Tags:
create new tag
, view all tags

Admin-Berechtigungen

Glossar

Begriff Beschreibung
Boss Als «Bosse» werden Admins bezeichnet, welche selber andere Admins ernennen dürfen sowie die Berechtigungen für andere Admins setzen können.
verantwortlich für Jeder Administrator ist verantwortlich für einen Bereich der ETH. Dieser Verantwortungsbereich kann eine Menge von Leitzahlen, ein ganzes Institut oder Departement sein. Möglich sind auch Personenkategorien oder Studiengänge
Service Im nethz Admin-Tool werden «Services» als Begriff verwendet, wenn auf einem Zielsystem ein Account erstellt oder eine bestimmte Berechtigung erteilt wird. Einige der Accounts haben auf dem Zielsystem eigene Passwörter, andere machen die Authentisierung mit dem AD- oder LDAPS-Account.
Domains E-Mail-Domänen, welche ein Administrator zur Auswahl hat. Die generelle Auswahl dieser Domänen ist die Menge der aller gescannten E-Mail-Domains an der ETH (Spamfilter) sowie der in Exchange registrierten Domains
OU / Organizational Unit Verwaltungseinheiten im Active Directory. Die Zuteilung hier wird primär dazu verwendet, User in eine eigene OU verschieben zu können (um sie danach zu verwalten). Unter Show Computers kann die Suche damit eingeschränkt werden
Projekte gestalten die Verwaltung innerhalb einer Admingruppe differenzierter. Beispielsweise können Gäste Projekten zugeordnet werden. Damit sind sie nur noch für Bosse sichtbar und für Admins, die diesem Projekt zugeteilt wurden (siehe «verantwortlich für»)

verantwortlich für

Berechtigung auf Leitzahlen

Alle Mitarbeiter, Dozenten, ETH-nahe und ETH-Gäste sind einer Leitzahl zugeordnet. Wie man der Organisationsstruktur der ETH entnehmen kann, sind diese Leitzahlen baumartig strukturiert. Um den Verantwortungsbereich eines einzelnen Admins festzulegen (welche User kann dieser Admin verwalten), kann bei den entsprechenden Leitzahlen ein Häckchen gesetzt werden. Besser ist es, die Berechtigung auf Knotenpunkte (Totalisierungsleitzahlen) festzulegen (z.B. Departemente, Institute). Die Organisationsstruktur ist ein dynamisches Gebilde und ändert sich stetig. Mit der Festlegung der Berechtigung auf Totalisierungsleitzahlen müssen die Verantwortungsbereiche weniger oft angepasst werden.

weitere Verantwortungsbereiche

Welche Leitzahlen einer Departements-ISG zur Verfügung stehen, wird vom Service Desk zugeteilt. Möglich sind neben Leitzahlen auch

  • Studierende eines Departements
  • Personenkategorien
  • eigens definierte Gruppen für Fälle, wo die Leitzahl-Zuteilung keinen Sinn macht
  • Projekte

Projekte

Projekte sind eine Möglichkeit, Gäste besser zu strukturieren. Es funktioniert nach folgenden Prinizipien:

  • Gäste ohne Projektzuweisung sind von allen Admins mit entsprechendem Gäste-Privileg bearbeitbar
  • Gäste mit Projektzuweisung sind nur von Bossen dieser Admingruppe sowie von Admins mit explizit zugewiesenen Projekten sichtbar
  • nur Bosse können Projekte definieren
  • nur Bosse können Projekte den «normalen» Admins zuteilen
  • Admins mit dem Privileg «any_project» sehen alle Gäste

Services

Die Services und User Groups respektive bilden ein zusammen eine Berechtigung. Ein Admin kann zum Beispiel die Mailbox eines Users bearbeiten, wenn er den Mailbox-Service besitzt und die Usergruppe verwalten darf, in welcher sich der User befindet.

Maillisten einer Admingruppe können verwaltet werden, wenn der Administrator im Service Mailbox die Berechtigung admin_list besitzt.

