Administrationshandbuch › Benutzerdefinierte Rollen und Richtlinien › Konfigurieren von benutzerdefinierten Benutzerrollen und Zugriffsrichtlinien › Erstellen von Richtlinien zur Bereichsdefinierung

Erstellen von Richtlinien zur Bereichsdefinierung

Sie können Richtlinien zur Bereichsdefinierung in jeder globalen Ressource erstellen. Die Aktionen in Richtlinien zur Bereichsdefinierung sind auf Lesen und Schreiben beschränkt.

• Folgende globale Ressourcen werden von vielen CA-Produkten (Anwendungen) verwendet:
  • Kalender
  • Globaler Benutzer
  • Globale Benutzergruppe
  • iPoz
  • Richtlinie
  • Benutzer
  • Benutzergruppe
  • AppObject
• Mit der globalen Ressource "AppObject" können Sie Richtlinien zur Bereichsdefinierung in anwendungsspezifischen Ressourcen und Modulen erstellen. Hierzu können Sie einen Filter hinzufügen, der den relevanten EEM-Ordner festlegt und angibt, wo der anwendungsspezifische Inhalt oder das Module gespeichert wird.
  • EEM-Inhaltsordner, die Sie mit der Ressource "AppObject" in Filtern verwenden können, umfassen folgende:
    • Ereignisgruppierung
    • Integration (Server)
    • Profil
    • Bericht
  • CA Enterprise Log Manager-Modulordner, die Sie mit der "AppObject"-Ressource in Filtern verwenden können, umfassen folgende:
    • Ereignisprotokollspeicher-
    • Berichtsserver
    • Automatisches Software-Update

Sollte keine Richtlinie vorhanden sein, deren Einstellungen Sie übernehmen können, haben Sie die Möglichkeit, eine Richtlinie von Grund auf neu zu erstellen. Wenn Sie eine Richtlinie zur Bereichsdefinierung erstellen, die mit einer von Ihnen erstellten CALM-Richtlinie verknüpft ist, geben Sie dieselben Identitäten an wie bei der zugehörigen CALM-Richtlinie.

Nur Administratoren können Zugriffsrichtlinien erstellen, bearbeiten, löschen und anzeigen.

So erstellen Sie eine neue CALM-Richtlinie mit expliziter Erteilung:

1. Klicken Sie auf die Registerkarte "Verwaltung" und auf die Unterregisterkarte "Benutzer- und Zugriffsverwaltung".
2. Klicken Sie auf "Zugriffsrichtlinien".
3. Klicken Sie links neben dem Ordner "Richtlinien zur Bereichsdefinierung" auf die Schaltfläche "Neue Richtlinie zur Bereichsdefinierung".
4. Vergeben Sie einen aussagefähigen Namen für die Richtlinie. Verwenden Sie hierzu beispielsweise die Rolle bzw. Rollen, für die die Richtlinie gilt, und den Aufgabenbereich. Sehen Sie sich als Referenzbeispiel die Namen der vordefinierten Richtlinien an.
5. Geben Sie eine kurze Beschreibung ein, um die nähere Bedeutung des Namens zu erläutern.
6. Normalerweise wird SafeObject als Name für die Ressourcenklasse akzeptiert.
7. Wählen Sie anhand folgender Kriterien im Fenster "Allgemein" den Typ aus:
   • Wählen Sie "Zugriffsrichtlinie" aus, um allen ausgewählten Identitäten die Fähigkeit zu gewähren oder zu verweigern, sämtliche ausgewählte Aktionen bei allen auf sie zutreffenden Ressourcen auszuführen.
   • Wählen Sie "Zugriffssteuerungsliste" aus, um allen ausgewählten Identitäten die Fähigkeit zu gewähren oder zu verweigern, nur die ausgewählten Aktionen auf einer ausgewählten Ressource auszuführen.

     Hinweis: Es ist nicht möglich, Filter für mehrere Ressourcen zu speichern. Als Behelfslösung können separate Richtlinien erstellt werden, d. h. für jede Ressource/Filter-Kombination eine Richtlinie.

