die Zugriff auf dieselbe Gruppe von überwachten Objekten benötigen und bestimmte Aktionen für diese Objekte ausführen müssen. Standardmäßig ist nur das Operations Manager-Administratorkonto berechtigt, alle Überwachungsdaten anzuzeigen und Aktionen für diese Daten auszuführen. Allen anderen Benutzern muss zu diesem Zweck eine Benutzerrolle zugewiesen sein.

Benutzerrollen werden mithilfe des Assistenten zum Erstellen von Benutzerrollen erstellt. Mit diesem Assistenten konfigurieren Sie, welche Active Directory-Sicherheitsgruppen dieser Benutzerrolle zugewiesen sind und auf welche Operations Manager-Gruppe bzw. -Gruppen von überwachten Objekten sowie auf welche Tasks dieser Benutzer zugreifen kann. Dashboards und Ansichten, auf die diese Benutzerrolle zugreifen kann.

Eine Benutzerrolle ist die Kombination aus einem Profil und einem Bereich (siehe nachfolgende Abbildung). Ein Benutzer kann Mitglied mehrerer Rollen sein, und der daraus resultierende Bereich ist die Vereinigung aller Benutzerrollen.

Abbildung zum Benutzerprofil und Geltungsbereich

Grundlegendes zu Profilen

Wählen Sie vor dem Erstellen von Benutzerrollen in Ihrer Verwaltungsgruppe ein Profil aus, das für die zu erstellende Benutzerrolle gelten soll. Durch ein Profil werden die Aktionen bestimmt, die ein Benutzer ausführen darf. Profile verfügen über einen vorgegebenen Satz von Rechten; Sie können diese zugewiesenen Rechte weder entfernen noch neue Rechte hinzufügen. Wenn Sie Benutzerrollen für Operatoren und andere Benutzer erstellen, sollten Sie das Profil auswählen, das den Zuständigkeiten der jeweiligen Benutzergruppe in Ihrer System Center – Operations Manager-Bereitstellung am ehesten entspricht.

Da Operations Manager eine Überwachungsplattform für Unternehmen ist, mit der Infrastrukturelemente, Workloads oder Anwendungen in Ihrem Unternehmen überwacht werden können, sollten Sie den Zugriff auf Überwachungsdaten auf Ihre Prozesse für die Dienstausführung abstimmen, damit die jeweils relevanten operativen Daten für die entsprechende Supportebene bei der Incidenteskalation oder für das Anwendungsentwicklerteam verfügbar sind. Die rollenbasierte Sicherheit ermöglicht es Ihnen, die Rechte von Benutzern für verschiedene Aspekte in Operations Manager einzuschränken.

Wichtig

Wenn Sie einem Mitglied einer Benutzerrolle ein Computerkonto hinzufügen, erhalten alle Dienste auf diesem Computer Zugriff in Operations Manager. Es wird empfohlen, keiner Benutzerrolle ein Computerkonto hinzuzufügen.

Vorgänge wie das Auflösen von Warnungen, das Ausführen von Tasks, die Außerkraftsetzung von Monitoren, die Erstellung von Benutzerrollen oder das Anzeigen von Warnungen bzw. Ereignissen sind in Operations Manager in Profile gruppiert. Dabei entspricht jedes Profil einer bestimmten Tätigkeit, wie in der folgenden Tabelle dargestellt. Eine Liste der mit jedem Profil verknüpften Vorgänge finden Sie unter Mit Benutzerrollenprofilen verknüpfte Vorgänge.

Hinweis

Ein Bereich definiert die Einheitengruppen, Objekttypen, Tasks oder Ansichten, auf die ein Profil beschränkt ist. Nicht alle Bereiche gelten für alle Profile.

Profil Jobfunktionen und Bereich
Administrator Enthält alle in Operations Manager verfügbaren Rechte. Hinweis: Einer Administratorrolle können ausschließlich Active Directory-Sicherheitsgruppen hinzugefügt werden.
Erweiterter Operator Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die neben den Operator-Rechten Zugriff auf eingeschränkte Überwachungskonfigurationsmöglichkeiten benötigen. Bietet Mitgliedern die Möglichkeit, die Konfiguration von Regeln und Überwachungen für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs außer Kraft zu setzen. Der erweiterte Operator erbt ebenfalls Operatorberechtigungen.
Anwendungsüberwachungs-Operator Enthält eine Reihe von Berechtigungen, die für Benutzer ausgelegt sind, die Zugriff auf die Anwendungsdiagnose benötigen. Mit einer auf dem Profil „Anwendungsüberwachungs-Operator“ basierenden Benutzerrolle können Mitglieder Ereignisse der Anwendungsüberwachung in der Webkonsole der Anwendungsdiagnose einsehen. Hinweis: Für den Zugriff auf das Feature Application Advisor ist das Profil „Berichtsverantwortlicher“ oder „Administrator“ erforderlich.
Autor Enthält eine Reihe von Rechten, die für die Erstellung von Überwachungskonfigurationen ausgelegt sind. Bietet Mitgliedern die Möglichkeit, Überwachungskonfigurationen (z. B. Tasks, Regeln, Überwachungen und Ansichten) für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs zu erstellen, zu bearbeiten und zu löschen.
Betreiber Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die Zugriff auf Warnungen, Ansichten und Tasks benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs mit Warnungen zu interagieren, Tasks auszuführen und auf Ansichten zuzugreifen. Sicherheitshinweis: Wenn in einer Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet werden, können Operatoren möglicherweise Daten anzeigen, auf die sie in Ansichten, in denen Daten aus der Betriebsdatenbank verwendet werden, keinen Zugriff hätten.
Schreibgeschützter Operator Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die schreibgeschützten Zugriff auf Warnungen und Ansichten benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs Warnungen anzuzeigen und auf Ansichten zuzugreifen. Anmerkung: Mitglieder der Rolle „Schreibgeschützter Operator“ haben keine Rechte für die Taskstatusansicht. Sicherheitshinweis: Wenn in einer Dashboardansicht Daten aus der Data Warehouse-Datenbank verwendet werden, können Operatoren möglicherweise Daten anzeigen, auf die sie in Ansichten, in denen Daten aus der Betriebsdatenbank verwendet werden, keinen Zugriff hätten.
Berichtsverantwortlicher Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die Zugriff auf Berichte benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs Berichte anzuzeigen. Vorsicht: Benutzer, denen diese Rolle zugewiesen wird, haben Zugriff auf sämtliche Berichtsdaten im Reporting-Data Warehouse und sind nicht durch einen Bereich beschränkt.
Bericht-Sicherheitsadministrator Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Benutzerrollen. So haben Operations Manager-Administratoren die Möglichkeit, den Zugriff auf Berichte zu steuern. Diese Rolle kann nur ein Mitgliedskonto haben und nicht auf einen Bereich beschränkt werden.

Definieren von Bereichen mithilfe von Operations Manager-Gruppen

Der Bereich einer Benutzerrolle bestimmt die Objekte, die die Benutzerrolle in System Center – Operations Manager anzeigen und bearbeiten kann. Ein Bereich besteht aus mindestens einer Operations Manager-Gruppe und wird definiert, wenn die Benutzerrolle im Assistenten zum Erstellen von Benutzerrollen erstellt wird. Die Seite Gruppenbereich im Assistenten zum Erstellen von Benutzerrollen enthält eine Liste aller vorhandenen Operations Manager-Gruppen. Sie können alle oder einige dieser Gruppen als Bereich der Benutzerrolle auswählen, die Sie erstellen.

Gruppen werden wie andere Operations Manager-Objekte in Management Packs definiert. In Operations Manager handelt es sich bei Gruppen um logische Sammlungen von Objekten, z. B Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server. Mehrere Gruppen werden von den Management Packs erstellt, die automatisch während einer Operations Manager-Installation importiert werden. Wenn diese Gruppen nicht die überwachten Objekte enthalten, die Sie für einen Bereich benötigen, können Sie eine entsprechende Gruppe erstellen. Dazu müssen Sie den Assistenten zum Erstellen von Benutzerrollenbeenden, zum Arbeitsbereich Überwachung wechseln und den Gruppenerstellungs-Assistenten verwenden, um eine Gruppe zu erstellen, die besser zu Ihren Anforderungen passt.

Zuweisen von Tasks, Dashboards und Ansichten

Bei einem Task handelt es sich um eine Aktion, die von einem Benutzer in der Betriebskonsole gestartet und auf einem Operations Manager-Agent oder auf dem System ausgeführt wird, auf dem die Betriebskonsole gestartet wurde. Über Tasks, für die Sie einer Benutzerrolle Berechtigungen erteilen, können diese spezifischen Befehle oder Aktionen für die erstellte Benutzerrolle ausgeführt werden. Standardmäßig können alle Benutzer der Benutzerrolle alle Tasks ausführen und alle Dashboards und Ansichten öffnen, sofern es für ihr Profil und ihren Bereich zulässig ist. Alternativ können die Tasks, auf die von der Benutzerrolle zugegriffen werden kann, auf der Seite Tasks des Assistenten zum Erstellen von Benutzerrollen aufgelistet werden. Gleichermaßen werden auf der Seite Dashboards und Ansichten des Assistenten zum Erstellen von Benutzerrollen Dashboards und Ansichten sowie die spezifischen Dashboards angegeben, auf die über den Bereich „Tasks“ zugegriffen werden kann.

Zuweisen von Mitgliedern zu integrierten Benutzerrollen

Operations Manager bietet acht standardmäßige Benutzerrollen, die beim Setup erstellt werden. Sie können diesen integrierten Benutzerrollen Gruppen und einzelne Benutzer zuweisen, damit diese bestimmte Aufgaben ausführen und auf bestimmte Informationen zugreifen können. Für diese integrierten Rollen gilt der globale Bereich für die Verwaltungsgruppe.

Um den Bereich für einen Benutzer einzuschränken, erstellen Sie eine neue Benutzerrolle.

Zuweisen von Mitgliedern zu integrierten Benutzerrollen

  1. Klicken Sie in der Betriebskonsole auf Verwaltung.

  2. Klicken Sie in Sicherheit auf Benutzerrollen.

  3. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf eine beliebige Benutzerrolle, z.B. Operations Manager-Operatoren, und klicken Sie auf Eigenschaften.

  4. Klicken Sie auf der Registerkarte Allgemeine Eigenschaften in Benutzerrollenmitglieder auf Hinzufügen.

  5. Geben Sie in Geben Sie die Namen der auszuwählenden Objekte ein den Namen des Benutzer- oder Gruppenkontos ein, das der Benutzerrolle hinzugefügt werden soll, und klicken Sie dann auf OK, um das Dialogfeld zu schließen.

  6. Klicken Sie auf OK, um die Eigenschaften der Benutzerrolle zu schließen.