Domains

Unter Domains wird aufgelistet, welche Menge von E-Mail-Domänen der Admin in der Auswahlliste zur Verfügung hat, wenn er für Mailkontos und Maillisten eine E-Mail-Adresse vergeben muss. Die Auswahl für eine Admingruppe wird vom Service-Desk festgelegt.

OU (Organisational Unit)

Die OUs bezeichnen die sog. Organizational Units (Organisationseinheiten) im Active Directory, in welche der Admin einen User verschieben darf. Sobald der User verschoben worden ist, greifen die entsprechenden Group Policies und die OU-Admins haben volle Berechtigung auf das entsprechende User-Objekt. Der Admin hat immer die Möglichkeit, einen Benutzer in die Standard-OU zurückzuverschieben.

Im Reiter «Show Computers» hat man die Möglichkeit, die Computerobjekte einer bestimmten OU anzuzeigen.

Die Auswahl der OUs wird vom Service-Desk für eine Admingruppe festgelegt. Hinter dem OU-Namen verbirgt sich der Distinguished-Name der eigentlichen OU (z.B. ETH-MA OU=EthUsers,DC=d,DC=ethz,DC=ch)

Service Berechtigungen setzen

Alle Einstellungen im Bereich Services sind immer in Kombination mit Verantwortungsbereichen zu verstehen, die ein Admin bearbeiten kann. Für jeden Service gibt es eine Reihe von Standard-Privilegien, die vergeben werden können:

Privileg Beschreibung
show_service Einfache Anzeige des Service ohne Modifikationsmöglichkeit
grant_service Erteilen des Services. Enthält implizit auch die Modifikationsmöglichkeit eines Services
set_password Nur Setzen des Passwortes für diesen Service ist erlaubt
admin_service Volle Administration des Services (ausser revoke_service)
revoke_service direktes und sofortiges Löschen des Service

Falls einige dieser Standard-Privilegien nicht vorhanden sind, sind sie entweder für diesen Service nicht möglich (z.B. set_password) oder sie wurden dieser Admin-Gruppe nicht zugeteilt. Das Zuteilen der Auswahl an Service-Privilegien für eine Admin-Gruppe erfolgt durch den Service-Desk.

Neben den Standard-Privilegien gibt es noch Service-spezifische Privilegien:

Service Privileg Beschreibung
Mailbox modify_ou Admin darf die OU eines Benutzers anpassen. Macht nur dann Sinn, wenn der Admins auch tatsächlich OUs zur Auswahl hat. Allerdings kann ein Admin jederzeit einen Benutzer in die Standard-OU zurücksetzen.
Mailbox admin_list Admin darf Maillisten administrieren. Dieses Privileg wird wohl in Zukunft als separates Administrator-Privileg gehandhabt
PolyPhone any_number Admin darf irgend eine Polyphone-Telefonnummer aus dem Pool vergeben, auch reservierte
Administrator admin_service ALERT! führt dazu, dass dieser Admin «Boss» wird und andere Admins innerhalb dieser Admingruppe ernennen darf
Administrator guests_nethz Admin kann nethz-Gäste erstellen und verwalten
Administrator guests_technical Admin kann technische Gäste und deren Konti erstellen und verwalten
Administrator admin_ngroup Admin kann Security-Gruppen verwalten (unter Admin Tasks -> Gruppen verwalten)
Administrator admin_own_uname Admin kann eigene User anlegen
Administrator change_any_uname Admin kann den Benutzernamen eines Users ändern
Administrator uuid Admin kann die Unix UID eines Users ändern
Administrator logs Admins kann die Logs des nethz Admin-Tools anschauen
Administrator extend_any_service Admin kann alle Services eines Benutzers beliebig verlängern
Administrator delete_any_service Admin kann einen beliebigen Service eines Benutzers löschen
Administrator admin_ugroup Admin darf nethz Usergruppen bearbeiten
Administrator multiuser_tool Admin darf das Multiuser-Tool benutzen. ALERT! Mit Vorsicht zu vergeben! Es handelt sich dabei um ein mächtiges Werkzeug, deren Bedienung leider nicht gerade intuitiv ist
Administrator admin_admin ALERT! Admin wird zu Root

-- SwenVermeul - 2012-04-22

Topic revision: r6 - 2015-03-17 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback