Verwenden Sie die rollenbasierte Zugriffssteuerung der Verwaltungskonsole, um festzustellen, welche Administratorrechte für welche Ihrer Active Directory-Benutzerkonten vergeben werden.

Diese Rollen und die damit verbundenen Rechte bestimmen, welche Verwaltungsaktionen ein Benutzer über die Verwaltungskonsole ausführen kann. Die Sichtbarkeit der Funktionen und Elemente der Verwaltungskonsole wird durch die dem Active Directory-Konto der Person zugewiesene Rolle gesteuert. Beispielsweise kann eine Person in einer Active Directory-Gruppe, der die Rolle Nur-Lese-Helpdesk-Administrator zugewiesen ist, zu den Benutzerkarten für Endbenutzer navigieren und die Informationen anzeigen, aber keine Vorgänge auf den Desktops durchführen. Eine Person in einer Active Directory-Gruppe, der die Rolle Helpdesk-Administrator zugewiesen ist, kann zu den Benutzerkarten navigieren und Fehlerbehebungen durchführen und die Informationen anzeigen. Sie müssen den entsprechenden Active Directory-Gruppen Ihrer Organisation eine Rolle zuweisen, bevor sich die Benutzer dieser Gruppe am zweiten Anmeldebildschirm der Verwaltungskonsole anmelden und auf Verwaltungsaktionen zugreifen können.

Voraussetzungen

Vorsicht: Bevor Sie Ihren bestehenden Active Directory-Gruppen Rollen zuweisen, überprüfen Sie die Benutzerkontenzugehörigkeit in den Active Directory-Gruppen, um sicherzustellen, dass ein Benutzerkonto nur eine dieser Rollen erhält. Erstellen Sie bei Bedarf spezifische Active Directory-Gruppen. Da diese Rollen auf der Ebene der Active Directory-Gruppe zugewiesen werden, können unerwartete Ergebnisse auftreten, wenn das Active Directory-Konto eines Benutzers zu zwei Active Directory-Gruppen gehört und jeder Gruppe eine andere Rolle zugewiesen wird. Die Funktionen der Verwaltungskonsole sind in dieser Reihenfolge sichtbar:
  1. Superadministrator
  2. Helpdesk-Administrator
  3. Demo-Administrator
  4. Nur-Lese-Helpdesk-Administrator

Wenn das Active Directory-Konto eines Benutzers zu den beiden Active Directory-Gruppen ADGroup1 und ADGroup2 gehört und Sie ADGroup1 die Rolle Superadministrator und ADGroup2 die Rolle Nur-Lese-Helpdesk-Administrator zuweisen, zeigt die Verwaltungskonsole alle Funktionen gemäß der Rolle Superadministrator anstelle der Teilmenge der Funktionen für die andere Rolle an, da die Rolle Superadministrator Vorrang hat.

Vorsicht: Wenn Sie nur eine Active Directory-Gruppe mit der Rolle „Superadministrator“ zugewiesen haben, entfernen Sie diese Gruppe nicht vom Active Directory-Server. Dies kann zu Problemen bei zukünftigen Anmeldungen führen.

Prozedur

  1. Wählen Sie Einstellungen > Rollen und Berechtigungen aus.
    Es wird die Seite „Rollen & Berechtigungen“ angezeigt.
    Es gibt vier Standardrollen, die in der folgenden Tabelle aufgeführt sind.
    Rolle Beschreibung
    Superadministrator Eine obligatorische Rolle, die Sie mindestens einer Gruppe in Ihrer Active Directory-Domäne zuweisen müssen (optional auch anderen Gruppen). Diese Rolle umfasst alle Berechtigungen für Verwaltungsaufgaben in der Verwaltungskonsole.
    Wichtig:
    • Stellen Sie sicher, dass das Domänenbeitrittskonto, das Sie bei der Registrierung der Active Directory-Domäne beim ersten Knoten angegeben haben, in einer der Gruppen mit der Rolle „Superadministrator“ liegt. Für den End-to-End-Erfolg von Vorgängen mit Images und Domänenbeitritt muss diesem Domänenbeitrittskonto diese Superadministrator-Rolle zugewiesen werden.
    • Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Verwaltungskonsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne Superadministratorberechtigungen nicht auf das Domänendienstkonto zugreifen können.
    Helpdesk-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Verwaltungskonsole zu ermöglichen, damit Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können:
    • Status der Endbenutzersitzungen anzeigen
    • Fehlerbehebungsvorgänge an den Sitzungen durchführen
    Nur-Lese-Helpdesk-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Verwaltungskonsole zu ermöglichen, sodass Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können, um den Status der Endbenutzer-Sitzungen anzuzeigen.
    Demo-Administrator Eine Rolle ohne Schreibberechtigung, die Sie einer oder mehreren Gruppen zuweisen können. Demo-Administratoren können die Einstellungen anzeigen und Optionen auswählen, um zusätzliche Optionen in der Konsole anzuzeigen. Die Konfigurationseinstellungen können jedoch nicht geändert werden.
  2. Wählen Sie eine Rolle aus der Liste „Rollen“ aus und klicken Sie auf Bearbeiten.
  3. Verwenden Sie im Bearbeitungsdialogfeld die Active Directory-Suchfunktion, um eine Gruppe für die Rolle auszuwählen, und klicken Sie auf Speichern.
    Wichtig: Diese Rollen können nur Gruppen zugeordnet werden. Die Verwaltungskonsole bietet keine Möglichkeit für die Auswahl einzelner Active Directory-Benutzerkonten für die einzelnen Rollen.

    Dieser Punkt ist entscheidend für das Domänenbeitrittskonto. Wenn sich das Domänenbeitrittskonto, das Sie für Ihren ersten Knoten registriert haben, nicht bereits in einer Ihrer Active Directory-Gruppen befindet, erstellen Sie eine Active Directory-Gruppe für dieses Konto, damit Sie sicherstellen können, dass die Rolle des Superadministrators diesem Domänenbeitrittskonto zugewiesen werden kann. Dieses Domänenbeitrittskonto muss die Rolle des Superadministrators erhalten.

    Hinweis: Fügen Sie dieselbe Gruppe nicht mehr als einer Rolle hinzu. Andernfalls besteht die Gefahr, dass Benutzer dieser Gruppe nicht über einen kompletten Zugriff auf alle erwarteten Funktionen verfügen.