Neuerungen in der Rechteverwaltung


verinice 1.5.0 verbessert die Mandantenfähigkeit von verinice.PRO und
erweitert die Rechteverwaltung um Benutzerprofile.

Hier bieten wir Ihnen einen kurzen Überblick über diese Funktionen und
sich für bestehende Anwender ergebenden Veränderungen. Für eine
vollständige Beschreibung konsultieren Sie bitte das Handbuch. Im Rahmen
des Supports stehen wir ihnen natürlich ebenfalls für die Konfiguration
der Rechteverwaltung zur Verfügung.

Die Rechte der Benutzer werden in verinice.PRO  1.5.0 folgendermaßen
festgelegt:

  • Accounts
    Für jeden Benutzer sollte ein personalisierter Account mit Benutzername und Passwort angelegt werden.

  • Berechtigungsgruppen
    Ein Benutzer kann Mitglied in mehreren Berechtigungsgruppen sein. Darüber wird festgelegt, welche Datenbankobjekte er lesen und
    schreiben kann.

  • Berechtigungsprofile (NEU!)
    Über die Profile wird festgelegt, welche Aktionen der Benutzer ausführen darf, z.B. ob er Berichte ausgeben oder selbst neue Benutzer anlegen darf.

  • Mandantentrennung (NEU!)
    Sie können einen Account auf "seinen" Geltungsbereich einschränken. Setzen Sie dafür einfach beim Account die Option "Scope-only". Fortan kann der Benutzer nur noch auf Objekte im selben IT-Verbund / Scope zugreifen, dem er auch selbst angehört - unabhängig aller anderen gewährten Lese- oder Schreibrechte.

Berechtigungsprofile- und Gruppen sind grundsätzlich völlig unabhängig
voneinander. Es empfiehlt sich allerdings passende Kombinationen aus
Gruppen und Profilen anzulegen. Z.B. kann eine Gruppe "Windows-Admin"
dem Profil "Windows-Admin-Profil" zugeordnet werden. Die Gruppe
bestimmt, welche Objekte die Benutzer der Admin-Gruppe editieren können
(z.B. alle Windows-Server). Das "Windows-Admin-Profil" legt fest, welche
Aktionen sie ausführen dürfen, z.B. vorhandene Objekte editieren, aber
nicht löschen oder neue anlegen.

Ihre existierenden Benutzer werden beim Update den Standardgruppen
"admin-default-group" bzw. "user-default-group" zugeordnet, um die
bestehende Funktionalität zu erhalten.

Die Benutzergruppe "default-user-group" ist seit verinice 1.5.0 eine
vorinstallierte Gruppe, der neue Benutzeraccounts standardmäßig
zugewiesen werden. Sie hat den Zweck, einem Benutzeraccount ein
Standard-Set an Berechtigungen zu geben, mit dem man die üblichen
Funktionen in verinice verwenden kann. Sie können die Zuweisung jedoch
jederzeit ändern.

Wenn Sie einen neuen Admin-Account anlegen, müssen Sie ihm selbst ein
Profil zuweisen, dass über die Funktionen der normalen Anwender hinaus
geht. Für diesen Zweck stellen wir die Standard-Gruppen
"admin-default-group" und "admin-scope-default-group" zur Verfügung.
Diese Gruppen sind mit passenden Profilen versehen um administrative
Funktionen durchzuführen.

Die "scope"-Varianten sind dabei um einige Funktionen eingeschränkt,
z.B. können mit diesen keine neuen IT-Verbünde / Scopes erzeugt werden.

Weitere Hinweise finden Sie im Handbuch im Kapitel "Rechteverwaltung".