Verwalten der Benutzerrollen von Service Manager
Dieser Abschnitt stellt eine Übersicht der Benutzerrollen in Liste der Benutzerrollenprofile in Service Manager bereit. Er enthält Prozeduren, die Sie für die Arbeit mit Benutzerrollen verwenden können.
Informationen zu Benutzerrollen
In Ihrem Unternehmen sind einige Mitarbeitende für den Support von Hardware wie tragbaren Computern und Servern zuständig. Einige Mitarbeitende dürfen Konfigurationselemente erstellen und aktualisieren, aber nicht löschen, während andere Konfigurationselemente erstellen, aktualisieren und löschen dürfen.
In der Liste der Benutzerrollenprofile in Service Manager werden die Sicherheitsrechte, die es den Benutzenden erlauben, auf Informationen zuzugreifen oder diese zu aktualisieren, in einem Benutzerrollenprofil definiert. Ein Benutzerrollenprofil ist eine benannte Sammlung von Zugriffsrechten und entspricht in der Regel den geschäftlichen Verantwortlichkeiten eines Mitarbeitednen. Jedes Benutzerrollenprofil kontrolliert den Zugriff auf Artefakte wie Wissensartikel, Arbeitselemente (Incidents, Änderungsanforderungen), Erstellung, Verwaltung und andere Anmeldeinformationen. Benutzerrollenprofile definieren, was Sie tun dürfen.
In Zukunft werden die Verantwortlichen in Ihrem Unternehmen vielleicht beschließen, die Gruppe der Mitarbeitenden, die Konfigurationselemente beibehalten, in zwei Gruppen aufzuteilen: diejenigen, die Konfigurationselemente für Desktop-Computer verarbeiten, und diejenigen, die Konfigurationselemente für tragbare Computer verarbeiten. Sie möchten diese beiden Benutzerrollenprofile beibehalten, ein Profil, das Konfigurationselemente erstellen und bearbeiten, aber nicht löschen kann, und ein anderes Profil, das Konfigurationselemente erstellen, bearbeiten und löschen kann. Sie würden diese Benutzerrollenprofile mit unterschiedlichen Geltungsbereichen definieren, eines für Desktops und eines für tragbare Computer. Während Benutzerrollenprofile festlegen, was Sie tun dürfen, definieren Geltungsbereiche die Elemente, die Sie ändern dürfen. Die Kombination aus einem Benutzerrollenprofil und einem Geltungsbereich wird als Benutzerrolle bezeichnet.
Grundlegendes zu Benutzerrollen
Wenn Sie in Service Manager Verwaltung auswählen, Sicherheit erweitern und Benutzerrollen auswählen, wird in einem Bereich Benutzerrollen eine Liste der Benutzerrollen angezeigt. Jede dieser Benutzerrollen wurde mit einem Benutzerrollenprofil und einem unbestimmten Geltungsbereich konfiguriert. Da der Geltungsbereich für diese Benutzerrollen nicht definiert ist, können sie ihre Benutzerprofile auf alle Management Packs, Warteschlangen, Gruppen, Aufgaben, Ansichten und Formularvorlagen anwenden. In der folgenden Tabelle sind die standardmäßigen Benutzerrollen, die ihnen zugeordneten Benutzerrollenprofile und der Geltungsbereich aufgeführt.
| Benutzerrolle | Benutzerrollenprofil | `Scope` |
|---|---|---|
| Aktivitätsimplementierer | Aktivitätsimplementierer | Global |
| Administratoren | Administrator | Global |
| Erweiterte Operatoren | Erweiterter Operator | Global |
| Ändern der Initiatoren | Ändern des Initiatoren | Global |
| Endbenutzende | Endbenutzer | Global |
| Schreibgeschützte Operatoren | Schreibgeschützter Operator | Global |
| Autoren | Autor | Global |
| Problemanalysten | Problemanalyst | Global |
| Workflows | Workflow | Global |
| Incident-Löser | Incident-Löser | Global |
| Change-Manager | Change-Manager | Global |
| Report-Benutzende | Berichts-Benutzender | Global |
| Releaseverwalter | Verwalten von Releases | Global |
| Analysten für Serviceanfragen | Service Request Analyst | Global |
Hinweis
Die Benutzerrolle Berichts-Manager-Benutzender ist nur verfügbar, nachdem Sie sich beim Data Warehouse von Service Manager registriert haben und nachdem die Navigationsschaltfläche Data Warehouse verfügbar ist. Um die Ansicht der Benutzerrolle Berichts-Manager-Benutzender anzuzeigen, wählen Sie Data Warehouse, erweitern Sie Sicherheit und wählen Sie Benutzerrollen.
