Ziel einer CMDB ist es, Daten zentral zu speichern und für alle Nutzerinnen und Nutzer verfügbar zu halten. Doch es gibt auch viele Fälle, in denen nicht alle Anwender Zugriff auf sämtliche Informationen haben sollen. Das betrifft die Mitarbeiterinnen und Mitarbeiter des eigenen Unternehmens ebenso wie externe Dienstleister. In unserem heutigen Anwendungsfall werden wir verschiedene Personengruppen anlegen und diese je nach Aufgabenfeld mit unterschiedlichen Rechten ausstatten.

Das Rechtesystem von i-doit bietet umfangreiche Konfigurationsmöglichkeiten. 

Dadurch ist es möglich, jedem Nutzer gesonderte Rechte zu erteilen, sodass er nur Zugriff auf die Funktionen und Informationen erhält, die er für seine tägliche Arbeit benötigt. Für Abteilungen oder Mitarbeiter mit demselben Aufgabenschwerpunkt lassen sich zudem Gruppen anlegen, um den Administrationsaufwand so gering wie möglich zu halten. 

Grundsätzlich hat ein Administrator Vollzugriff auf alle Einstellungen, Funktionen und Add-ons. Wenn mehrere Administratoren mit der Verwaltung beauftragt werden, kann es sinnvoll sein, diesen Zugriff auf bestimmte Bereiche, Geräte oder Add-ons einzuschränken.

Administration ohne Vollzugriff

Unsere Mitarbeiterin „Paula Oktal“ ist ausschließlich für die Administration von Netzwerken zuständig. Der Zugriff auf buchhalterische Informationen oder Passwörter ist in ihrem Aufgabenbereich nicht notwendig, daher sperren wir diese Kategorien für sie, um Sicherheitsrisiken zu minimieren. Wir erstellen die neue Personengruppe „Network Engineers“ und fügen die Nutzerin „Paula Oktal“ dieser Gruppe hinzu. Im nächsten Schritt geht es nun darum, die Berechtigungen für diese Gruppe zu definieren.

Rechte definieren

Wir konfigurieren, dass Benutzer der Gruppe „Network Engineers“ keine Informationen zur Buchhaltung und zu Passwörtern erhalten, das heißt, die Rechte für diese Kategorien werden ihnen entzogen. Im Administrationsbereich öffnen wir den Menüpunkt Rechtesystem -> Rechtevergabe -> CMDB, wählen unsere erstellte Gruppe aus und laden die Rechte. Zunächst vergeben wir die Standardberechtigungen, damit i-doit grundsätzlich wie gewohnt genutzt werden kann. Im letzten Schritt passen wir die Rechte für Kategorien an, indem wir „Buchhaltung“ und „Passwörter“ entfernen.

Danach leeren wir den Rechtesystem-Cache, damit die Änderungen wirksam werden. Dies erfolgt einfach über den Administrationsbereich unter Systemtools -> Cache / Datenbank im linken Navigationsmenü über den Button „Rechtesystem Cache leeren“.

Der direkte Vergleich zeigt nun, dass die Kategorie „Accounting / Buchhaltung“ nicht mehr für Benutzer der Gruppe „Network Engineer“ verfügbar ist. Administratoren und Gruppen mit entsprechender Berechtigung können diese weiterhin sehen und bearbeiten.

Berechtigungen nach Standort

Wir möchten die Berechtigungen unserer „Network Engineer“-Gruppe weiter einschränken. Unser Unternehmen verfügt über insgesamt neun Niederlassungen weltweit, aber unsere Mitarbeiter sollen in den internationalen Standorten keine Änderungen vornehmen können. Wir müssen also die Zugriffs- und Änderungsrechte auf Deutschland beschränken. 

Zurück im Rechtesystem, wählen wir wieder unsere Gruppe aus und erstellen zwei neue Regeln. Zum einen legen wir fest, dass die Benutzer Zugriff auf die Objekte unterhalb des definierten Standortes erhalten. Und zum anderen sollen sie natürlich auch berechtigt sein, die Kategorien zu öffnen, um die Informationen abfragen zu können.

