Verwalten Service Manager Benutzerrollen
Wichtig
Diese Version von Service Manager das Ende des Supports erreicht hat, wird empfohlen, ein Upgrade auf Service Manager 2019durchzuführen.
Dieser Abschnitt enthält eine Übersicht über Benutzerrollen in der Liste der Benutzerrollenprofile in Service Manager. sowie Verfahren für die Arbeit mit Benutzerrollen.
Informationen zu Benutzerrollen
In Ihrer Organisation tragen einige Mitarbeiter die Verantwortung für den Hardwaresupport (z. B. portable Computer und Server). Einige diese Mitarbeiter sind berechtigt, Konfigurationselemente zu erstellen und zu aktualisieren aber nicht zu löschen, während andere Mitarbeiter alle diese Funktionen ausführen dürfen.
In der Liste der Benutzerrollenprofile in Service Managerwerden die Sicherheitsrechte, mit denen Benutzer auf Informationen zugreifen oder diese aktualisieren können, in einem Benutzerrollenprofil definiert. Ein Benutzerrollenprofil ist eine benannte Sammlung von Zugriffsrechten und entspricht in der Regel den geschäftlichen Zuständigkeiten eines Mitarbeiters. Mit jedem Benutzerrollenprofil wird der Zugriff auf solche Artefakte wie Wissensdatenbankartikel, Arbeitselemente (Incidents, Change Requests), Konfiguration, Administration und andere Anmeldeinformationen gesteuert. Stellen Sie sich Benutzerrollenprofile als eine Definition Ihrer Befugnisse vor.
Vielleicht beschließen die Vorgesetzten in Ihrer Organisation in Zukunft, die für die Wartung der Konfigurationselemente verantwortliche Mitarbeitergruppe in zwei Gruppen auszuteilen: eine Gruppe soll für die Konfigurationselemente von Desktopcomputern zuständig sein, während die andere die Verantwortung für die Konfigurationselemente von tragbaren Computern erhält. Sie möchten diese zwei Benutzerrollenprofile beibehalten: ein Profil zum Erstellen und Bearbeiten von Konfigurationselementen, nicht aber zum Löschen, sowie ein zweites Profil, in dem alle drei Funktionen genehmigt werden. Sie würden diese Benutzerrollenprofile mit unterschiedlichen Bereichen definieren, einen für Desktops und einen für portable Computer. Wenn ein Benutzerrollenprofil mit einer Definition Ihrer Befugnisse gleichzusetzen ist, stellen Sie sich Bereiche als eine Definition der Elemente vor, die Sie verändern dürfen. Die Kombination aus Benutzerrollenprofil und Bereich wird als Benutzerrolle bezeichnet.
Grundlegendes zu Benutzerrollen
Wenn Sie in Service Manager auf Verwaltungklicken, sicherheiterweitern und dann auf Benutzerrollenklicken, wird im Bereich Benutzerrollen eine Liste der Benutzerrollen angezeigt. Jede diese Benutzerrollen ist mit einem Benutzerrollenprofil und einem undefinierten Bereich konfiguriert. Da der Bereich für diese Benutzerrollen undefiniert ist, gelten die Benutzerprofile für alle Management Packs, Warteschlangen, Gruppen, Tasks, Ansichten und Formularvorlagen. In der nachstehenden Tabelle werden die Standardbenutzerrollen, die zugehörigen Benutzerrollenprofile und der Bereich aufgeführt.
| Benutzerrolle | Benutzerrollenprofil | `Scope` |
|---|---|---|
| Ausführende der Aktivität | Ausführender der Aktivität | Global |
| Administratoren | Administrator | Global |
| Erweiterte Operatoren | Erweiterter Operator | Global |
| Änderungsinitiatoren | Changeinitiator | Global |
| Endbenutzer | Endbenutzer | Global |
| Schreibgeschützte Operatoren | Schreibgeschützter Operator | Global |
| Authors | Autor | Global |
| Problemanalytiker | Problemanalytiker | Global |
| Workflows | Workflow | Global |
| Incidentkonfliktlöser | Incidentbearbeiter | Global |
| Changemanager | Changemanager | Global |
| Berichtsbenutzer | Berichtsbenutzer | Global |
| Versions-Manager | Versions-Manager | Global |
| Service Request-Analytiker | Service Request-Analytiker | Global |
Hinweis
Die Benutzerrolle Service Manager Berichtsbenutzer ist erst verfügbar, nachdem Sie sich beim Service Manager Data Warehouse registriert haben und nachdem die Data Warehouse Navigationsschaltfläche verfügbar ist. Um die Benutzerrolle Service Manager Berichtsbenutzer anzuzeigen, klicken Sie auf Data Warehouse, erweitern Sie Sicherheit, und klicken Sie dann auf Benutzerrollen.
