Implementieren von Benutzerrollen
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
In System Center Operations Manager werden Benutzerrollen verwendet, um die erforderlichen Rechte für den Zugriff auf Überwachungsdaten und die Ausführung von Aktionen zuzuweisen. Benutzerrollen sind für Gruppen von Benutzern vorgesehen, die Zugriff auf dieselbe Gruppe von überwachten Objekten benötigen und bestimmte Aktionen für diese Objekte ausführen müssen. Standardmäßig ist nur das Operations Manager-Administratorkonto berechtigt, alle Überwachungsdaten anzuzeigen und Aktionen für diese Daten auszuführen. Allen anderen Benutzern muss zu diesem Zweck eine Benutzerrolle zugewiesen sein.
Benutzerrollen werden mithilfe des Assistenten zum Erstellen von Benutzerrollen erstellt. In diesem Assistenten konfigurieren Sie, welchen Active Directory-Sicherheitsgruppen diese Benutzerrolle zugewiesen wird, auf welche Operations Manager-Gruppe oder welche Gruppen von überwachten Objekten dieser Benutzer zugreifen kann und auf welche Aufgaben, Dashboards und Ansichten diese Benutzerrolle zugreifen kann.
Eine Benutzerrolle ist die Kombination aus Profil und Bereich, wie in der folgenden Abbildung gezeigt. Ein Benutzer kann Mitglied mehrerer Rollen sein, und der daraus resultierende Bereich ist die Vereinigung aller Benutzerrollen.
Grundlegendes zu Profilen
Bevor Sie Benutzerrollen in Ihrer Verwaltungsgruppe erstellen, wählen Sie ein Profil aus, das für die benutzerrolle gilt, die Sie erstellen. Durch ein Profil werden die Aktionen bestimmt, die ein Benutzer ausführen darf. Profile verfügen über einen definierten Berechtigungssatz, und Sie können keine dieser zugewiesenen Rechte hinzufügen oder entfernen. Wenn Sie Benutzerrollen für Operatoren und andere Benutzer erstellen, sollten Sie das Profil auswählen, das den Zuständigkeiten der jeweiligen Benutzergruppe in Ihrer System Center – Operations Manager-Bereitstellung am ehesten entspricht.
Da Operations Manager eine Plattform für die Unternehmensüberwachung ist, die die in Ihrem Unternehmen bereitgestellte Infrastruktur, Workload oder Anwendungen überwachen kann, sollten Sie den Zugriff auf die Überwachung von Daten an Ihre Dienstbetriebsprozesse ausrichten, sodass die verschiedenen Supportebenen für Vorfälle oder das Anwendungsentwicklerteam die für ihre Rolle relevanten Betriebsdaten anzeigen können. Die rollenbasierte Sicherheit ermöglicht es Ihnen, die Rechte von Benutzern für verschiedene Aspekte in Operations Manager einzuschränken.
Wichtig
Wenn Sie einem Mitglied einer Benutzerrolle ein Computerkonto hinzufügen, erhalten alle Dienste auf diesem Computer Zugriff in Operations Manager. Es wird empfohlen, keiner Benutzerrolle ein Computerkonto hinzuzufügen.
Vorgänge wie das Auflösen von Warnungen, das Ausführen von Tasks, die Außerkraftsetzung von Monitoren, die Erstellung von Benutzerrollen oder das Anzeigen von Warnungen bzw. Ereignissen sind in Operations Manager in Profile gruppiert. Dabei entspricht jedes Profil einer bestimmten Tätigkeit, wie in der folgenden Tabelle dargestellt. Eine Liste der mit jedem Profil verknüpften Vorgänge finden Sie unter Mit Benutzerrollenprofilen verknüpfte Vorgänge.
