6.8 Konfliktlösung zwischen funktionsbasierten Berechtigungsrichtlinien

6.8.1 Konflikte - Überblick

Beim Erstellen von Berechtigungsrichtlinien kann es vorkommen, dass die für einen bestimmten Benutzer geltenden Richtlinien mit der Zuweisung von Berechtigungen an diesen Benutzer in Konflikt stehen.

Nachstehend erfahren Sie, wie sich solche Konflikte lösen lassen. Bei einigen Berechtigungen können Sie die Methode zur Konfliktlösung ändern.

  • Berechtigungen ohne Werte ergänzen sich.In den meisten Fällen besitzt eine Kontoberechtigung keine Werte. Wenn einem Benutzer mit einer Berechtigungsrichtlinie ein Konto auf einem verbundenen System erteilt wird, erhält der Benutzer ein Konto auf diesem System. Es spielt dabei keine Rolle, ob ein Konflikt mit einer anderen Berechtigungsrichtlinie besteht Es handelt sich bei dem Ergebnis immer um eine Ergänzung.

    Dies trifft immer zu, daher kann die Methode zur Konfliktlösung beim Erteilen von Konten nicht geändert werden.

    Berechtigungen ohne Werte sind mit einem Lichtschalter vergleichbar: Dieser ist entweder ein- oder ausgeschaltet - erteilt oder nicht erteilt.

    Wenn beispielsweise die Berechtigungsrichtlinie „Manager“ einem Benutzer namens Jean Chandler ein Exchange-Konto erteilt, Jean Chandler jedoch von der für das Erteilen von Exchange-Konten zuständigen Berechtigungsrichtlinie „Mail Room Employees“ ausgeschlossen ist, erhält Jean dennoch ein Exchange-Konto.

  • Standardmäßig ergänzen sich Berechtigungen mit Werten im Konfliktfall, Sie können aber auch eine Konfliktlösung nach Priorität vorgeben.Berechtigungen wie z. B. eine Gruppenmitgliedschaft besitzen eine Liste von Gruppennamen für die Werte oder ein Attribut mit einem Wert. Standardmäßig ergänzen sich diese Berechtigungen.

    Für diese Art der Berechtigungen kann die Methode zur Konfliktlösung ggf. geändert werden.

    In jeder Berechtigung ist eine Einstellung, die die Vorgehensweise bei einem Konflikt festlegt. Jede Art der Berechtigung, die für einen Treiber festgelegt wurde, ist im Manifest separat aufgeführt. Berechtigungen mit Werten verfügen über ein Konfliktlösungsattribut, das für jede Berechtigung getrennt gesetzt wird. Die Standardeinstellung ist conflict-resolution="priority". Der andere mögliche Wert lautet conflict-resolution="union".

    • conflict-resolution=“union” — Der Wert “union” bedeutet, dass die Berechtigungen sich ergänzen. Einem Benutzer werden alle Berechtigungen erteilt, die ihm durch die Mitgliedschaft in sämtlichen Richtlinien zustehen. Die abweichenden Berechtigungswerte werden einfach addiert und der Benutzer erhält sie alle.

      Beispiel: Jameel ist Mitglied der Richtlinie „Trade Show Contractors“, die die Mitgliedschaft in der GroupWise-Email-Verteilerliste „Trade Show Mailing List“ erteilt. Er ist jedoch von der Mitgliedschaft in der Richtlinie „Trade Show Managers“, die ebenfalls die Mitgliedschaft in der Email-Verteilerliste „Trade Show Mailing List“ erteilt, ausgeschlossen. In diesem Fall erhält Jameel dennoch die Mitgliedschaft in der Email-Verteilerliste.

      Ein weiteres Beispiel: Consuela wird durch die Richtlinie „Mailroom“ die Mitgliedschaft in der AD-Gruppe „Mailroom Staff“ erteilt. Zudem wird ihr von der Richtlinie „Emergency Volunteers“ die Mitgliedschaft in der AD-Gruppe „Emergency Response“ erteilt. In diesem Fall wird Consuela die Mitgliedschaft in beiden AD-Gruppen erteilt.

      Bei dieser Einstellung spielt die Reihenfolge einer Berechtigungsrichtlinie in der Richtlinienliste keine Rolle.

    • conflict-resolution=“priority” — Wenn sich zwei Werte in unterschiedlichen Richtlinien überschneiden oder eine Richtlinie den Benutzer ein- und eine andere ihn ausschließt, bewirkt der Wert “priority”, dass einem Benutzer nur die Berechtigungen aus der Berechtigungsrichtlinie erteilt werden, die in der Liste weiter oben stehen.

      Bei den vorgenannten Beispielen fällt das Ergebnis mit dieser Einstellung anders aus.

      Jameel beispielsweise erhält keine Mitgliedschaft in „Trade Show Mailing List“, wenn die Richtlinie für die GroupWise-Email-Verteilerliste den Wert “priority” verwendet und die Richtlinie „Trade Show Managers“ in der Liste vor der Richtlinie „Trade Show Contractors“ steht.

