Tags:
create new tag
, view all tags

Selbstorganisierte Gruppen

Ausgangslage

Die ETH ist ein vielschichtiges, organisatorisch komplexes Gebilde. Das Organisationsdiagramm stellt nur in unzureichendem Mass dar, wie sie organisiert ist. Die meisten Projekte, Arbeitsgruppen, Zusammenarbeiten etc. funktionieren selbstorganisiert. Diesem Umstand soll auch auf IT-Ebene Rechnung getragen werden.

Idee

Gruppen sollen sich selber organisieren können, auch auf Security-Ebene. Dazu ist es in vielen Bereichen ein (zentraler) administrativer Aufwand, solche Berechtigungsgruppen durch die Admingruppe zu pflegen. Sinnvoller ist es, einzelne Mitglieder dieser Gruppe als Administratoren zu deklarieren und ihnen die Möglichkeit geben, die Gruppe selber zu pflegen. Man kann auch soweit gehen und deklarieren, dass alle Mitglieder der Gruppe die Gruppe pflegen können.

Bereits heute besteht die Möglichkeit, in Active Directory die Pflege von Mailverteilern an einzelne Personen zu delegieren. Im Admin-Tool können bei einem Mailverteiler einzelne Personen (keine Gruppen!) definiert werden, die den Verteiler administrieren könnnen, ohne Administrator zu sein. Allerdings funktioniert das bisher nur mit Outlook.

Dasselbe Prinzip wird seit Jahren bei den Netsupport-Gruppen angewandt: Ein ISL definiert eine Netsupportgruppe. Innerhalb diesr Gruppe werden einzelne Mitglieder zu Gruppenadmins ernannt, welche weitere Gruppenmitglieder definieren können. Der ISL selber muss sich nicht darum kümmern.

Implementationsdetails

Tabelle / Modul Beschreibung der Erweiterung
NGROUP neues Feld IS_SELF_MANAGED bedeutet, dass alle Mitglieder dieser Gruppe die Gruppenmitglieder ändern können
meine Services diese Seite muss durch einen weiteren Punkt Gruppen verwalten ergänzt werden, sobald der eingeloggte User Mitglieder einer selbstverwalteten Gruppe ist oder die Admin-Rolle in einer solchen Gruppe hat.
Gruppenadministration die GUI muss so erweitert werden, dass man Gruppen als «selbstverwaltet» deklarieren sowie einzelne Gruppenmitglieder zu Administratoren dieser Gruppe (Gruppenadmin) befördern oder wieder zu normalen Mitgliedern degradieren kann

  • GRID: die betrachtete Gruppe X
  • RESPONSIBLE_GRID: die verantwortliche Gruppe; diese Gruppe kann Gruppe X ändern
  • RESPONSIBLE_NUID: der verantwortliche User; dieser User kann Gruppe X ändern
  • DELEGATED_GRID: einer Admingruppe wurde eine Gruppe X zugewiesen (Verantwortungsbereich)
  • DELEGATED_NUID: einem Admin wurde eine Gruppe X zugewiesen
  • OWNER_GRID: Besitzer der Gruppe X
  • OWNER_NUID: Besitzer der Gruppe X

Verantwortlichkeitsmatrix

GRID RESPONSIBLE_GRID RESPONSIBLE_NUID DELEGATED_GRID DELEGATED_NUID OWNER_GRID Beschreibung
T       A Gruppe T gehört der Admingruppe A (OWNER_GRID) und wird von dieser verwaltet.
S S     A Gruppe S gehört zur Admingruppe A und verwaltet sich selber (RESPONSIBLE_GRID). Admingruppe A hat als Ersteller der Gruppe (Owner) ebenfalls die Möglichkeit, Gruppe S zu verwalten.
LZ     A   Gruppe LZ wurde der Admingruppe A zugeteilt (delegierter Verantwortungsbereich). A kann aber LZ nicht verändern.
Q     p A Gruppe Q gehörte der Admingruppe A und wurde dem Projekt P zugeteilt. Alle Personen oder Gruppen, welche für das Projekt P verantwortlich sind, können auch Gruppe Q administrieren
P   U A  

-- SwenVermeul - 2015-04-01

Topic revision: r2 - 2015-04-01 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback