Berechtigungen auf Server für unterschiedliche Fachbereiche



  • Hallo zusammen,

    das ist mein erster Post in diesem Forum. Wir sind aktuell am Überlegen i-doit für unsere IT-Dokumentation (mit Fokus auf Assets und die Abbildung des Servicekatalogs) einzuführen. Bislang sind wir recht angetan von dem Produkt, vor allem aufgrund der Flexibilität und durchdachten Logik. Wir hängen allerdings gerade etwas beim Rechtesystem und ich hoffe hier im Forum den entscheidenden Tipp zu bekommen 😉

    Folgende Situation:

    • Wir wollen in einem Mandanten alle Assets und Services unseres Unternehmens inklusive unserer Tochterunternehmen abbilden
    • Bislang war die Idee, dies über den Standort-Pfad zu machen, d.h. die Server aller Unternehmen sind als Objekt "Server" dokumentiert, jedoch ist direkt unter der Root Location die Organisation aufgehängt (also z.B. Root Location > Firma A > Ort… und Root Location > Firma B > Ort...). Somit könnte ich dann natürlich allen IT-Mitarbeitern von Firma A ermöglichen alle Objekte Server unter Standort-Pfad Firma A und Firma B zu bearbeiten und aber den IT-Mitarbeitern von Firma B (unserer Tochter) nur die Objekte Server unter dem Standort-Pfad Firma B.
    • Soweit so gut. Nun gibt es allerdings bei uns intern in Firma A verschiedene Fachbereiche, die nicht IT sind aber doch Assets/Services bearbeiten können sollen. Wie berichtige ich nun Abteilung XY nun nur einen Teil der Server (z.B. 10 Server der 300) bearbeiten zu können? Meine Hoffnung war, dass ich sagen kann sobald das Team als Kontaktperson für einen Server eingetragen ist soll ein Mitarbeiter des Teams das Asset auch bearbeiten können. Dies habe ich jedoch im Rechtesystem nicht umsetzen können. Über den Standort-Pfad kann ich auch nicht arbeiten, da die Server geografisch am gleichen Ort sind. Ich hatte dann die Hoffnung über eine benutzerdefinierte Kategorie z.B. das Attribut "Verantwortlicher Bereich" zu pflegen, jedoch hab ich auch da keine Möglichkeit gefunden im Rechtesystem sozusagen auf dieses Attribut zu filtern.
      -Meine einzige Idee war nun den logischen Standort zu missbrauchen und dort sozusagen das verantwortliche Team einzutragen.

    Ich würde nun gerne wissen, ob ihr noch bessere Möglichkeiten im Rechtesystem sehr, die ich bislang übersehen habe? Oder ob ihr ähnliche Szenarien habt und wir ihr diese abgebildet habt?

    Würde mich über konstruktive Vorschläge freuen.

    Vielen Dank
    Daniel


  • i-doit Kenner

    Hallo Daniel,

    den von dir geschilderten Umstand höre/lese ich nicht zum ersten Mal. Leider wird es hierzu keine wirklich optimale Lösung geben, denn das Rechtesystem kann nicht anhand von dokumentierten Attributen konfiguriert werden. Ich denke, das würde auch die Performance in großen Umgebungen extrem beeinträchtigen, weshalb das noch nicht eingerichtet wurde.

    Die grundsätzliche Idee, dass Benutzer Objekte sehen dürfen in denen sie selber als Kontaktzuweisung zugewiesen worden sind, ist natürlich super.

    Der einzige Weg, der mir hier gerade einfällt, ist eine direkte Verrechtung von Objekten über das Rechtesystem. Du könntest also definieren, dass bestimmt Personen die zehn Server zusätzlich sehen dürfen. Da das Rechtesystem additiv funktioniert, kannst du das in eine weitere Personengruppe mit einem entsprechenden Namen auslagern. Beispielsweise "Admins für AD-Systeme in Firma B". Diese Gruppe erhalten dann die Benutzer, die drauf zugreifen müssen.

    Lieben Gruß
    Christian


  • administrators

    Hallo Namensvetter,

    die Verrechtung über logische Standorte ist tatsächlich in dem Falle das Mittel der Wahl, eine andere Lösung ist nicht möglich.



  • Hallo Christian und Daniel,

    danke für eure Antworten.

    @Christian:
    Wie genau muss ich mir deinen Vorschlag vorstellen? Meintest du, dass ich bei dem entsprechenden Objekte direkt die Rechte bearbeite und eine zusätzliche Gruppe berechtige? Also so wie ich es verstehe über den "alten Weg" von i-doit?

    @Daniel:
    Ok, dann ist das also wirklich so gedacht und ich "vergewaltige" jetzt nicht etwas, was komplett anders gedacht war? Ich könnte demnach beim logischen Standort eine Personengruppe eintragen und über diese berechtigen, oder?

    Ich fände es natürlich super, wenn es irgendwann möglich wäre über die zugewiesenen Kontakte zu berechtigen. Aber da müssen wir wohl abwarten 😉

    Viele Grüße
    Daniel


  • administrators

    Hallo Daniel,

    nein, du missbrauchst da nichts. Genau für solche Zwecke (Abbildung von Abteilungen etc.) ist der logische Standort gedacht.


  • i-doit Kenner

    Hallo Daniel,

    für den Weg über die Verrechtung über den logischen Standort würde ich mal überprüfen, ob die Verrechtung der Kategorien unterhalb eines Standorts die logischen sowie die physischen Standorte beinhaltet. (siehe angehangenes Bild). Da bin ich mir nämlich gerade nicht sicher. Wenn das geht, ist das vermutlich der bessere Weg.

    Der von mir beschriebene Weg wäre über eine Personengruppe, die über das Modul "CMDB" direkt die Rechte auf Objekte und deren Kategorien erhält. Zugegebenermaßen ein etwas komplizierterer Weg, aber bei einem Sonderfall mit zehn Objekten auch nicht zu umständlich.

    Lieben Gruß
    Christian

    rechte.png


 


Datenschutz / Privacy Policy