Rechtezuordnung für zwei unterschiedliche IT-Abteilungen



  • Hallo zusammen,

    wir versuchen gerade eine kleine Berechtigungsstruktur aufzubauen.

    Grundlage sind zwei IT-Abteilungen X und Y an zwei Standorten A und B.
    Jede Abteilung soll jeweils nur ihre Geräte in ihrem Standort anlegen, bearbeiten und löschen dürfen.
    Außerdem soll aber jede IT-Abteilung alle Geräte aus allen Standorten sehen dürfen.

    Zwei Mandanten kommen daher nicht in Frage.

    Wie kann ich den Mitarbeitern aus X hier die richtigen Rechte zuweisen?

    Unser Test bisher:
    Im Rechtesystem haben wir für die CMDB daher testweise folgende Rechte hinterlegt:

    • Objekte vom Typ "Alle": Erstellen und Anzeigen –- damit Objekte generell angelegt werden können

    • Objekte unterhalb einer Lokation "Standort A": Anzeigen und Bearbeiten

    • Kategorie "Alle": Anzeigen

    • Kategorie in Objekten unterhalb eines Standortes "Alle in Standort A": Alle Rechte

    • Kategorie in von mir erstellten Objekten "Übersichtsseite": Anlegen, Anzeigen und Bearbeiten

    Damit kann ein Mitarbeiter von X zwar alle Objekte am Standort A bearbeiten und Objekte an Standort B nicht, archivieren oder löschen kann er jedoch keine Objekte und das Rechtesystem lässt im zweiten Recht (Objekte unterhalb einer Lokation…) keine weiteren Rechte (Ändern, Archivieren, ...) zu.

    Hat vielleicht jemand weitere Ideen?

    Vielen Dank im Voraus.
    Daniel



  • Wir haben eine Lösung gefunden - so richtig erschließt sich die Rechteverwaltung hier aber nicht:

    • Objekt(e) vom Typ "Alle": Erstellen und Anzeigen

    • Kategorie in Objekte unterhalb eines Standortes "Alle in Standort A": Erstellen, Anzeigen, Bearbeiten, Archivieren, Löschen, Ausführen

    • Kategorie "Alle": Anzeigen

    • Kategorie(n) in von mir erstellten Objekten: Erstellen und Bearbeiten

    • Objekte unterhalb einer Lokation "Standort A": Anzeigen und Bearbeiten (mehr ist nicht auswählbar)

    • Standortsicht: Anzeigen

    Gemäß Wiki zur CMDB Rechteverwaltung sollten aber bei "Objekte unterhalb einer Lokation" bzw. "Objekte unterhalb eines Standorts" alle Rechte zuweisbar sein (auch Bearbeiten, Archivieren, Löschen, usw.), im i-doit 1.9 geht das aber nicht.



  • Funktioniert bei mir leider nicht. Bin auf der Version 1.9Pro v2. Habe alle Berechtigungen so gesetzt, der Benutzer kann aber nichts erstellen….


  • administrators

    Hallo,

    lösch mal unter den Systemtools den Rechte-Cache und den Browser-Cache. Das wird vermutlich helfen.

    Ich beschreibe die richtige Kombination hier nochmal, das kommt beizeiten dann auch in die Knowledgebase.

    Dies ist die Kombination, die ein Benutzer nutzen muss, um die entsprechenden Rechte zu vergeben. Dazu gehören:

    • Rechte unterhalb eine Lokation (Damit bekommt er Rechte auf die bestehenden Objekte dort)
    • Kategorien in Objekten unterhalb eines Standortes (Damit bekommt er Rechte auf die Kategorien in bestehenden Objekte dort)
    • Erstellen Recht auf Objekte vom Typ (Damit kann er neue Objekte vom Typ XYZ erstellen)
    • Kategorien in von mir erstellten Objekten (Damit kann er selbst erstellte Objekte bearbeiten bzw. diese in den richtigen Standort verschieben)

    Zusätzlich müssen erweiterte Systemeinstellungen (Experteneinstellungen) gesetzt werden, damit die Rechte auch in CMDB-Explorer und Standortbrowser greifen:
    auth.use-in-cmdb-explorer
    auth.use-in-object-browser
    auth.use-in-location-tree

    Nachzulesen hier.

    Nach dem setzen solcher umfangreichen Rechte bitte sicherheitshalber immer manuell den Rechte-Cache löschen in den Systemtools. Auch der Browser Cache sollte gelöscht werden.

    screenshot-1.png


 


Datenschutz / Privacy Policy