CMDB (Rechteverwaltung)#
Innerhalb der IT-Dokumentation in i-doit können zahlreiche Rechte vergeben werden, um sehr feingranular zu bestimmen, wer was sehen und bearbeiten darf. Hierzu ist es nützlich, die Struktur der IT-Dokumentation zu kennen.
Rechte#
Die Konfiguration ist unter Verwaltung → Rechtesystem → Rechtevergabe → CMDB zu erreichen.
 Erstellen |  Ansehen1 |  Bearbeiten |  Archivieren |  Löschen |  Ausführen |  Administrator | Bedingung2 | Parameter |
|---|---|---|---|---|---|---|---|---|
| - | Objekt in Objekt-Liste darstellen; Quick Info bei Mouseover aufrufen | Objekt in der Erweiterung Gerätetausch austauschen; Person zu Personengruppe hinzufügen4 | Objekt archivieren und wiederherstellen | Objekt als gelöscht markieren und wiederherstellen | - | Objekt unwiderruflich löschen (purge) | Objekt-ID | Ein, mehrere oder alle Objekte auswählen |
| Neues Objekt eines Typs in Objekt-Liste erstellen | Objekt in Objekt-Liste darstellen; Quick Info bei Mouseover aufrufen | Neues Objekt eines Typs erstellen | Objekt eines Typs archivieren und wiederherstellen | Objekt eines Typsals gelöscht markieren und wiederherstellen | - | Objekt eines Typs unwiderruflich löschen (purge) | Objekt(e) vom Typ | Einen, mehrere oder alle Objekttypen auswählen |
| - | Objekttyp-Konfiguration darstellen | Bestehenden Objekttyp bearbeiten oder neuen erstellen | - | Objekttyp unwiderruflich löschen (purge) | - | Ohne Funktion | Objekttyp Konfiguration | Einen, mehrere oder alle Objekttypen auswählen |
| - | Objekt unterhalb der Lokation in Objekt-Liste darstellen; Quick Info bei Mouseover aufrufen | Neues Objekt unterhalb der Lokation erstellen | - | - | - | - | Objekte unterhalb eines Standorts | Standort wählen |
| - | Objekt unterhalb des logischen Standorts in Objekt-Liste darstellen; Quick Info bei Mouseover aufrufen | Neues Objekt unterhalb des logischen Standorts erstellen | Objekt unterhalb des logischen Standorts archivieren und wiederherstellen | Objekt unterhalb des logischen Standorts als gelöscht markieren und wiederherstellen | - | Objekt unterhalb des logischen Standorts unwiderruflich löschen (purge) | Objekte unterhalb eines logischen Standorts | Logischen Standort wählen |
| - | Attribute einer Kategorie betrachten | Bestehenden Kategorie-Eintrag bearbeiten oder neuen erstellen | Kategorie-Eintrag archivieren und wiederherstellen | Kategorie-Eintrag als gelöscht markieren und wiederherstellen | Ping und NSLOOKUP in Kategorie Netz verwenden | Kategorie-Eintrag unwiderruflich löschen (purge) | Kategorie | Eine, mehrere oder alle Kategorien auswählen |
| Neuen Eintrag in einer Listen-Kategorie (Multi-Value) eines bestimmten Objekttyps erstellen | Attribute einer Kategorie eines bestimmten Objekttyps darstellen | Bestehenden Kategorie-Eintrag eines bestimmten Objekttyps bearbeiten oder neuen erstellen | Kategorie-Eintrag eines bestimmten Objekttyps archivieren und wiederherstellen | Kategorie-Eintrag eines bestimmten Objekttyps als gelöscht markieren und wiederherstellen | Ping und NSLOOKUP in Kategorie Netz verwenden | Kategorie-Eintrag eines bestimmten Objekttyps unwiderruflich löschen (purge) | Kategorie in Objekttyp | Eine, mehrere oder alle Kategorien eines bestimmten Objekttyps auswählen |
| Neuen Eintrag in einer Listen-Kategorie (Multi-Value) eines bestimmten Objekts erstellen | Attribute einer Kategorie eines bestimmten Objekts darstellen | Bestehenden Kategorie-Eintrag eines bestimmten Objekts bearbeiten oder neuen erstellen | Kategorie-Eintrag eines bestimmten Objekts archivieren und wiederherstellen | Kategorie-Eintrag eines bestimmten Objekts als gelöscht markieren und wiederherstellen | Ping und NSLOOKUP in Kategorie Netz verwenden | Kategorie-Eintrag eines bestimmten Objekts unwiderruflich löschen (purge); Person zu Personengruppe hinzufügen4 | Kategorie in Objekt | Eine, mehrere oder alle Kategorien eines bestimmten Objekts auswählen |
| Neuen Eintrag in einer Listen-Kategorie (Multi-Value) eines Objekts unterhalb einer bestimmten Lokation erstellen | Attribute einer Kategorie unterhalb einer Lokation darstellen | Bestehenden Kategorie-Eintrag unterhalb einer Lokation bearbeiten oder neuen erstellen | Kategorie-Eintrag unterhalb einer Lokation archivieren und wiederherstellen | Kategorie-Eintrag unterhalb einer Lokation als gelöscht markieren und wiederherstellen | Ping und NSLOOKUP in Kategorie Netz verwenden | Kategorie-Eintrag unterhalb einer Lokation unwiderruflich löschen (purge) | Kategorie in Objekten unterhalb eines Standortes | Eine, mehrere oder alle Kategorien unterhalb einer Lokation auswählen |
| Neuen Eintrag in einer Listen-Kategorie (Multi-Value) eines selbst erstellen Objekts erstellen | Attribute einer Kategorie eines selbst erstellen Objekts darstellen | Bestehenden Kategorie-Eintrag eines selbst erstellen Objekts bearbeiten oder neuen erstellen | Kategorie-Eintrag eines selbst erstellen Objekts archivieren und wiederherstellen | Kategorie-Eintrag eines selbst erstellen Objekts als gelöscht markieren und wiederherstellen | Ping und NSLOOKUP in Kategorie Netz verwenden | Kategorie-Eintrag eines selbst erstellen Objekts unwiderruflich löschen (purge); Person zu Personengruppe hinzufügen4 | Kategorie(n) in von mir erstellten Objekten | Eine, mehrere oder alle Kategorien von selbst erstellten Objekten auswählen |
| - | - | - | - | - | Änderungen durch die Listeneditierung speichern | - | Listeneditierung3 | - |
| - | Ohne Funktion | - | - | - | Eigene Objekt-Listen anpassen | - | Objekt-Listen definieren | - |
| - | Ohne Funktion | - | - | - | Objekt-Listen anderer Benutzer anpassen | - | Objekt-Listen anderer Benutzer überschreiben | - |
| - | Ohne Funktion | - | - | - | Objekt-Listen für neue Benutzer anpassen | - | Objekt-Listen als Standard definieren | - |
| - | CMDB-Explorer für jedes Objekt aufrufen | - | - | - | - | - | CMDB-Explorer3 | - |
| - | Profile verwenden | Neues Profil erstellen oder bestehende bearbeiten | - | Bestehendes Profil unwiderruflich löschen (purge) | - | - | CMDB-Explorer Profile | - |
| - | Standorte in einer Baumstruktur darstellen | - | - | - | - | - | Standortsicht | - |
Anmerkungen:
- Das Ansehen-Recht ist pro Bedingung immer angehakt und daher ausgegraut.
- Einige Rechte können sich überschneiden. Hat man beispielsweise das Lese-Recht für alle Objekte, braucht man nicht zusätzlich das Lese-Recht auf Objekte aller Objekttypen.
- Diese Funktion umgeht an anderer Stelle definierte Rechte. Um alle Rechte zu berücksichtigen, siehe erweiterte Einstellungen weiter unten.
- Wird eine Person einer Personengruppe hinzugefügt, erbt diese Person die Rechte der Gruppe. Damit Benutzer sich dadurch nicht zusätzliche Rechte verschaffen, wird das Administrator-Recht für die entsprechenden Kategorien benötigt. Zusätzlich ist das Bearbeiten-Recht auf die Bedingung Objekt-ID für ebendiese Objekte vom Typ Personen und Personengruppe erforderlich.
Automatisches Recht auf selbst erstellte Objekte#
Hat ein Benutzer das Recht, ein neues Objekt zu erstellen und nutzt dies auch, erbt der Benutzer automatisch das Recht, das Objekt sehen und bearbeiten zu dürfen. Diese Vererbung wird allerdings nicht in der Rechteverwaltung angezeigt und kann nicht widerrufen werden.
Erweiterte Einstellungen#
Für das CMDB-Modul existieren erweiterte Einstellungen. Standardmäßig sind diese nicht aktiv, sondern müssen unter Verwaltung → [Mandanten-Name] Verwaltung → Experteneinstellungen eingetragen werden. Folgend wird der jeweilige Key beschrieben. Aktiviert wird die Einstellung, wenn Value mit 1 angegeben wird. Deaktiviert wird die Einstellung mit Value 0. Alle genannten Einstellungen wirken sich nur auf den derzeit aktiven Mandanten aus und sind daher auf Tenant-wide zu stellen.
- auth.use-in-cmdb-explorer: Im CMDB-Explorer werden alle an anderer Stelle getätigten Rechte berücksichtigt. Objekte, für die der Benutzer kein Lese-Recht hat, werden weder dargestellt noch weiter iteriert. Andernfalls werden alle Objekte ohne Prüfung dargestellt.
- auth.use-in-cmdb-explorer-service-browser: Im CMDB-Explorer stehen über den Button Service Auswahl alle Services zur Verfügung, für die der Benutzer das Lese-Recht besitzt. Anderfalls stehen alle Service-Objekte ohne Prüfung zur Auswahl.
- auth.use-in-object-browser: Die Überprüfung des Lese-Rechts wird auch im Objekt-Browser (sowie seiner Derivate) aktiviert. Objekte, für die der Benutzer kein Lese-Recht hat, stehen nicht zur Auswahl. Bereits ausgewählte Objekte (zum Beispiel von anderen Benutzern) werden mit [Ausgeblendet] dargestellt. Ist diese Einstellung nicht aktiv, werden alle Objekte im Objekt-Browser angezeigt.
- auth.use-in-location-tree: Besitzt der Benutzer wie oben beschrieben das Recht, die Standortsicht zu verwenden, werden alle Objekte, die einem Standort zugeordnet sind, unabhängig von den Lese-Rechten dargestellt. Wird diese Einstellung aktiviert, werden für jedes Objekt in dieser Baumansicht zusätzlich die Lese-Rechte überprüft. Sollte für Objekte das Lese-Recht fehlen, werden diese sowie alle darunter angesiedelte Objekte nicht dargestellt.
Performance
Die Berücksichtigung der erweiterten Einstellungen kann Auswirkungen auf die Performance von i-doit haben.
Kategorie Rechteverwaltung#
Die Kategorie Rechteverwaltung wird mit einem Schloss-Symbol zu jedem Objekt dargestellt und kann nicht abgewählt werden. Alle Rechte, die mit dem jeweiligen Objekt in Berührung stehen, werden pro Person und Personengruppe aufgeschlüsselt. Zudem können die Rechte erweitert werden. Bestehende Rechte können hierüber nicht angepasst werden. Dafür ist die oben beschriebene Konfiguration gedacht.