Hinweis
Ein Bereich definiert die Einheitengruppen, Objekttypen, Tasks oder Ansichten, auf die ein Profil beschränkt ist. Nicht alle Bereiche gelten für alle Profile.
| Profil | Jobfunktionen und Bereich |
|---|---|
| Administrator | Enthält alle in Operations Manager verfügbaren Rechte. Hinweis: Einer Administratorrolle können ausschließlich Active Directory-Sicherheitsgruppen hinzugefügt werden. |
| Erweiterter Operator | Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die neben den Operator-Rechten Zugriff auf eingeschränkte Überwachungskonfigurationsmöglichkeiten benötigen. Bietet Mitgliedern die Möglichkeit, die Konfiguration von Regeln und Überwachungen für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs außer Kraft zu setzen. Der erweiterte Operator erbt ebenfalls Operatorberechtigungen. |
| Anwendungsüberwachungs-Operator | Enthält eine Reihe von Berechtigungen, die für Benutzer ausgelegt sind, die Zugriff auf die Anwendungsdiagnose benötigen. Mit einer auf dem Profil „Anwendungsüberwachungs-Operator“ basierenden Benutzerrolle können Mitglieder Ereignisse der Anwendungsüberwachung in der Webkonsole der Anwendungsdiagnose einsehen. Hinweis: Für den Zugriff auf das Feature Application Advisor ist das Profil „Berichtsverantwortlicher“ oder „Administrator“ erforderlich. |
| Autor | Enthält eine Reihe von Rechten, die für die Erstellung von Überwachungskonfigurationen ausgelegt sind. Bietet Mitgliedern die Möglichkeit, Überwachungskonfigurationen (z. B. Tasks, Regeln, Überwachungen und Ansichten) für bestimmte Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs zu erstellen, zu bearbeiten und zu löschen. |
| Betreiber | Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die Zugriff auf Warnungen, Ansichten und Tasks benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs mit Warnungen zu interagieren, Tasks auszuführen und auf Ansichten zuzugreifen. Sicherheitshinweis: Wenn eine Dashboard Ansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten anzeigen, auf die sie andernfalls keinen Zugriff hätten, in Ansichten, die Daten aus der operativen Datenbank verwenden. |
| Schreibgeschützter Operator | Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die schreibgeschützten Zugriff auf Warnungen und Ansichten benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs Warnungen anzuzeigen und auf Ansichten zuzugreifen. Hinweis: Mitgliedern der Rolle Schreibgeschützter Operator werden keine Rechte für die Ansicht Aufgabenstatus zugewiesen. Sicherheitshinweis: Wenn eine Dashboard Ansicht Daten aus der Data Warehouse-Datenbank verwendet, können Operatoren möglicherweise Daten anzeigen, auf die sie andernfalls keinen Zugriff hätten, in Ansichten, die Daten aus der operativen Datenbank verwenden. |
| Berichtsverantwortlicher | Enthält eine Reihe von Rechten, die für Benutzer ausgelegt sind, die Zugriff auf Berichte benötigen. Bietet Mitgliedern die Möglichkeit, innerhalb ihres konfigurierten Bereichs Berichte anzuzeigen. Vorsicht: Benutzer, die dieser Rolle zugewiesen sind, haben Zugriff auf alle Berichtsdaten im berichtsbezogenen Data Warehouse und sind nicht durch den Bereich eingeschränkt. |
| Bericht-Sicherheitsadministrator | Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Benutzerrollen. So haben Operations Manager-Administratoren die Möglichkeit, den Zugriff auf Berichte zu steuern. Diese Rolle kann nur über ein Mitgliedskonto verfügen und kann nicht erfasst werden. |
Zusätzlich zu den oben aufgeführten vorhandenen Auftragsprofilen unterstützt Operations Manager 2022 die folgenden neuen Auftragsprofile:
| Profil | Jobfunktionen und Bereich |
|---|---|
| Administrator mit Leseberechtigung | Diese Funktion schließt alle Leseberechtigungen in Operations Manager zusammen mit der Berichterstellung ein. |
| Delegierter Administrator | Diese Funktion schließt alle Leseberechtigungen in Operations Manager mit Ausnahme der Berichterstellung ein. Gewährt dem Mitglied die Möglichkeit, eine benutzerdefinierte Benutzerrolle mit delegiertem Administrator bzw. delegierter Administratorin als Basisprofil zu erstellen. |
Definieren von Bereichen mithilfe von Operations Manager-Gruppen
Der Bereich einer Benutzerrolle bestimmt die Objekte, die die Benutzerrolle in System Center – Operations Manager anzeigen und bearbeiten kann. Ein Bereich besteht aus mindestens einer Operations Manager-Gruppe und wird beim Erstellen einer Benutzerrolle im Rahmen des Assistenten zum Erstellen von Benutzerrollen definiert. Die Seite Gruppenbereich im Assistenten zum Erstellen von Benutzerrollen enthält eine Liste aller vorhandenen Operations Manager-Gruppen. Sie können alle oder einige dieser Gruppen als Bereich der Benutzerrolle auswählen, die Sie erstellen.