   • Wählen Sie "Zugriffssteuerungsliste für Identitäten" aus, um jeder ausgewählten Identität die Fähigkeit zu gewähren oder zu verweigern, ausgewählte Aktionen auf allen ausgewählten Ressourcen auszuführen, die auf sie zutreffen.
8. Wählen Sie im Falle einer Richtlinie des Typs "Zugriffsrichtlinie" oder "Zugriffssteuerungsliste" im Bereich "Identitäten" die Benutzer oder Gruppen aus, für die diese Richtlinie gilt.
   1. Wählen Sie unter "Typ" die Option "Anwendungsgruppe" aus. Klicken Sie auf "Identitäten suchen" und anschließend auf "Suchen".
   2. Wählen Sie aus den vorgegebenen Identitäten aus, und klicken Sie auf die Schaltfläche "Verschieben", um sie in das Feld "Ausgewählte Identitäten" zu verschieben.
9. Bei einer Richtlinie des Typs "Zugriffsrichtlinie" sind standardmäßig alle Aktionen für alle Ressourcen ausgewählt. Führen Sie die Zugriffsrichtlinienkonfiguration wie folgt durch, um dies individuell anzupassen:
   1. Wählen Sie aus der Dropdown-Liste "Ressource hinzufügen" eine Ressource aus, und klicken Sie auf "Hinzufügen".
      • Wählen Sie "AppObject" aus, wenn es sich bei den Ressourcen, für die ein Lese- oder Schreibzugriff konfiguriert werden soll, um CA Enterprise Log Manager-spezifische Ressourcen handelt.
      • Wählen Sie "Benutzer" und "Globaler Benutzer" aus, um auf der Unterregisterkarte "Benutzer- und Zugriffsverwaltung" der Registerkarte "Verwaltung" den Zugriff auf die Schaltfläche "Benutzer" zu ermöglichen.
      • Wählen Sie "Benutzergruppe" und "Globale Benutzergruppe" aus, um auf der Unterregisterkarte "Benutzer- und Zugriffsverwaltung" der Registerkarte "Verwaltung" den Zugriff auf die Schaltfläche "Gruppen" zu ermöglichen.
      • Wählen Sie "Richtlinie" aus, um auf der Unterregisterkarte "Benutzer- und Zugriffsverwaltung" der Registerkarte "Verwaltung" den Zugriff auf die Schaltflächen "Zugriffsrichtlinien", "EEM-Ordner" und "Testrichtlinien" zu ermöglichen.
      • Wählen Sie "Kalender" aus, um auf der Unterregisterkarte "Benutzer- und Zugriffsverwaltung" der Registerkarte "Verwaltung" den Zugriff auf die Schaltfläche "Kalender" zu ermöglichen.
      • Wählen Sie "iPoz" aus, um auf der Unterregisterkarte "Benutzer- und Zugriffsverwaltung" der Registerkarte "Verwaltung" den Zugriff auf die Schaltflächen "Kennwortrichtlinie" und "Benutzerspeicher" zu ermöglichen.
   2. Wählen Sie "Lesen", um den Anzeigezugriff zu gewähren/zu verweigern. Wählen Sie "Schreiben", um den Bearbeitungszugriff zu gewähren/zu verweigern. Wenn Sie keine der Optionen auswählen, werden alle Aktionen aktiviert.

      Hinweis: Um einen Erstellzugriff zu gewähren/zu verweigern, müssen Sie eine CALM-Zugriffsrichtlinie definieren und CA Enterprise Log Manager-Ressourcen individuell auswählen.

   3. Fügen Sie bei Bedarf einen generischen Filter hinzu, der für die ausgewählten Ressourcen gilt.
10. Führen Sie bei einer Richtlinie des Typs "Zugriffssteuerungsliste" die Konfiguration der Zugriffssteuerungsliste wie folgt durch:
    1. Wählen Sie aus der Dropdown-Liste "Ressource hinzufügen" eine Ressource aus, und klicken Sie auf die Schaltfläche "Hinzufügen (+)".
    2. Wählen Sie bei "Aktionen" die Option "Lesen" bzw. "Schreiben" oder beide Optionen aus.
    3. Klicken Sie auf die Schaltfläche "Filter bearbeiten", um das Filterformular zu öffnen. Erstellen Sie einen Filter für die zugehörige Ressource, indem Sie unter "Links", "Operator" und "Rechts" jeweils einen Typ auswählen oder einen Wert eingeben.
    4. Wenn der Filter einen Ressourcennamen als Wert enthält, markieren Sie das Kontrollkästchen mit der Bezeichnung "Ressourcennamen als reguläre Ausdrücke behandeln". Ansonsten können Sie das Kontrollkästchen leer lassen.

    Wichtig! Definieren Sie eine Richtlinie für jede Ressource/Filter-Kombination.

11. Führen Sie bei einer Richtlinie des Typs "Zugriffssteuerungsliste für Identitäten" die Konfiguration der Zugriffssteuerungsliste für Identitäten wie folgt durch:
    1. Wählen Sie unter "Typ" eine der angegebenen Optionen aus. Wählen Sie zum Beispiel "Anwendungsgruppe" aus. Klicken Sie auf die Verknüpfung "Identitäten suchen", und klicken Sie auf die Schaltfläche "Suchen", um die Mitglieder des von Ihnen ausgewählten Typs anzuzeigen.
    2. Wählen Sie die Identitäten aus, und klicken Sie auf die Schaltfläche "Verschieben", um das Fenster "Ausgewählte Identitäten" auszufüllen.
    3. Legen Sie für jede ausgewählte Identität die Aktionen "Lesen" oder "Schreiben" fest, oder wählen Sie beide Aktionen aus.

       Die identitätsspezifischen Aktionen gelten für alle ausgewählten Ressourcen. Das heißt, eine bestimmte Identität kann alle ausgewählten Ressourcen entweder anzeigen, anzeigen und bearbeiten oder nur bearbeiten.

    4. Fügen Sie die Ressourcen hinzu, auf denen die Ausführung der identitätsspezifischen Aktionen gewährt oder verweigert werden soll.
12. Überprüfen Sie die Kontrollkästchen, und markieren Sie alle Zutreffenden.
    • Wählen Sie "Ausdrücklich verweigern", um eine zugriffgewährende Richtlinie in eine Richtlinie umzuwandeln, die den Zugriff verweigert.
    • Wählen Sie "Deaktiviert", um diese Richtlinie, falls neu, vorübergehend zu inaktivieren.
    • Wählen Sie "Vorbereitstellung" und anschließend "Bezeichnungen zuweisen" aus, und fügen Sie die Bezeichnungen hinzu, wenn Sie diese Richtlinie zu Testzwecken verwenden und die Richtlinien mit Hilfe von benutzerdefinierten Bezeichnungen kategorisieren möchten.
13. Klicken Sie auf "Speichern" und anschließend auf "Schließen" im linken Fensterbereich.

Weitere Informationen

Schritt 3: Erstellen einer Systemzugriffsrichtlinie für Windows-Administratoren