Schritt 3: Erstellen einer Systemzugriffsrichtlinie für Windows-Administratoren

Administrationshandbuch › Benutzerdefinierte Rollen und Richtlinien › Beschränken des Datenzugriffs für einen Benutzer: Windows-Administrator › Schritt 3: Erstellen einer Systemzugriffsrichtlinie für Windows-Administratoren

Schritt 3: Erstellen einer Systemzugriffsrichtlinie für Windows-Administratoren

In Schritt 2 gewähren Sie Zugriff für die Anmeldung bei der CA Enterprise Log Manager-Anwendung.

Durch Schritt 3 wird der Zugriff auf die CA Enterprise Log Manager-Anwendung nach der Anmeldung beschränkt, beziehungsweise es wird ein Zugriffsbereich definiert. Grundsätzlich können Sie den angegebenen Identitäten entweder nur Lesezugriff oder sowohl Lese- als auch Schreibzugriff gewähren.

Die Auswahl des Richtlinientyps bestimmt die Granularität, mit der Sie zugelassene Aktionen festlegen können.

Zugriffsrichtlinien ermöglichen ausgewählte Aktionen für die betreffenden ausgewählten Ressourcen.
Durch Zugriffskontrolllisten-Richtlinien können Sie festlegen, welche Aktionen für jede hinzugefügte Aktion zulässig sind.
Durch Zugriffskontrolllisten-Richtlinien können Sie festlegen, welche Aktionen von den einzelnen Identitäten für die betreffenden Ressourcen zulässig sind.

Sie können einen beschränkten Zugriff auf eine Ressource zulassen, indem Sie einen Filter erstellen, der den EEM-Ordner für die jeweilige Ressource festlegt, und anschließend Beschränkungen für den Ordner angeben.

Dieses Beispiel veranschaulicht, wie Sie den Zugriff generell auf einen Lesezugriff beschränken und dabei weitere Beschränkungen für eine spezifische Funktion festlegen. Insbesondere in Schritt 3 wird der Benutzer "Windows-Administrator" auf die Anzeige von Systemzugriffsberichten beschränkt. Das folgende Beispiel erläutert, wie Sie eine Richtlinie zur Bereichsdefinierung mit dem Namen "Systemzugriff von Windows-Administrator" erstellen, die Lesezugriff auf "SafeObject" und "AppObject" gewährt und Filter festlegt, die den Berichtszugriff auf Berichte mit der Kennung "Systemzugriff" beschränkt. Es veranschaulicht zudem, wie Sie die Richtlinie testen und nach der Überprüfung die Einstellung "Vorbereitstellung" entfernen.

Der Bereich "Allgemein" einer Richtlinie zur Bereichsdefinierung, durch die sich der Anwendungszugriff auf einen reinen Lesezugriff oder sowohl auf Lese- als auch auf Schreibzugriff einstellen lässt, legt "SafeObject" als Ressourcenklassenname fest. Im folgenden Beispiel ist der Richtlinienname von "Systemzugriff von Windows-Administrator" dargestellt. Es empfiehlt sich, für eine neue Richtlinie das Kontrollkästchen "Vorbereitstellung" zu aktivieren, bis Sie sie getestet haben und sich davon überzeugt haben, dass sie für den Einsatz in einer Produktionsumgebung geeignet ist.

Wenn Sie für einen Benutzer eine Richtlinie zur Bereichsdefinierung erstellen, geben Sie unter "Richtlinienname" den Namen dieses Benutzers an.

Sie können den Zugriff entweder Benutzern oder Gruppen gewähren. In diesem Beispiel wird der Zugriff dem neuen Benutzer "Windows-Administrator" gewährt.

Bei Auswahl der Option "Benutzer" werden nur Benutzernamen angezeigt, die zur Auswahl verfügbar sind.

Die für CA Enterprise Log Manager erstellte Richtlinie der "höchsten Ebene" ist die CALM-Zugriffsrichtlinie. CAELM ist dabei die Anwendungsinstanz. Mit dieser Richtlinie zur Bereichsdefinierung wird festgelegt, dass die Leseaktion für die Anwendungsobjekte ("AppObject") zulässig ist. "AppObject" bezieht sich auf alle Anwendungsfunktionen.