Gruppen werden wie andere Operations Manager-Objekte in Management Packs definiert. In Operations Manager handelt es sich bei Gruppen um logische Sammlungen von Objekten, z. B Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server. Mehrere Gruppen werden von den Management Packs erstellt, die automatisch während einer Operations Manager-Installation importiert werden. Wenn diese Gruppen nicht die überwachten Objekte enthalten, die Sie für einen Bereich benötigen, können Sie eine Gruppe erstellen, die dies tut. Dazu müssen Sie den Assistenten zum Erstellen von Benutzerrollenbeenden, zum Arbeitsbereich Überwachung wechseln und den Gruppenerstellungs-Assistenten verwenden, um eine Gruppe zu erstellen, die besser zu Ihren Anforderungen passt.
Zuweisen von Tasks, Dashboards und Ansichten
Bei einem Task handelt es sich um eine Aktion, die von einem Benutzer in der Betriebskonsole gestartet und auf einem Operations Manager-Agent oder auf dem System ausgeführt wird, auf dem die Betriebskonsole gestartet wurde. Aufgaben, die Sie einer Benutzerrolle gewähren, die Sie erstellen, können diese spezifischen Befehle oder Aktionen für die benutzerrolle ausführen, die Sie erstellen. Standardmäßig können alle Benutzer der Benutzerrolle alle Tasks ausführen und alle Dashboards und Ansichten öffnen, sofern es für ihr Profil und ihren Bereich zulässig ist. Die Alternative auf der Seite Aufgaben des Assistenten zum Erstellen von Benutzerrollen besteht darin, die spezifischen Aufgaben aufzulisten, auf die die von Ihnen erstellte Benutzerregel zugreifen kann. Auf der Seite Dashboards und Ansichten erstellen von Benutzerrollen wird ebenfalls angegeben, auf welche Dashboards und Ansichten sowie auf welche spezifischen Dashboards zugegriffen werden kann, auf die über den Aufgabenbereich zugegriffen werden kann.
Zuweisen von Mitgliedern zu integrierten Benutzerrollen
Operations Manager bietet acht standardmäßige Benutzerrollen, die beim Setup erstellt werden. Sie können diesen integrierten Benutzerrollen Gruppen und einzelne Benutzer zuweisen, damit diese bestimmte Aufgaben ausführen und auf bestimmte Informationen zugreifen können. Für diese integrierten Rollen gilt der globale Bereich für die Verwaltungsgruppe.
Um den Bereich für einen Benutzer einzuschränken, erstellen Sie eine neue Benutzerrolle.
Zuweisen von Mitgliedern zu integrierten Benutzerrollen
Wählen Sie in der Betriebskonsole die Option Verwaltung aus.
Wählen Sie unter Sicherheitdie Option Benutzerrollen aus.
Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf eine der Benutzerrollen, z. B . Operations Manager-Operatoren, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Allgemeine Eigenschaften unter Benutzerrollenmitgliederdie Option Hinzufügen aus.
Geben Sie unter Geben Sie die zu wählenden Objektnamen ein, geben Sie den Namen des Benutzer- oder Gruppenkontos ein, das Sie der Benutzerrolle hinzufügen möchten, und wählen Sie dann OK aus, um das Dialogfeld zu schließen.
Wählen Sie OK aus, um die Eigenschaften für die Benutzerrolle zu schließen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für