Beispiel
Nehmen wir an, Sie möchten einen Sicherheitszugang definieren, der es den Benutzenden erlaubt, Konfigurationselemente zu erstellen und zu bearbeiten, aber nicht zu löschen, und einen anderen Sicherheitszugang, der es den Benutzenden erlaubt, Konfigurationselemente zu erstellen, zu bearbeiten und zu löschen. In Anhang A am Ende dieses Leitfadens sind die Benutzerrollenprofile und die ihnen zugeordneten Artefakte aufgeführt. Die folgende Tabelle zeigt die Profile der Benutzerrollen in Bezug auf die Konfigurationselemente.
| Benutzerrollenprofil | Erstellen von Konfigurationselementen | Update der Konfigurationselemente | Löschen von Konfigurationselementen |
|---|---|---|---|
| Berichts-Benutzender | No | Nr. | No |
| Endbenutzer | No | Nr. | No |
| Schreibgeschützter Operator | No | Nr. | No |
| Aktivitätsimplementierer | No | Nr. | No |
| Ändern des Initiatoren | No | Nr. | No |
| Incident-Löser | No | Nr. | No |
| Problemanalyst | No | Nr. | No |
| Change-Manager | No | Nr. | No |
| Erweiterter Operator | Ja | Ja | No |
| Autor | Ja | Ja | No |
| Workflow | Ja | Ja | No |
| Administrator | Ja | Ja | Ja |
Mithilfe der vorherigen Tabelle können Sie sehen, dass das Benutzerrollenprofil „Erweiterte Operatoren" Konfigurationselemente erstellen und aktualisieren, aber nicht löschen kann. Das Benutzerrollenprofil der Administratoren kann Konfigurationselemente erstellen, aktualisieren und löschen. Die Mitglieder des Ressourcenverwaltungsteams, die berechtigt sind, Konfigurationselemente zu erstellen und zu aktualisieren, aber nicht zu löschen, werden zu Mitgliedern des vordefinierten Profils „Service Manager Erweiterte Operatoren“ gemacht. Die Mitglieder des Ressourcenverwaltungsteams, die Konfigurationselemente erstellen, bearbeiten und löschen dürfen, werden zu Mitgliedern des Profils „Administratoren".
Gehen Sie als bewährte Methode davon aus, dass die Mitglieder des Ressourcenverwaltungsteams wechseln könnten. Sie sollten zwei Gruppen in Active Directory Domain Service (AD DS) erstellen und diese Gruppen zu Mitgliedern der Profile „ Erweiterte Operatoren“ und „ Administratoren“ machen. Wenn sich dann die Mitglieder ändern, werden die Benutzenden der Active Directory-Gruppe hinzugefügt und entfernt, ohne dass in Service Manager Änderungen vorgenommen werden müssen.
Wenn Sie das Ressourcenverwaltungsteam in zwei Gruppen aufteilen, eine für Desktops und die andere für Laptops, können Sie in Zukunft eine eigene Benutzerrolle erstellen, indem Sie dieselben Benutzerrollenprofile verwenden, jedoch mit unterschiedlichen Geltungsbereichen.
Warum einige Benutzerrollen nicht erstellt werden können
Wenn Sie eine Benutzerrolle erstellen, beachten Sie, dass drei Benutzerrollen nicht verfügbar sind: Administrator, Berichts-Benutzender und Workflows. Diese drei Benutzerrollen werden während des Setups erstellt und ausgefüllt, und im Allgemeinen werden diese Benutzerrollen von Service Manager verwendet. In den folgenden Abschnitten wird jede dieser Benutzerrollen beschrieben.
Administrator
Die Benutzerrolle „Administrator" hat einen globalen Geltungsbereich, daher gibt es keinen Grund, eine weitere Benutzerrolle dieses Typs zu erstellen.