Beispiel
Angenommen, Sie möchten eine Sicherheitszugriffsmöglichkeit definieren, mit der die Benutzer Konfigurationselemente erstellen und bearbeiten, nicht aber löschen dürfen, sowie eine zweite Sicherheitszugriffsmöglichkeit, mit der die Benutzer Zugriff auf alle drei Funktionen erhalten. In Anhang A am Ende dieses Handbuchs finden Sie eine Auflistung der Benutzerrollenprofile und der verknüpften Artefakte. In der nachfolgenden Tabelle wird die Beziehung zwischen Benutzerrollenprofilen und Konfigurationselementen beschrieben.
| Benutzerrollenprofil | Erstellen von Konfigurationselementen | Aktualisieren von Konfigurationselementen | Löschen von Konfigurationselementen |
|---|---|---|---|
| Berichtsbenutzer | Nein | Nein | Nein |
| Endbenutzer | Nein | Nein | Nein |
| Schreibgeschützter Operator | Nein | Nein | Nein |
| Ausführender der Aktivität | Nein | Nein | Nein |
| Changeinitiator | Nein | Nein | Nein |
| Incidentbearbeiter | Nein | Nein | Nein |
| Problemanalytiker | Nein | Nein | Nein |
| Changemanager | Nein | Nein | Nein |
| Erweiterter Operator | Ja | Ja | Nein |
| Autor | Ja | Ja | Nein |
| Workflow | Ja | Ja | Nein |
| Administrator | Ja | Ja | Ja |
Wenn Sie die oben stehende Tabelle konsultieren, können Sie erkennen, dass Benutzer mit dem Benutzerrollenprofil „Erweiterte Operatoren“ Konfigurationselemente erstellen und aktualisieren, aber nicht löschen können. Mit dem Benutzerrollenprofil „Administratoren“ sind Benutzer berechtigt, Konfigurationselemente zu erstellen, zu aktualisieren und zu löschen. Die Mitglieder des Ressourcenverwaltungsteams, die Konfigurationselemente erstellen und aktualisieren, aber nicht löschen dürfen, werden zu Mitgliedern des vordefinierten profils Service Manager Erweiterter Operatoren. Die Mitglieder des Asset Management-Teams, die Konfigurationselemente erstellen, aktualisieren und löschen dürfen, werden zu Mitgliedern des vordefinierten Profils „Administratoren“ gemacht.
Gehen Sie im Sinne bewährter Methoden davon aus, dass sich das Asset Management-Team in Hinblick auf seine Mitglieder ändern kann. Sie sollten in Active Directory-Domänendiensten (AD DS) zwei Gruppen erstellen und diese den Profilen „Erweiterte Operatoren“ und „Administratoren“ zuordnen. Wenn sich dann Mitglieder ändern, werden Benutzer der Active Directory-Gruppe hinzugefügt und daraus entfernt, und es müssen keine Änderungen in Service Manager vorgenommen werden.
Wenn Sie das Asset Management-Team zukünftig in zwei Gruppen aufteilen möchten, eine für Desktops und die andere für Laptops, erstellen Sie eigene Benutzerrollen, indem Sie dieselben Benutzerrollenprofile, jedoch mit unterschiedlichen Bereichen erstellen.
Warum einige Benutzerrollen nicht erstellt werden können
Beim Erstellen einer Benutzerrolle werden Sie feststellen, dass drei Benutzerrollen nicht verfügbar sind: „Administrator“, „Benutzer“ und „Workflows“. Diese drei Benutzerrollen werden während des Setups erstellt und aufgefüllt. Im Allgemeinen werden diese Benutzerrollen von Service Manager verwendet. In den nachstehenden Abschnitten werden diese Rollen jeweils separat beschrieben.
Administrator
Der Bereich in der Benutzerrolle Administrator ist als global definiert; es besteht daher kein Grund für das Erstellen einer weiteren Benutzerrolle dieses Typs.
