Benutzer

Die Benutzerverwaltung wird im Abschnitt Admin der ERA-Web-Konsole ausgeführt.

Neues Sicherheitsmodell in ESET Remote Administrator 6.5

Mit ESET Remote Administrator 6.5 haben wir ein verbessertes Sicherheitsmodell für Benutzer und Berechtigungen eingeführt. Für dieses Modell gelten die folgenden Grundprinzipien:

Jeder Benutzer hat eine Stammgruppe.

Jedes von einem Benutzer erstellte Objekt (Gerät, Task, Template usw.) wird automatisch in der Stammgruppe des Benutzers gespeichert.

Berechtigungssätze werden nur auf Objekte in definierten Gruppen angewendet. Diese statischen Gruppen werden beim Erstellen oder Bearbeiten eines Berechtigungssatzes im Bereich icon_section statische Gruppen festgelegt.

Jedem Benutzer können mehrere Berechtigungssätze zugewiesen werden. Dies ist die bevorzugte Methode für die Zugriffserteilung auf Objekte.

Ein Benutzer mit der Stammgruppe Alle und dem vollständigen Berechtigungssatz für diese Gruppe ist tatsächlich ein Administrator.

Objekte werden in statischen Gruppen abgelegt, und der Zugriff auf Objekte ist immer an Gruppen gebunden, nicht an Benutzer (auf diese Weise sind Benutzer ersetzbar, z. B. wenn ein Benutzer im Urlaub ist). Ausnahmen sind Server-Tasks und Benachrichtigungen, die das Konzept eines „ausführenden“ Benutzers verwenden.

Zugriffsgruppenfilter

access_group

Mit der Filterschaltfläche für Zugriffsgruppen können Sie eine statische Gruppe auswählen und angezeigte Objekte nach der übergeordneten Gruppe filtern.

light-bulbBEISPIEL: Lösung für Zweigstellen-Admins

In einem Unternehmen mit zwei Niederlassungen jeweils mit lokalen Administratoren benötigen die Administratoren Berechtigungssätze für unterschiedliche Gruppen.

Angenommen, wir haben die Admins John in San Diego und Larry in Sydney. Beide Administratoren müssen nur ihre eigenen lokalen Computer verwalten und Dashboard, Policies, Berichte und dynamische Gruppen-Templates mit ihren Computern verwenden. Der Hauptadministrator muss die folgenden Schritte ausführen:

1.Neue statische Gruppen erstellen: Niederlassung San Diego, Niederlassung Sydney.

2.Neue Berechtigungssätze erstellen:

a.Ein Berechtigungssatz mit dem Namen Berechtigungssatz Sydney mit der statischen Gruppe Niederlassung Sydney und mit vollständigen Zugriffsberechtigungen (Ausnahme: Servereinstellungen).

b.Ein Berechtigungssatz mit dem Namen Berechtigungssatz San Diego mit der statischen Gruppe Niederlassung San Diego und mit vollständigen Zugriffsberechtigungen (Ausnahme: Servereinstellungen).

c.Ein Berechtigungssatz mit dem Namen Alle Gruppen / Dashboard mit der statischen Gruppe Alle und den folgenden Berechtigungen:

Lesen für Client-Tasks

Ausführen für dynamische Gruppen-Templates

Ausführen für Berichte und Dashboard

Ausführen für Policies

Ausführen für E-Mail senden

Ausführen für SNMP-Trap senden

Ausführen für Bericht in Datei exportieren

Ausführen für Lizenzen

Schreiben für Benachrichtigungen

3.Neuer Benutzer John mit der Stammgruppe Niederlassung San Diego und den Berechtigungssätzen Berechtigungssatz San Diego und Alle Gruppen / Dashboard.

4.Neuer Benutzer Larry mit der Stammgruppe Niederlassung Sydney und den Berechtigungssätzen Berechtigungssatz Sydney und Alle Gruppen / Dashboard.

Mit diesen Berechtigungen können John und Larry dieselben Tasks, Policies, Berichte, Dashboards und dynamische Gruppen-Templates ohne Einschränkungen verwenden, allerdings hat jeder Benutzer nur Zugriff auf Templates für Computer in seiner jeweiligen Stammgruppe.

Domänen-Sicherheitsgruppen

Zur einfacheren Arbeit mit Active Directory kann Benutzern aus Domänen-Sicherheitsgruppen die Anmeldung bei ERA erlaubt werden. Diese Benutzer können parallel zu den systemeigenen ERA-Benutzern existieren, allerdings werden die Berechtigungssätze auf Ebene der Active Directory-Sicherheitsgruppe festgelegt, und nicht wie bei Systembenutzern für den einzelnen Benutzer.

Freigeben von Objekten

Wenn ein Administrator Objekte wie dynamische Gruppen-Templates, Bericht-Templates oder Policies freigeben möchte, stehen die folgenden Optionen zur Verfügung:

Verschieben der Objekte in freigegebene Gruppen

Duplizieren der Objekte und Verschieben der Duplikate in statische Gruppen, wo sie für andere Benutzer verfügbar sind (siehe Beispiel unten)

light-bulbBEISPIEL: Freigabe per Duplikation

Ein Benutzer benötigt Leseberechtigungen für das Ursprungsobjekt und Schreibberechtigungen in seiner Stammgruppe, um Objekte duplizieren zu können.

Ein Administrator mit der Stammgruppe Alle, möchte ein bestimmtes Template für den Benutzer John freigeben. Das Template wurde ursprünglich vom Administrator erstellt und ist daher in der Grupe Alle enthalten. Der Administrator führt die folgenden Schritte aus:

1.Navigieren Sie zu Admin > Templates für dynamische Gruppen.

2.Wählen Sie das Spezial-Template aus und klicken Sie auf Duplizieren. Geben Sie optional einen Namen und eine Beschreibung ein und klicken Sie auf Fertig stellen.

3.Das duplizierte Template wird in der Gruppe Alle abgelegt, der Stammgruppe des Administrators.

4.Navigieren Sie zu Admin > Templates für dynamische Gruppen. Wählen Sie das duplizierte Template aus, klicken Sie auf move_defaultZugriffsgruppe > move_default Verschieben und wählen Sie die statische Zielgruppe aus (in der John Berechtigungen hat). Klicken Sie auf OK.

 

Freigeben von Objekten für andere Benutzer über freigegebene Gruppen

Das folgende Schema hilft Ihnen, sich mit dem neuen Sicherheitsmodell vertraut zu machen. Ein Administrator hat zwei Benutzer erstellt. Jeder Benutzer hat eine eigene Stammgruppe mit den von ihm erstellten Objekten. Der Berechtigungssatz San Diego erteilt John die Berechtigung, Objekte in seiner Stammgruppe zu bearbeiten. Larry ist in einer ähnlichen Situation. Wenn diese Benutzer Objekte (z. B. Computer) miteinander teilen möchten, sollten diese Objekte in eine freigegebene Gruppe (eine statische Gruppe) verschoben werden. Beide Benutzer müssen den freigegebenen Berechtigungssatz erhalten, der die freigegebene Gruppe im Bereich icon_section statische Gruppen enthält.

security_model

 

icon_details_hoverHINWEIS

Bei einer ERA-Neuinstallation ist nur das Benutzerkonto Administrator (Systembenutzer mit Stammgruppe Alle) vorhanden.

Beschreibung der ERA-Zugriffsrechte im logischen Modell (Zum Erweitern anklicken)