Verwenden vorhandener gruppen, Verwenden mehrerer rollen – HP Integrated Lights-Out Benutzerhandbuch

Administratoren der höheren Ebene zugewiesenen Rechte enthält, und den untergeordneten
Administratoren das Erstellen und Verwalten eigener Rollen zu ermöglichen.

Verwenden vorhandener Gruppen

Viele Unternehmen haben ihre Benutzer und Administratoren in Gruppen angeordnet. In vielen Fällen
ist es von Vorteil, die vorhandenen Gruppen zu verwenden und die Gruppen mit einem oder mehreren
Lights-Out Management Rollenobjekten zu verknüpfen. Wenn die Geräte mit den Rollenobjekten
verknüpft werden, steuert der Administrator den Zugriff auf die mit den Rollen verknüpften Lights-Out
Geräte durch Hinzufügen oder Löschen von Mitgliedern in den Gruppen.

Bei der Verwendung von Microsoft® Active Directory ist es möglich, eine Gruppe in einer anderen
Gruppe oder in verschachtelten Gruppen zu platzieren. Rollenobjekte werden als Gruppen betrachtet
und können andere Gruppen direkt einschließen. Fügen Sie die vorhandene verschachtelte Gruppe
direkt zur Rolle hinzu, und weisen Sie ihr die entsprechenden Rechte und Einschränkungen zu. Neue
Benutzer können entweder einer vorhandenen Gruppe oder einer Rolle hinzugefügt werden.

Novell eDirectory lässt keine verschachtelten Gruppen zu. In eDirectory werden alle Benutzer, die
Lesezugriff auf eine Rolle haben, als Mitglieder dieser Rolle betrachtet. Wenn Sie einer Rolle eine
vorhandene Gruppe, Organisationseinheit oder Organisation hinzufügen, sollten Sie das Objekt als
Verwalter („Trustee“) mit Lesezugriff zur Rolle hinzufügen. Alle Mitglieder des Objekts werden als
Mitglieder der Rolle betrachtet. Neue Benutzer können entweder einem vorhandenen Objekt oder einer
Rolle hinzugefügt werden.

Wenn Sie Verwalter- oder Verzeichnisrechte zur Erweiterung der Rollenmitgliedschaft verwenden,
müssen Benutzer in der Lage sein, das LOM Objekt zu lesen, das das LOM Gerät darstellt. Einige
Umgebungen erfordern, dass die Verwalter einer Rolle auch Lesezugriff auf das LOM Objekt haben,
damit Benutzer erfolgreich authentifiziert werden können.

Verwenden mehrerer Rollen

In den meisten Fällen ist es nicht erforderlich, dass ein Benutzer zum Verwalten desselben Geräts
Mitglied in mehreren Rollen ist. Diese Konfigurationen sind jedoch sehr hilfreich für die Erstellung von
komplexen Berechtigungsbeziehungen. Wenn Sie Beziehungen mit mehreren Rollen erstellen, erhalten
Benutzer alle Rechte, die für eine der zutreffenden Rollen gelten. Durch Rollen können lediglich Rechte
zugewiesen, nicht zurückgenommen werden. Wenn eine Rolle einem Benutzer bestimmte Rechte gibt,
hat der Benutzer dieses Recht, selbst wenn er einer anderen Rolle angehört, die dieses Recht nicht
umfasst.

In der Regel erstellt der Verzeichnisadministrator eine Basisrolle mit den Mindestrechten und fügt
anschließend weitere Rollen für zusätzliche Rechte hinzu. Diese zusätzlichen Rechte werden unter
bestimmten Umständen oder einer bestimmten Untergruppe der Basisrollen-Benutzer zugewiesen.

Beispielsweise kann ein Unternehmen zwei Arten von Benutzern haben: Administratoren des LOM
Geräts oder des Hostservers und Benutzer des LOM Geräts. In diesem Fall ist es sinnvoll, zwei Rollen
zu erstellen, eine für die Administratoren und eine für die Benutzer. Beide Rollen umfassen teilweise
dieselben Geräte, weisen jedoch unterschiedliche Rechte zu. In anderen Fällen ist es sinnvoll, einer
niedriger eingestuften Rolle allgemeine Rechte zuzuweisen und die LOM Administratoren sowohl mit
dieser Rolle als auch der Administratorrolle zu verknüpfen.

Ein Admin-Benutzer erhält die Anmelderechte aus der regulären Benutzergruppe. Erweiterte Rechte
werden über die Administratorrolle zugewiesen, die zusätzliche Rechte wie Server-Reset und Remote
Console umfasst.

188 Kapitel 6 Verzeichnisfähiges Remote-Management

DEWW