Berichtsbenutzer
Die Benutzerrolle Berichtsbenutzer hat einen Zweck in Service Manager: den Computer zu finden, der Microsoft SQL Server Reporting Services (SSRS) für den Benutzer in einer Service Manager-Konsole hostet. Wenn ein Benutzer in einer Service Manager-Konsole versucht, einen Bericht auszuführen, wird eine Abfrage an den Service Manager-Verwaltungsserver durchgeführt, der den Computer sucht, der den Data Warehouse-Verwaltungsserver hostet. Die Service Manager-Konsole fragt dann den Data Warehouse-Verwaltungsserver ab und sucht nach dem Namen des Computers, der SSRS hostet. Mit diesen Informationen stellt die Service Manager-Konsole eine Verbindung mit SSRS her. Der einzige Zweck der Benutzerrolle "Berichtsbenutzer" liegt in der Ausführung dieser Abfragen. Nachdem die Service Manager-Konsole eine Verbindung mit dem SSRS hergestellt hat, gewähren die Anmeldeinformationen des Benutzers, der die Konsole ausführt, Zugriff, wie in SSRS definiert. Aufgrund des sehr eingeschränkten Zwecks dieser Benutzerrolle besteht kein Grund eine weitere Benutzerrolle zu erstellen.
Workflows
Workflows müssen möglicherweise lese- und schreibzugriffen auf die Service Manager Datenbank. Während des Setups werden Sie aufgefordert, Anmeldeinformationen für die Benutzerrolle Workflows anzugeben, und diese Benutzerrolle führt die erforderlichen Aktionen für die Service Manager-Datenbank aus. Wie bei der Benutzerrolle "Berichtsbenutzer" wird das Erstellen weiterer Benutzerrollen dieser Art bedingt durch den eingeschränkten Zweck überflüssig.
Ein Mitglied zu einer Benutzerrolle hinzufügen
In Service Manager können Sie Benutzer einer Benutzerrolle zuweisen, um zu definieren, was sie tun können.
In diesem Beispiel fügen Sie Mitglieder eines Asset Management-Teams, die Konfigurationselemente erstellen und aktualisieren, nicht aber löschen dürfen, zu einer Benutzerrolle hinzu. Wenn Sie sich den Abschnitt Konfigurationselemente der Benutzerrollenprofile in Service Manageransehen, sehen Sie, dass das Benutzerrollenprofil "Erweiterte Operatoren" die erforderlichen Berechtigungen für dieses Team bereitstellt. Zum aktuellen Zeitpunkt sind alle Mitglieder des Asset Management-Teams verantwortlich für alle Bestandsgüter, sodass für sie ein uneingeschränkter Bereich erforderlich ist.
Verwenden Sie die folgenden Verfahren, um der Benutzerrolle Service Manager Erweiterte Operatoren einen Benutzer hinzuzufügen und dann die Zuweisung des Benutzers zur Benutzerrolle zu überprüfen.
So weisen Sie einem Benutzer eine Benutzerrolle zu
Klicken Sie in der Service Manager-Konsole auf Verwaltung.
Erweitern Sie im Bereich Verwaltung das Element Sicherheit, und klicken Sie dann auf Benutzerrollen.
Doppelklicken Sie im Bereich Benutzerrollen auf Erweiterte Operatoren.
Klicken Sie im Dialogfeld Benutzerrolle bearbeiten auf Benutzer.
Klicken Sie auf der Seite Benutzer auf Hinzufügen.
Geben Sie im Dialogfeld Benutzer oder Gruppe auswählen den Namen des Benutzers oder der Gruppen ein, der bzw. die dieser Benutzerrolle hinzugefügt werden soll. Klicken Sie auf Namen überprüfenund anschließend auf OK.
Klicken Sie im Dialogfeld Benutzerrolle bearbeiten auf OK.
So überprüfen Sie die Zuweisung eines Benutzers zu einer Benutzerrolle
- Melden Sie sich bei der Service Manager-Konsole als einer der Benutzer an, der der Benutzerrolle zugewiesen ist. Vergewissern Sie sich, dass Sie keinen Zugriff auf Daten erhalten, für die in den angegebenen Benutzerrollen keine Zugriffsrechte zugewiesen wurden.
Sie können einen Windows PowerShell Befehl verwenden, um Benutzer anzuzeigen. Informationen zur Verwendung von Windows PowerShell zum Abrufen von Benutzern, die in Service Manager definiert sind, finden Sie unter Get-SCSMUser.
Eine Benutzerrolle erstellen
Verwenden Sie die folgenden Verfahren, um eine Benutzerrolle zu erstellen und dieser Rolle in Service Manager Benutzer zuzuweisen und dann die Erstellung der Benutzerrolle zu überprüfen.
So erstellen Sie eine Benutzerrolle
Wählen Sie in der Service Manager-Konsole Verwaltungaus.
Erweitern Sie im Bereich Verwaltung das Element Sicherheit, und klicken Sie dann auf Benutzerrollen.
Wählen Sie im Bereich Tasks unter Benutzerrollendie Option Benutzerrolle erstellenaus. Wählen Sie dann das Benutzerrollenprofil (z. B. Autor) aus, das Sie für diese Benutzerrolle verwenden möchten.
Führen Sie den Assistenten zum Erstellen von Benutzerrollen folgendermaßen aus:
Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
Geben Sie auf der Seite Allgemein einen Namen und eine Beschreibung für diese Benutzerrolle ein, und klicken Sie dann auf Weiter.
Beginnen Sie auf der Seite Management Packs mit der Filterung des Datenbereichs, für den Sie einen Zugriff zuweisen möchten. Wählen Sie die Management Packs aus, in denen die Daten für den gewünschten Zugriff enthalten sind, beispielsweise das Management Pack Incident Management-Bibliothek. Klicken Sie auf Weiter.
Auf den folgenden Seiten werden alle Warteschlangen, Gruppen, Tasks, Ansichten und Formularvorlagen der angegebenen Management Packs angezeigt, die für die angegebene Benutzerrolle zur Verfügung stehen. Auf diesen Seiten können Sie bestimmte Elemente auswählen und so die Daten für den zuzuweisenen Zugriff weiter eingrenzen.
Wichtig
Die Gruppen und die Warteschlangenlisten werden nicht gefiltert. Alle Gruppen und Warteschlangen aus allen Management Packs werden aufgelistet. Wenn Sie auf der Seite Warteschlangen die Option Alle Warteschlangen auswählen wählen, wird auf der Seite Gruppen die Option Alle Warteschlangen auswählen automatisch ausgewählt. Standardmäßig werden keine Gruppen erstellt. Wenn Sie den Bereich über Gruppen begrenzen möchten, müssen Sie eine Gruppe erstellen.
Klicken Sie auf der Seite Benutzer auf Hinzufügen, und wählen Sie im Dialogfeld Benutzer oder Gruppen auswählen die Benutzer und Benutzergruppen aus den Active Directory-Domänendiensten für diese Benutzerrolle aus. Klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Zusammenfassung Ihre Einstellungen, und klicken Sie auf Erstellen.
Prüfen Sie, ob auf der Seite Abschluss des Vorgangs die Meldung Die Benutzerrolle wurde erfolgreich erstellt angezeigt wird, und klicken Sie dann auf Schließen.
So überprüfen Sie die Erstellung einer Benutzerrolle
Überprüfen Sie in der Service Manager-Konsole, ob die neu erstellte Benutzerrolle im mittleren Bereich angezeigt wird.
Melden Sie sich bei der Service Manager-Konsole als einer der Benutzer an, der der Benutzerrolle zugewiesen ist. Stellen Sie sicher, dass Sie keinen Zugriff auf Daten erhalten, für die in der angegebenen Benutzerrolle keine Zugriffsrechte zugewiesen wurden.
Zur Ausführung dieser Schritte und verwandter Aufgaben können Sie Windows PowerShell-Befehle verwenden:
Informationen zur Verwendung von Windows PowerShell zum Erstellen einer neuen Benutzerrolle in Service Manager sie unter New-SCSMUserRole.
Informationen zur Verwendung von Windows PowerShell zum Abrufen von Benutzerrollen, die in Service Manager definiert sind, finden Sie unter Get-SCSMUserRole.
Informationen zur Verwendung von Windows PowerShell zum Festlegen der UserRole-Eigenschaft für einen Service Manager-Benutzer finden Sie unter Update-SCSMUserRole.
Informationen zur Verwendung von Windows PowerShell, um eine Benutzerrolle aus Service Manager entfernen, finden Sie unter Remove-SCSMUserRole.
Nächste Schritte
- Verwalten Sie run as accounts for password security requirements, password expiration, and user name changes (Verwalten von ausführungsbegründenden Konten für Kennwortsicherheitsanforderungen, Kennwortablauf und Benutzernamenänderungen).