Berichts-Benutzender
Die Benutzerrolle Berichts-Benutzender hat im Berichts-Manager nur einen Zweck: den Computer zu finden, der die Microsoft SQL Server Reporting Services (SSRS) für den Benutzenden in einer Service Manager-Konsole hostet. Wenn ein Benutzender an einer Service Manager-Konsole versucht, einen Bericht auszuführen, wird eine Anfrage an den Service Manager-Verwaltungsserver gemacht, der den Computer sucht, der den Data Warehouse-Verwaltungsserver hostet. Die Service Manager-Konsole fragt dann den Data Warehouse-Verwaltungsserver ab, um den Namen des Computers zu erfahren, der SSRS hostet. Mit diesen Informationen stellt die Service Manager-Konsole eine Verbindung zu SSRS her. Der einzige Zweck der Benutzerrolle „Berichtsbenutzender“ besteht darin, diese Abfragen durchzuführen. Nachdem die Service Manager-Konsole eine Verbindung zur SSRS hergestellt hat, gewähren die Anmeldeinformationen des Benutzenden, der die Konsole ausführt, den Zugriff wie in der SSRS definiert. Aufgrund des engen Verwendungszwecks dieser Benutzerrolle gibt es keinen Grund, eine weitere Benutzerrolle einzurichten.
Workflows
Workflows müssen möglicherweise in der Service Manager-Datenbank lesen und schreiben. Während der Einrichtung werden Sie aufgefordert, Anmeldeinformationen für die Benutzerrolle „Workflows" bereitzustellen. Diese Benutzerrolle führt die erforderlichen Aktionen in der Service Manager-Datenbank aus. Wie bei der Benutzerrolle „Berichts-Benutzender" gibt es auch bei der Benutzerrolle „Workflow" aufgrund des engen Verwendungszwecks keinen Grund, weitere Benutzerrollen einzurichten.
Hinzufügen eines Mitglieds zu einer Benutzerrolle
In Service Manager können Sie Benutzende einer Benutzerrolle zuweisen, um zu definieren, was sie tun können.
In diesem Beispiel müssen Sie der Benutzerrolle Mitglieder eines Asset-Management-Teams hinzufügen, die Konfigurationselemente erstellen und aktualisieren, aber nicht löschen können. Wenn Sie sich den Abschnitt Konfigurationselemente der Benutzerrollenprofile in Service Manager ansehen, sehen Sie, dass das Benutzerrollenprofil „Erweiterter Operator" alles bereitstellt, was Sie bezüglich der Berechtigungen für dieses Team benötigen. Zu diesem Zeitpunkt sind alle Mitglieder des Ressourcenverwaltungsteams für alle Anlagen im Unternehmen verantwortlich und benötigen daher einen unbegrenzten Geltungsbereich.
Verwenden Sie die folgenden Prozeduren, um einen Benutzer zur Benutzerrolle „Erweiterter Operator“ des Service Manager hinzuzufügen und anschließend die Zuordnung des Benutzenden zur Benutzerrolle zu validieren.
Zuweisen eines Benutzers zu einer Benutzerrolle
Wählen Sie in der Service Manager-Konsole Verwaltung.
Erweitern Sie im Bereich Verwaltung die Option Sicherheit, und wählen Sie dann Benutzerrollen.
Doppelklicken Sie im Bereich Benutzerrollen auf Erweiterte Operatoren.
Wählen Sie im Dialog Benutzerrolle bearbeiten die Option Benutzer.
Auf der Seite Benutzer wählen Sie Hinzufügen.
Geben Sie im Dialogfeld Benutzende oder Gruppen auswählen den Namen eines Benutzenden oder einer Gruppe ein, den/die Sie zu dieser Benutzerrolle hinzufügen möchten, wählen Sie Namen überprüfen und wählen Sie OK.
Wählen Sie im Dialog Benutzerrolle bearbeiten OK.
Überprüfen der Zuweisung eines Benutzers zu einer Benutzerrolle
- Melden Sie sich an der Service Manager-Konsole als einer der der Benutzerrolle zugewiesenen Benutzenden an. Überprüfen Sie, dass Sie nicht auf Daten zugreifen können, für die Sie keine Zugriffsrechte haben, wie in den Benutzerrollen angegeben.
Sie können einen Windows PowerShell-Befehl zur Ansicht der Benutzenden verwenden. Informationen darüber, wie Sie mithilfe von Windows PowerShell in Service Manager definierte Benutzende erhalten können, finden Sie unter Get-SCSMUser.
Erstellen einer Benutzerrolle
Verwenden Sie die folgenden Prozeduren, um eine Benutzerrolle zu erstellen und dieser Rolle Benutzende in Service Manager zuzuweisen, und validieren Sie anschließend die Erstellung der Benutzerrolle.