Zugriff auf Racks und kritische Systeme für unautorisiertes Personal sperren

Serverschränke und die darin enthaltenen Server, Speichersysteme und Geräte bilden meist den Kern der IT-Infrastruktur. Um ein hohes Maß an IT-Sicherheit zu gewährleisten, sollten Informationen über kritische Systeme nur für autorisierte Personen zugänglich sein. Auch diese Rechte können spezifisch vergeben bzw. eingeschränkt werden.

Zugriff in Projekten steuern

Für Projekte, bei denen sensible Kundendaten erfasst werden, können wir die Zugriffsrechte entsprechend anpassen, um die Informationen nur ausgewählten Projektmitarbeitern und Auftraggebern zur Verfügung zu stellen. Externen Mitarbeitern und Dienstleistern geben wir dann bestimmte Informationen frei, ohne ihnen Einsicht in das komplette Projekt zu gewähren. Je nach Berechtigung können diese Personen dann Informationen einsehen oder aktiv mitgestalten bzw. ergänzen und anlegen.

Rechte vergeben und entziehen

Unsere Nutzerin „Paula Oktal“ soll nun ein neues Infrastrukturprojekt unterstützen. Da sie dazu auch Zugriff auf die Passwörter und Daten der Buchhaltung benötigt, weisen wir sie zusätzlich der Benutzergruppe „Administratoren“ zu. Nachdem das Projekt beendet ist, entfernen wir sie wieder aus der Administratoren-Gruppe, sodass sie wieder auf ihre ursprünglichen Rechte zurückgestuft wird.

Damit diese Einschränkungen auch im Objektbrowser, in der Standortansicht und im CMDB-Explorer greifen, müssen wir i-doit entsprechend konfigurieren. Dazu gehen wir in die Einstellungen unter Verwaltung → Systemeinstellungen → Experteneinstellungen und scrollen ans Ende der Liste. Dort haben wir die Möglichkeit, neue Einträge hinzuzufügen.

Wir fügen hier drei weitere Einträge hinzu, um den Zugriff auf Bereiche nach Berechtigung zu aktivieren.

Freischaltung von Add-ons für einzelne Benutzer

Zusätzlich zu den zahlreichen Grundfunktionen kann i-doit auch durch viele Add-ons funktional erweitert werden. Doch nicht immer ist es sinnvoll, diese für alle Nutzer verfügbar zu machen. Daher regulieren wir auch hier wieder den Zugriff über die Gruppenrechte. Wenn ein einzelner Nutzer Zugriff auf eines der Add-ons erhalten soll, können wir ihm das Recht separat zuweisen, ohne Änderungen an seiner zugewiesenen Gruppe vornehmen zu müssen. Dazu öffnen wir die Rechtevergabe und fügen z. B. das Raumplan-Add-on hinzu.

Physische Trennung durch Mandanten-Add-on

Wenn Sie Daten Ihrer Kunden oder Standorte physisch trennen möchten, empfehlen wir Ihnen das Mandanten-Add-on. Hier werden die vorhandenen Daten vollständig getrennt gespeichert und jeder Mandant verfügt über ein eigenes Benutzer- und Rechtesystem. 

Das Rechtesystem, das keine Wünsche offen lässt

Durch das umfangreiche Rechtesystem von i-doit können wir die Berechtigungen von Benutzern und Gruppen individuell konfigurieren. 

Typische Anwendungsfelder sind:

– Sperre von Objekttypen und Kategorien für Benutzer und Gruppen
– Kurzfristige Erteilung oder Entzug von zusätzlichen Rechten für Mitarbeiter
– Steuerung des Zugriff auf Funktionen, Informationen und Add-ons
– Erteilung von Einsicht auf Teile der vorhandenen Dokumentation für externe Dienstleister
– Schutz der Informationen vor unautorisiertem Zugriff
– Organisation der Dokumentation von Projektteams 

Nutzen Sie das Rechtesystem von i-doit für eine unkomplizierte und gezielte Benutzeradministration und erhöhen Sie so die Sicherheit Ihrer IT.

Weitere Informationen zum Rechtesystem finden Sie in der knowledge Base: kb.i-doit.com

Sollten Sie weitere Fragen zu i-doit haben kontaktieren Sie bitte den Vertrieb sales@i-doit.com oder nutzen Sie unser Kontaktformular

War diese Seite hilfreich für Sie?