Verwenden vorhandener gruppen, Verwenden mehrerer rollen – HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 179
DNS-Name eines lokalen Verzeichnisservers oder, für erhöhte Redundanz, ein
Multi-Host-DNS-Name.
Erstellen von Rollen entsprechend der Unternehmensstruktur
Oft werden Administratoren in einem Unternehmen in eine Hierarchie eingeordnet, in der
untergeordnete Administratoren bestimmte Rechte unabhängig von den hochrangigen
Administratoren zuweisen müssen. In diesem Fall ist es hilfreich, über eine Rolle zu verfügen, die
die von den Administratoren der höheren Ebene zugewiesenen Rechte enthält, und den
untergeordneten Administratoren das Erstellen und Verwalten eigener Rollen zu ermöglichen.
Verwenden vorhandener Gruppen
Viele Unternehmen haben ihre Benutzer und Administratoren in Gruppen angeordnet. In vielen
Fällen können die Organisationen die vorhandenen Gruppen verwenden und die Gruppen mit
einem oder mehreren Lights-Out Management Rollenobjekten verknüpfen. Wenn die Geräte mit
den Rollenobjekten verknüpft werden, steuert der Administrator den Zugriff auf die mit den Rollen
verknüpften Lights-Out Geräte durch Hinzufügen oder Löschen von Mitgliedern in den Gruppen.
Bei der Verwendung von Microsoft Active Directory ist es möglich, eine Gruppe in einer anderen
Gruppe oder in verschachtelten Gruppen zu platzieren. Rollenobjekte werden als Gruppen betrachtet
und können andere Gruppen direkt einschließen. Fügen Sie die vorhandene verschachtelte Gruppe
direkt zur Rolle hinzu, und weisen Sie ihr die entsprechenden Rechte und Einschränkungen zu.
Neue Benutzer können entweder einer vorhandenen Gruppe oder einer Rolle hinzugefügt werden.
Novell eDirectory lässt keine verschachtelten Gruppen zu. In eDirectory werden alle Benutzer, die
Lesezugriff auf eine Rolle haben, als Mitglieder dieser Rolle betrachtet. Wenn Sie einer Rolle eine
vorhandene Gruppe, Organisationseinheit oder Organisation hinzufügen, sollten Sie das Objekt
als Verwalter („Trustee“) mit Lesezugriff zur Rolle hinzufügen. Alle Mitglieder des Objekts werden
als Mitglieder der Rolle betrachtet. Neue Benutzer können entweder einem vorhandenen Objekt
oder einer Rolle hinzugefügt werden.
Wenn Sie Verwalter- oder Verzeichnisrechte zur Erweiterung der Rollenmitgliedschaft verwenden,
müssen Benutzer in der Lage sein, das LOM-Objekt zu lesen, das das LOM-Gerät darstellt. Einige
Umgebungen erfordern, dass die Verwalter einer Rolle auch Lesezugriff auf das LOM-Objekt haben,
damit Benutzer erfolgreich authentifiziert werden können.
Verwenden mehrerer Rollen
In den meisten Fällen ist es nicht erforderlich, dass ein Benutzer zum Verwalten desselben Geräts
Mitglied in mehreren Rollen ist. Diese Konfigurationen sind jedoch sehr hilfreich für die Erstellung
von komplexen Berechtigungsbeziehungen. Wenn Sie Beziehungen mit mehreren Rollen erstellen,
erhalten Benutzer alle Rechte, die für eine der zutreffenden Rollen gelten. Durch Rollen können
lediglich Rechte zugewiesen, nicht zurückgenommen werden. Wenn eine Rolle einem Benutzer
bestimmte Rechte gibt, hat der Benutzer dieses Recht, selbst wenn er einer anderen Rolle angehört,
die dieses Recht nicht umfasst.
In der Regel erstellt der Verzeichnisadministrator eine Basisrolle mit den Mindestrechten und fügt
anschließend weitere Rollen für zusätzliche Rechte hinzu. Diese zusätzlichen Rechte werden unter
bestimmten Umständen oder einer bestimmten Untergruppe der Basisrollen-Benutzer zugewiesen.
Beispielsweise kann ein Unternehmen zwei Arten von Benutzern haben: Administratoren des
LOM-Geräts oder des Hostservers und Benutzer des LOM-Geräts. In diesem Fall ist es sinnvoll,
zwei Rollen zu erstellen, eine für die Administratoren und eine für die Benutzer. Beide Rollen
umfassen teilweise dieselben Geräte, weisen jedoch unterschiedliche Rechte zu. In anderen Fällen
ist es sinnvoll, einer niedriger eingestuften Rolle allgemeine Rechte zuzuweisen und die
LOM-Administratoren sowohl mit dieser Rolle als auch der Administratorrolle zu verknüpfen.
Ein Admin-Benutzer erhält die Anmelderechte aus der regulären Benutzergruppe. Erweiterte Rechte
werden über die Administratorrolle zugewiesen, die zusätzliche Rechte wie Server-Reset und Remote
Console umfasst.
Verzeichnisfähiges Remote-Management
179