Erstellen mehrerer einschränkungen und rollen – HP Integrated Lights-Out 2 Benutzerhandbuch
Seite 181
Erstellen mehrerer Einschränkungen und Rollen
Die wohl nützlichste Anwendung mehrerer Rollen besteht in der Einschränkung einer oder mehrerer
Rollen, sodass die Rechte nicht in allen Situationen gelten. Verschiedene Rollen bieten
unterschiedliche Rechte mit unterschiedlichen Einschränkungen. Durch die Verwendung mehrerer
Einschränkungen und Rollen können Administratoren frei wählbare komplexe
Berechtigungsbeziehungen mit nur wenigen Rollen erstellen.
Angenommen, ein Unternehmen verfügt über Sicherheitsrichtlinien, laut derer Administratoren das
LOM-Gerät innerhalb des Unternehmensnetzwerks verwenden dürfen. Das Zurücksetzen des Servers
ist jedoch nur außerhalb der regulären Geschäftsstunden möglich.
Verzeichnisadministratoren, die zwei Rollen für diese Situation erstellen möchten, sollten Vorsicht
walten lassen. Das Erstellen einer Rolle, die die erforderlichen Rechte zum Zurücksetzen des Servers
enthält und die auf die Zeit außerhalb der Geschäftsstunden beschränkt wird, könnte Administratoren
außerhalb des Unternehmensnetzwerks ein Zurücksetzen des Servers ermöglichen, was den meisten
Sicherheitsrichtlinien widerspricht.
In dem Beispiel schreiben die Sicherheitsrichtlinien vor, dass die allgemeine Verwendung auf
Clients innerhalb des Unternehmens-Subnetzes beschränkt ist und dass das Zurücksetzen des Servers
außerdem nur außerhalb der Geschäftsstunden möglich ist.
Alternativ könnte der Verzeichnisadministrator eine Rolle erstellen, die die Anmeldeberechtigung
erteilt und sie auf das Unternehmensnetzwerk beschränkt, sowie eine zweite Rolle, die die
Berechtigung zum Zurücksetzen des Servers enthält und auf die Zeit außerhalb der Geschäftsstunden
beschränkt ist. Diese Konfiguration lässt sich einfacher verwalten, birgt jedoch ein höheres Risiko,
da im Laufe der Administration eine weitere Rolle erstellt werden könnte, die Benutzern von Adressen
außerhalb des Unternehmensnetzwerks die Anmeldeberechtigung erteilt und so unabsichtlich den
Verzeichnisfähiges Remote-Management
181