      Consuela erhält nur die Mitgliedschaft in der Gruppe „Mailroom Staff“, wenn die AD NOS-Gruppenmitgliedschaftsberechtigung den Wert “priority” verwendet und die Richtlinie „Mailroom“ in der Liste vor der Richtlinie „Emergency Volunteers“ steht. Ihr wird keine Mitgliedschaft in der Gruppe „Emergency Response“ erteilt, weil die Konfliktlösung nach Priorität und nicht durch Ergänzung erfolgt.

      Diese Funktionalität ist hilfreich, wenn Sie in Ihrer Umgebung funktionsbasierte Berechtigungen verwenden, um Benutzer auf einem anderen System in hierarchischen Strukturen anzuordnen. Dadurch können Sie sicherstellen, dass die Benutzer nur jeweils an einem Ort abgelegt werden und nicht an beiden Orten gleichzeitig.

      Beachten Sie, dass diese Einstellung für jede Berechtigung in jedem Treiber einzeln gesetzt werden muss.

      Als allgemeine Regel gilt, dass Administrator- oder Managerrichtlinien bei Verwendung der Einstellung “priority” weiter oben in der Liste stehen sollten als Richtlinien für Endbenutzer oder einzelne Mitarbeiter. Gruppen mit enger gefassten Mitgliedschaftskriterien sollten höher als Gruppen mit breiter gefassten Mitgliedschaftskriterien eingeordnet werden.

6.8.2 Ändern der Konfliktlösungsmethode für einzelne Berechtigungen

  1. Klicken Sie in iManager auf Identity Manager > Identity Manager-Überblick und wählen Sie einen Treibersatz aus.

    Eine Seite mit einer grafischen Darstellung aller Treiber des Treibersatzes wird angezeigt.

    Beschreibung: Auswählen des Treibersatzes

    Abbildung 6-7 Treibersatz

  2. Klicken Sie auf die Schaltfläche für den Treiberstatus und wählen Sie Treiber anhalten.

  3. Klicken Sie auf das Symbol für den Treiber, der die gewünschte Berechtigung enthält.

    Eine Seite mit Symbolen für die Richtlinien des Treibers und für den Treiber selbst wird angezeigt. Klicken Sie in der Mitte der Seite auf das Symbol Alle Berechtigungen anzeigen (rot eingekreist).

    Beschreibung: Auswählen des Symbols „Alle Berechtigungen anzeigen“

  4. Klicken Sie auf der Seite „Berechtigungen verwalten“ auf den Namen der Berechtigung, um die Berechtigung im XML-Viewer zu öffnen.

  5. Aktivieren Sie das Kontrollkästchen XML-Bearbeitung aktivieren.

  6. Suchen Sie in der XML-Datei nach der Definition der Berechtigung, die Sie ändern möchten.

    Hier ein Beispiel für die Zeile, auf die es ankommt:

    <entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">

  7. Ändern Sie den Wert „conflict-resolution“. Die beiden folgenden Werte sind möglich:

    conflict-resolution="union"

    conflict-resolution="priority"

    Informationen zu diesen Werten finden Sie unter Konfliktlösung zwischen funktionsbasierten Berechtigungsrichtlinien.

  8. Klicken Sie auf Neustart, um den Berechtigungs-Service-Treiber neu zu starten.

6.8.3 Festlegen der Prioritäten von Berechtigungsrichtlinien

Standardmäßig spielt die Reihenfolge in der Liste der Berechtigungsrichtlinien keine Rolle. Der Grund dafür ist, dass die mit Identity Manager gelieferten Treiberkonfigurationen bei jeder Berechtigung die Einstellung conflict-resolution="union" als Methode zur Konfliktlösung verwenden.

Wenn Sie eine der Berechtigungen auf conflict-resolution="priority" umstellen, spielt die Reihenfolge in der Liste der Berechtigungsrichtlinien eine Rolle, allerdings nur für die entsprechend geänderten Berechtigungen. Informationen zu diesen Werten finden Sie unter Konfliktlösung zwischen funktionsbasierten Berechtigungsrichtlinien.

Sie ändern die Reihenfolge der Berechtigungsrichtlinien mittels der Pfeilschaltflächen neben der Liste mit den Berechtigungsrichtlinien. Die Richtlinie, die in der Liste ganz oben steht, hat die höchste Priorität.

  1. Klicken Sie in iManager auf Funktionsbasierte Berechtigungen > Funktionsbasierte Berechtigungen.

  2. Wählen Sie einen Treibersatz aus.

    Eine Seite mit einer Liste der Berechtigungsrichtlinien wird angezeigt.

  3. Ändern Sie die Priorität der Berechtigungsrichtlinien mittels der Pfeilschaltflächen, mit denen die Richtlinien in der Liste nach oben oder unten verschoben werden können.

    Wenn Sie eine Berechtigungsrichtlinie in der Liste weiter nach oben verschieben, erhöht sich ihre Priorität.

    Beschreibung: Ändern der Priorität von RichtlinienLange Beschreibung: Die Liste der Berechtigungsrichtlinien in iManager, mit dem Mauszeiger auf dem Aufwärtspfeil. Der Mouse-over-Text lautet: Priorität nach oben.

  4. Klicken Sie auf Schließen, um den Treiber neu zu starten.

    Die Änderungen an der Priorität werden erst nach einem Neustart des Treibers wirksam.