Sichtbarkeit granular steuern am Beispiel Asset Management

Vor kurzem haben wir uns damit beschäftigt, wie sich die Anwendungsbereiche von Asset Management & Helpdesk durch Out of the box thinking kreativ erweitern lassen. Um mit Assets zu arbeiten, müssen auch Personen, die nicht aus der IT sind, Zugriff auf die ACMP Konsole erhalten. Dafür brauchen sie gesonderte Zugangsrechte.

Nicht jeder, der im Asset Management arbeitet, soll dabei auch gleich sehen können, was die IT-Abteilung hier alles tut. Deshalb gibt es in der ACMP Suite die Benutzerverwaltung als Möglichkeit, die Sichtbarkeit auf einzelne Assets granular einzustellen.

Mit der Steuerung der Benutzerverwaltung und Sichtbarkeit folgt Aagon dem aus dem Identity Management bekannten Prinzip der Segregation of Duties (Funktionstrennung) – das dort allerdings lösungsübergreifend angewandt wird, während es sich bei Aagon auf das Client Management fokussiert. Unter SoD versteht man die organisatorische Trennung zwischen Organisationseinheiten oder Stellen im Geschäftsprozess zur Vermeidung von möglichen Interessenkollisionen.

Zu diesem Zweck lassen sich verschiedene User anlegen (importierbar aus Active Directory) und in Gruppen sortieren. Über die Gruppe könnt Ihr mehreren Usern schnell die gleichen Berechtigungen mit den gleichen Ansichten erteilen. Bereits bei der Anlage einer Gruppe oder eines Users könnt ihr zudem sehr individuelle Sichtbarkeit und Berechtigungen vergeben; eine einzelne Person kann also noch einmal vom Gruppenstandard abweichen. Zum Beispiel: Auf welche Abfragen darf sie zugreifen? Darf sie nur lesen oder auch löschen? Darf sie Client Commands einsehen, und was darf sie mit den Assets tun?

Sichtbarkeitseinstellungen im einzelnen Modul

Diese übergeordneten Rechte zählen für deren Anmeldung in ACMP. Darauf aufbauend könnt Ihr die Berechtigungen in den einzelnen Modulen noch einmal weiter einschränken oder vergeben. Es ist zum Beispiel möglich, im Asset Management die Sichtbarkeitseinstellung zu einem bestimmten Asset-Typen (Beispiel: Beamer) für einzelne Personen zu definieren. In der ACMP Benutzerverwaltung legt Ihr also beispielsweise an: Person A hat Zugang zum Asset Management und auf die Reports. Im Asset Management selbst darf Person A aber nur auf ausgewählte Asset-Typen zugreifen. Gleiches gilt für die Reports, deren Zugriff Ihr granular steuern könnt, zum Beispiel für einen ganzen Ordner (Reports können in Ordner sortiert werden) oder für den einzelnen Report.

Wichtig: Den Zugriff für privilegierte User (zunächst allgemeingültig) müsst Ihr hierbei pauschal herausnehmen und die Gruppen anschließend wieder einzeln hinzufügen. Ausgenommen davon ist der ACMP eigene Administrator.

Die Benutzerverwaltung haben wir in den letzten Jahren immer wieder erweitert. Beim BitLocker Management zum Beispiel lässt sich bei den Client-Details für einzelne Nutzer (damit sind wir einem Kundenwunsch gefolgt), das Wiederherstellungs-Passwort ausblenden.

Lese hier auch mehr zu unserem Text Out of the box thinking – Asset Management & Helpdesk