Die Systemzugriffsrichtlinie für den Benutzer in diesem Szenario ermöglicht es dem Benutzer, alle Ressourcen anzuzeigen. Die Beschränkungen werden dabei durch Filter definiert.

Sie können die angegebene zulässige Aktion für alle Objekte weiter beschränken, indem Sie Filter festlegen. Filter werden oftmals paarweise angegeben. Dabei legt der erste Filter den CA EEM-Ordner fest, in dem Daten zu einer bestimmten Funktion gespeichert werden. Der zweite Filter legt eine Beschränkung für Objekte an diesem Speicherort fest. Durch den ersten Filter im folgenden Beispiel wird der Zugriff des CA EEM-Ordners auf den Ordner beschränkt, in dem die Berichtsressource gespeichert ist. Insbesondere legt er fest, dass "pozFolder" das Verzeichnis "/CALM_Configuration/Content/Reports" enthält. Der zweite Filter beschränkt den Zugriff auf Berichte mit der Kennung "Systemzugriff", indem er festlegt, dass "calmTag" mit "Systemzugriff" identisch ist.

Der Filter beschränkt den Berichtszugriff auf Benutzer, die mit der Kennung "Systemzugriff" versehen wurden.

Nach dem Speichern einer Richtlinie können Sie danach suchen, um sie zu überprüfen. Sie haben die Möglichkeit, anhand des Namens, der Identität oder der Ressource nach Richtlinien zu suchen. Sie können einen Teilwert eingeben. Darüber hinaus können Sie mehrere Kriterien eingeben. Im Folgenden finden Sie Beispiele für dieses Szenario.

Bei der Suche anhand des vollständigen Namens wird genau die Richtlinie angezeigt, die Sie benötigen.

Bei der Suche anhand des Namens wird nur die gesuchte Richtlinie zurückgegeben.

Wenn Sie nur anhand der Identität suchen, werden sämtliche Richtlinien angezeigt, die für diese Identität gelten, also auch die Richtlinien, die für alle Identitäten gelten.

Führen Sie eine Suche anhand der Identität durch, werden alle Richtlinien zurückgegeben, bei denen dieser Benutzer als Identität aufgeführt ist.

Bei einer ausschließlichen Suche anhand der Ressource, bei der "AppObject" die Ressource ist, werden alle vom System bereitgestellten und benutzerdefinierten Richtlinien angezeigt, die Lesezugriff oder Lese- und Schreibzugriff auf eine Identität gewähren.

Wenn Sie auf Ressourcenbasis suchen, werden alle Richtlinien zurückgegeben, bei denen die ausgewählte Ressource in der Spalte "Ressourcen" angezeigt wird.

Wenn die von Ihnen gesuchte benutzerdefinierte Richtlinie in der Richtlinientabelle angezeigt wird, überprüfen Sie die Werte, einschließlich der Filter. Falls Ihnen Angaben auffallen, die korrigiert werden müssen, können Sie auf den Namenslink klicken, um die Richtlinie zum Bearbeiten neu anzuzeigen.

Sie sollten Ihre Eingaben überprüfen.

Überprüfen Sie die Filter für jede neu erstellte Richtlinie.

Es empfiehlt sich, jede neue Richtlinie zu testen. Achten Sie darauf, dass Sie die Attribut/Wert-Paare in der Reihenfolge eingeben, in der Sie die Filter eingegeben haben. Beginnen Sie dabei mit dem Attribut der höheren Ebene.

Schlägt die Berechtigungsprüfung fehl, überprüfen Sie, ob Sie die Filter in derselben Reihenfolge eingegeben haben, in der sie in der Richtlinie angezeigt werden.

Vergewissern Sie sich, dass das Ergebnis ALLOW lautet.

Das Ergebnis ALLOW gibt an, dass die Berechtigungsprüfung erfolgreich verlaufen ist.

Deaktivieren Sie anschließend das Kontrollkästchen "Vorbereitstellung" für die Richtlinie. Andernfalls können Sie sich nicht als "Windows-Administrator" anmelden, um auszuwerten, welche Aktionen dieser Benutzer ausführen kann.

Löschen Sie die vor der Bereitstellung vorgenommenen Einstellungen, bevor Sie sich als der neue Benutzer anmelden.

Weitere Informationen:

Testen von neuen Richtlinien

Senden Sie CA Technologies eine E-Mail zu diesem Thema.