Benutzer-Zugriffsrechte für MSPs verwalten
in 4 einfachen Schritten
In einem komplexen Netzwerküberwachungs-Setup möchten Sie normalerweise vermeiden, dass jeder Benutzer auf jedes Objekt in Ihrem Setup zugreifen kann. Dies ist umso wichtiger, falls Sie ein Managed Service Provider (MSP) sind, der mehrere Kunden in einer PRTG Installation verwaltet.
Natürlich sollte ein Kunde beispielsweise Zugang zu seinen eigenen Geräten, Maps oder Berichten haben, aber er sollte nicht in der Lage sein, die Geräte, Maps oder Berichte eines anderen Kunden zu sehen oder darauf zuzugreifen. Hier kommt die Zugriffsrechteverwaltung von PRTG Network Monitor ins Spiel. In diesem How-to Guide wollen wir Ihnen als MSP zeigen, wie Sie Zugriffsrechte für mehrere Kunden definieren.
Regeln für Zugriffsrechte in PRTG
Einzelne Benutzer sind in Benutzergruppen organisiert:
Die Zugriffsrechte auf einzelne Objekte im Gerätebaum, z. B. Geräte oder Sensoren, aber auch Bibliotheken, Maps und Berichte, werden auf Gruppenebene festgelegt.
Die tatsächlichen Gruppen-Zugriffsrechte für einzelne Objekte werden in den Einstellungen eines Objekts definiert. Sie können lokal definiert oder von Objekten geerbt werden, die im Gerätebaum weiter oben liegen.
Verfügbare Gruppen-Zugriffsrechte für Objekte sind:
- Keine Zugriffsrechte: Die Benutzer dieser Gruppe sehen das jeweilige Objekt nicht.
- Nur-Lesezugriff: Die Benutzer dieser Gruppe können Monitoring-Daten nur ansehen.
- Schreibzugriff: Die Benutzer dieser Gruppe können Monitoring-Daten sehen, Objekteinstellungen bearbeiten und Objekte hinzufügen und löschen.
- Vollzugriff: Die Benutzer dieser Gruppe können Monitoring-Daten sehen, Objekteinstellungen bearbeiten, Objekte hinzufügen und löschen und Zugriffsrechte für Objekte bearbeiten.
Benutzer können auch spezifische Zugriffsrechte haben. Es gibt Benutzer mit Nur-Lesezugriff und Benutzer mit Schreibzugriff. Die Zugriffsrechte für Benutzer mit Nur-Lesezugriff haben immer Vorrang vor Gruppen-Zugriffsrechten. Das heißt, selbst wenn ein Benutzer mit Nur-Lesezugriff zu einer Benutzergruppe mit Schreibzugriff auf ein Objekt gehört, hat er dennoch nur Lesezugriff.
Benutzer, die Mitglied einer Administratorgruppe sind, haben immer Administratorrechte. Das bedeutet, dass sie überall vollen Zugriff haben. Sie können auch Benutzerkonten und Benutzergruppen erstellen und verwalten. Benutzer mit Nur-Lesezugriff können nicht Mitglied einer Administratorgruppe sein.
Wussten Sie schon?
Jeder Benutzer muss Mitglied einer sogenannten Primärgruppe sein, damit es keinen Benutzer ohne Gruppenzugehörigkeit gibt. Sie können optional auch Mitglied anderer Benutzergruppen sein – es gibt keinen Unterschied in der Benutzererfahrung zwischen einer Primärgruppe und anderen Benutzergruppen. Nur Administratoren können einem Benutzer eine Primärgruppe zuweisen.
Überlegen Sie zunächst, wie Sie Ihre Kunden in Ihrer PRTG Installation verwalten wollen.
- Wollen Sie auf Ihrer Local Probe für jeden Kunden eine Benutzergruppe anlegen und diese somit auf Ihrem eigenen Probe-System verwalten?
- Oder möchten Sie pro Kunde eine Remote Probe verwenden und jeden Kunden auf seinem eigenen Remote Probe System verwalten?
Anwendungsfälle können unterschiedlich sein, daher nehmen wir für den Moment an, dass Sie mit Remote Probes arbeiten.
Führen Sie die folgenden Schritte durch, um Ihre Zugriffsrechteverwaltung vorzubereiten:
Schritt 1
Installieren Sie eine Remote Probe pro Kunde. Weitere Informationen finden Sie unter Wie man eine PRTG Remote Probe in 4 Schritten installiert.
Schritt 2
Richten Sie den Gerätebaum nach den Anforderungen des Kunden ein. Weitere Informationen finden Sie auch im How-to Guide Wie Sie Ihren Gerätebaum manuell in 3 Schritten einrichten.
Schritt 3
Fragen sind interessant:
- Welche Benutzergruppen mit welchen Gruppen-Zugriffsrechten benötigt der Kunde?
- Welche Benutzerkonten mit welchen Benutzerzugriffsrechten benötigt er?
- Welche Benutzergruppen erhalten Zugriff auf welche Objekte?
