This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SEC Rollen und Teileverwalungseinheiten

Hallo!

Ich habe eine Frage zur Berechtigungsvergabe im Menüpunkt Rollenverwaltung.

Wir setzen derzeit Rollen - / Teileverwaltungseinheiten (via ActiveDirectory Gruppen) ein. User innerhalb einer solchen Gruppe sollen aus definierten Gruppen(Dashboard) Computerobjekte löschen können, jedoch NICHT Policies verändern dürfen. über doe Rollenverwaltung wurde die Berechtigung Computersuche, schutz und -gruppen, Korrektur - Berecinung sowie Korrektur - Updates und Scans zugewiesen. User, denen diese Rolle zugeteilt wurde können demnach Computerobjekte löschen jedoch auch Policies verändern die den Computerobjekten die sie im Dashboard sehen können, zugewiesen sind. Unter "Verfügbare Berechtigungen" gibt es die Auswahlpunkte "Richtlinieneinstellung - Antivirus, Application Control,..."

Sollten nicht diese Berechtigung den Zugriff auf die o.a. Policies regeln/ermöglich bzw. wenn sie nicht zugewiesen sind, verweigern?

mit der Bitte um Rückmeldung

freundliche Grüße T.J.



This thread was automatically locked due to age.
  • Hallo T.J.,

    eine Frage zur Klarstellung: Ist mit jedoch NICHT Policies verändern gemeint, dass es ihnen nicht möglich sein soll, die Zuordung zu ändern, d.h. eine andere Policy zuzuweisen?

    Christian 

  • Hallo Christian,

    danke für deine Antwort!

    Es geht primär um den Inhalt der Policies z.B. Verzeichnisse aus den Scans ausnehmen, Updatepfad ändern, Applikationen in den PUA Richtlinien entfernen/hinzufügen,..

     

    freundliche Grüße

    Thomas

  • Hallo Thomas,

    habe soeben getestet - eine Rolle die alle Rechte außer Richtlinieneinstellung - AV&HIPS umfasst. Ein Rechtsklick unter Richtlinien liefert ein graues Menü bei AV, bei den anderen ist alles normal. Man kann Richtlinien öffnen, aber nichts verändern. Funktioniert wie versprochen.
    Ich vermute, dass den Benutzern über die AD- oder auch eine lokale Gruppenzugehörigkeit noch mindestens eine andere Rolle zugewiesen ist. Dazu die Registerkarte Benutzer-/Gruppenansicht aufmachen, Benutzer/Gruppe und einen der Benutzer auswählen. Dann werden die zugewiesenen Rollen angezeigt - die resultierenden Rechte sind die Summe aus allen Rollen.

    Christian
    [ich tu mich verdammt schwer, das Zeuchs auf Englisch zu beschreiben [:D]]     

  • Hallo Christian!

    danke fürs testen und für deine Antwort!

    Ich habe mir die Situation nochmal angesehen und bin zu folgendem (gleichen) Ergebnis gekommen:

    Der Grund warum es mir mit meinem Testaccount möglich war Richtlinien zu bearbeiten, obwohl die Policy der Teileverwaltungseinheit nicht zugewiesen war, war jener, dass dieser Account noch in einer weiteren Gruppe/Teileverwaltungseinheit Mitglied ist. Die Berechtigungen werden summiert. Ich nahm fälschlicherweise an, dass, wenn über  "Aktive Teileverwaltungseinheit auswählen" die die Teileverwaltungseinheit (ohne der Berechtigung Richtlinien zu ändern) ausgewählt wird, die über andere Teileverwaltungseinheiten, denen der Account hinzugefügt ist, nicht greifen. SEC greift offenbar sämtliche Berechtigungen die ein Account zu dieser Zeit hat auf.

  • Hallo Thomas,

    die Zuordnung ist Benutzer -> Rolle(n) und Benutzer -> Teilverwaltungseinheiten. Es gibt keine Möglichkeit, verschiedene Rollen für verschiedene TVEn zuzuordnen. Allerdings gilt für Richtlinieneinstellung, dass eine Policy nicht verändert werden kann, wenn sie auch außerhalb der aktiven (ich denke, es ist die aktive und nicht die Summe) TVE verwendet wird.

    Christian