Führen Sie die folgenden Schritte aus, um eine Benutzerrolle zu erstellen:
Wählen Sie in der Service Manager-Konsole Verwaltung.
Erweitern Sie im Bereich Verwaltung die Option Sicherheit, und wählen Sie dann Benutzerrollen.
Wählen Sie im Bereich Aufgaben unter Benutzerrollen die Option Benutzerrolle erstellen, und wählen Sie dann das Benutzerrollenprofil aus, das Sie für diese Benutzerrolle verwenden möchten, z. B. Autor.
Schließen Sie den Assistenten für Benutzerrollen ab, indem Sie Folgendes tun:
Wählen Sie auf der Seite Vorbereitung die Option Weiter.
Auf der Seite Allgemein geben Sie einen Namen und eine Beschreibung für diese Benutzerrolle ein und wählen Weiter.
Starten Sie auf der Seite Management Packs, um den Geltungsbereich der Daten zu filtern, auf die Sie Zugriff gewähren möchten. Wählen Sie die Management Packs aus, die die Daten enthalten, auf die Sie zugreifen möchten, z. B. Incident Management-Bibliothek. Wählen Sie Weiter aus.
Auf den folgenden Seiten werden alle Klassen, Warteschlangen, Gruppen, Aufgaben, Ansichten und Formularvorlagen angezeigt, die für die angegebene Benutzerrolle aus den angegebenen Management Packs verfügbar sind. Sie können auf diesen Seiten bestimmte Elemente auswählen, um die Menge der Daten, auf die der Zugriff gewährt wird, weiter einzuschränken.
Wichtig
Die Gruppen- und Warteschlangenlisten werden nicht gefiltert - alle Gruppen und Warteschlangen aus allen Management Packs werden aufgelistet. Wenn Sie das Element Alle Warteschlangen auswählen auf der Seite Warteschlangen auswählen, wird auf der Seite Gruppen automatisch Alle Gruppen auswählen ausgewählt. Darüber hinaus wurden standardmäßig keine Gruppen erstellt. Sie müssen eine Gruppe erstellen, wenn Sie den Geltungsbereich nach Gruppen einschränken wollen.
Wählen Sie auf der Seite Benutzer die Option Hinzufügen, und verwenden Sie den Dialog Benutzende oder Gruppen auswählen, um Benutzende und Benutzergruppen aus Active Directory Domain Service (AD DS) für diese Benutzerrolle auszuwählen, und wählen Sie dann Weiter.
Stellen Sie auf der Seite Zusammenfassung sicher, dass die Einstellungen korrekt sind, und wählen Sie Erstellen.
Vergewissern Sie sich auf der Seite Fertigstellung, dass Die Benutzerrolle wurde erfolgreich erstellt angezeigt wird, und wählen Sie Schließen.
Überprüfen der Erstellung einer Benutzerrolle
Überprüfen Sie in der Service Manager-Konsole, ob die neu erstellte Benutzerrolle im mittleren Bereich erscheint.
Melden Sie sich an der Service Manager-Konsole als einer der der Benutzerrolle zugewiesenen Benutzenden an. Überprüfen Sie, dass Sie nicht auf Daten zugreifen können, für die Sie keine Zugriffsrechte haben, wie in der Benutzerrolle angegeben.
Sie können Windows PowerShell-Befehle verwenden, um diese und andere damit verbundene Aufgaben wie folgt abzuschließen:
Informationen darüber, wie Sie mithilfe von Windows PowerShell eine neue Benutzerrolle in Service Manager erstellen können, finden Sie unter New-SCSMUserRole.
Informationen dazu, wie Sie mit Windows PowerShell Benutzerrollen erhalten, die in Service Manager definiert sind, finden Sie unter Get-SCSMUserRole.
Informationen dazu, wie Sie mithilfe von Windows PowerShell die UserRole-Eigenschaft für einen Benutzender in Service Manager festlegen können, finden Sie unter Update-SCSMUserRole.
Informationen darüber, wie Sie mithilfe von Windows PowerShell eine Benutzerrolle aus dem Service Manager entfernen, finden Sie unter Remove-SCSMUserRole.
Nächste Schritte
- Informationen zu den Anforderungen an die Kontosicherheit, zum Ablauf von Passwörtern und zur Änderung von Benutzernamen finden Sie unter Verwalten von „Ausführen als"-Konten.