Jetzt ist es an der Zeit, die Benutzergruppen hinzuzufügen, die Ihre Kunden benötigen. Sie können PRTG Benutzergruppen erstellen oder Active-Directory-Gruppen in PRTG integrieren.
Beachten Sie, dass Benutzer nicht gleichzeitig Mitglied in beiden Arten von Benutzergruppen sein können. Verwenden Sie nur eine Art von Benutzergruppen, um Ihren Verwaltungsaufwand zu minimieren. Hier werden wir eine PRTG Benutzergruppe erstellen. Informationen zum Hinzufügen von Active-Directory-Gruppen finden Sie im Abschnitt Active Directory Integration im PRTG Manual.
- Gehen Sie zu Konfiguration | Systemverwaltung | Benutzergruppen. Fahren Sie mit der Maus über und wählen Sie Benutzergruppe hinzufügen.
- Geben Sie einen aussagekräftigen Namen für die Gruppe ein.
- Legen Sie bei Administrative Rechte fest, ob Mitglieder dieser Benutzergruppe vollen Zugriff auf alle Überwachungsobjekte, Berichte, Karten, Benutzerkonten, Benutzergruppen und vieles mehr haben.
- Wählen Sie bei Erlaubte Sensoren, ob Mitglieder dieser Benutzergruppe alle Sensortypen erstellen können.
- Wählen Sie bei Zugriff auf das Ticketsystem aus, ob Mitglieder dieser Benutzergruppe das Ticketsystem nutzen können.
- Lassen Sie alle anderen Einstellungen unverändert und klicken Sie auf Erstellen.
Sie sehen jetzt im Gerätebaum eine neue Gruppe mit dem Namen [Gruppenname]-Hauptgruppe. Standardmäßig haben die Mitglieder dieser Benutzergruppe keinen Zugriff auf Objekte im Gerätebaum, Bibliotheken, Karten oder Berichte, es sei denn, sie haben Administratorrechte.
Nachdem Sie Benutzergruppen erstellt haben, fügen Sie die Benutzerkonten hinzu, die Ihre Kunden benötigen, und ordnen Sie die Benutzer den entsprechenden Benutzergruppen zu. Hier werden wir lokale Benutzerkonten verwenden.
Informationen zum Hinzufügen von Active-Directory-Benutzern finden Sie im Abschnitt Active Directory Integration im PRTG Manual.
Legen Sie unter Kontotyp fest, ob der Benutzer Schreib- oder Nur-Lesezugriff erhalten soll.
Beachten Sie dabei immer die Regeln für Zugriffsrechte in PRTG!
Legen Sie unter Änderungen des Kennworts fest, ob der Benutzer das Kennwort für sein Konto ändern darf. Diese Option ist nur sichtbar, wenn Sie zuvor Benutzer mit Nur-Lesezugriff gewählt haben.
Wählen Sie unter Primärgruppe die primäre Gruppe für diesen Benutzer aus der Liste der Benutzergruppen aus.
Wählen Sie im Abschnitt Ticketsystem unter E-Mail-Benachrichtigungen aus, ob der Benutzer E-Mails vom Ticketsystem empfangen kann.
Lassen Sie alle anderen Einstellungen unverändert und klicken Sie auf Erstellen.
Mehrere Benutzer hinzufügen
Natürlich können Sie auch mehrere Benutzer auf einmal hinzufügen. Wählen Sie beim Mouseover-Menü Mehrere Benutzer hinzufügen und eine bestehende Benutzergruppe aus Ihrer Liste aus, und geben Sie dann die E-Mail-Adressen ein, für die Sie Benutzerkonten erstellen möchten.
Beachten Sie, dass Sie keine individuellen Benutzerzugriffsrechte definieren können, wenn Sie mehrere Benutzer auf einmal hinzufügen. Dies ist nur in den spezifischen Benutzerkonten möglich.
Jetzt können Sie die tatsächlichen Zugriffsrechte für Objekte in Ihrem Gerätebaum (dies können Sensoren, Geräte, Gruppen oder Probes sein), Bibliotheken, Karten und Berichte definieren.
- Verwenden Sie das Kontextmenü eines Objekts und wählen Sie Bearbeiten | Zugriffsrechte. Oder definieren Sie Zugriffsrechte in den Einstellungen eines Objekts.
- Um individuelle Zugriffsrechte pro Benutzergruppe zu definieren, deaktivieren Sie die Schaltfläche neben übernehmen von unter Zugriffsrechte.
- Wählen Sie für jede Benutzergruppe ein Gruppen-Zugriffsrecht aus dem Dropdown-Menü.
- Klicken Sie auf OK, um Ihre Einstellungen zu speichern.
Und das war's! Jetzt können Sie mit der Feinabstimmung der Verwaltung Ihrer Zugriffsrechte für alle anderen Benutzer, Benutzergruppen und Objekte fortfahren.
Sie möchten ausführlichere Informationen über die
Verwaltung von Zugriffsrechten in PRTG?
Sehen Sie sich die folgenden Abschnitte im PRTG Manual an: