AdministrationshandbuchBenutzerdefinierte Rollen und Richtlinien › Beschränken des Datenzugriffs für einen Benutzer: Windows-Administrator

Vorheriges Thema: Beispiel: Einem Nicht-Administrator gestatten, Archive zu verwalten

Nächstes Thema: Schritt 1: Erstellen des Benutzers "Windows-Administrator"

Beschränken des Datenzugriffs für einen Benutzer: Windows-Administrator

Sie können die Berichte, die Benutzer anzeigen können, auf Benutzer mit einer festgelegten Kennung beschränken. Außerdem können Sie die Daten, die Benutzer in diesen Berichten anzeigen können, auf Daten beschränken, die von festgelegten Ereignisquellen generiert wurden. Die Beschränkung des Zugriffs auf Berichte mit einer bestimmten Kennung erfolgt über eine Zugriffsrichtlinie. Mit einem Zugriffsfilter hingegen wird der Datenzugriff auf Ereignisse beschränkt, die an einen bestimmten CA Enterprise Log Manager-Server zurückgegeben werden. Wenn ein Zugriffsfilter definiert wurde, ist die Zuweisung einer Rolle optional. Dies bedeutet, dass Sie einen neuen Benutzer erstellen können, ohne ihm eine Rolle zuzuweisen, und den Datenzugriff für diesen Benutzer trotzdem mit einem Zugriffsfilter beschränken können.

Betrachten Sie das Szenario für das Unternehmen ABC mit vier Datenzentren in den Vereinigten Staaten. Der Administrator möchte dem Windows-Administrator in der Region Houston Lesezugriff auf Windows-Ereignisse geben, die vom Domänen-Controller im Bereich Houston verarbeitet werden. Die Windows-Ereignisse, die von dem auf dem Domänen-Controller in Houston installierten CA Enterprise Log Manager-Server verarbeitet werden, werden von Quellen gesendet, bei denen die Hostnamen mit der Zeichenfolge "ABC-HOU-WDC" beginnen.

Dieses Beispiel erläutert Ihnen Schritt für Schritt, wie Sie einen Benutzer "Windows-Administrator" erstellen und dabei sicherstellen, dass dieser Benutzer nur Berichte mit der Kennung "Systemzugriff" anzeigen kann und dass die Daten in diesen Berichten auf Ereignisse von Ereignisquellen mit Hostnamen beschränkt sind, die mit der genannten Benennungskonvention beginnen.

Im Beispiel finden Sie Details zu jedem der folgenden Schritte:

  1. Erstellen Sie den neuen Benutzer "Windows-Administrator".
  2. Gewähren Sie dem Benutzer "Windows-Administrator" grundlegenden Zugriff auf CA Enterprise Log Manager. Fügen Sie diese Identität der CALM-Anwendungszugriffsrichtlinie hinzu.
  3. Beschränken Sie den Zugriff auf Berichte für "Windows-Administrator" auf solche Berichte, die mit "Systemzugriff" gekennzeichnet sind. Erstellen Sie eine Richtlinie zur Bereichsdefinierung mit Lesezugriff auf "AppObject" und mit Filtern, die den EEM-Ordner als Speicherort für Berichte angeben und festlegen, dass "calmTag" mit dem Wert von "Systemzugriff" identisch ist. Testen Sie die Richtlinie.
  4. Beschränken Sie die Daten, die der Benutzer "Windows-Administrator" anzeigen kann, auf die Daten, die vom Domänen-Controller in der Region von "Windows-Administrator" generiert werden. Erstellen Sie einen Zugriffsfilter mit dem Namen "Datenzugriff von Windows-Administrator", der die Abfrage- und Berichtsdaten, die "Windows-Administrator" anzeigen kann, auf Windows-Ereignisse von Ereignisquellen mit einem Hostnamen beschränkt, der mit "ABC-HOU-WDC" beginnt.
  5. Melden Sie sich als Benutzer "Windows-Administrator" bei CA Enterprise Log Manager an, und werten Sie den durch die Richtlinien bereitgestellten Zugriff aus.
  6. Falls der Zugriff so stark beschränkt ist, dass der Benutzer die ihm zugedachten Aufgaben nicht ausführen kann, erweitern Sie den Zugriff durch zusätzliche Richtlinien.

Weitere Informationen:

Schritt 1: Erstellen des Benutzers "Windows-Administrator"

Schritt 3: Erstellen einer Systemzugriffsrichtlinie für Windows-Administratoren

Schritt 4: Erstellen eines Datenzugriffsfilters für Windows-Administratoren

Schritt 6: Erweitern von gewährten Aktionen