2 Replies Latest reply on Feb 23, 2010 5:56 AM by DSMForum

    Rollen,Berechtigungen,Policyberechtigungen

    DSMForum Master
      Hallo,

      ich habe ein Problem mit Berechtigungen auf Policys.

      Wir haben mehrere Bereiche mit eigenen PC-Betreuern. Diese sollen PCs installieren und Software zuweisen können. Die Betreuer haben für Ihren Bereich die Rolle ClientManager zugewiesen bekommen. Sie sehen damit in der EMMC im Organisationsbaum nur Ihren Bereich und New Users & Computers.

      Auf Computerobjecte haben wir eine Schemaerweiterung zum Ändern der Netzwerkeinstellungen auf statische IPs (s. Whitepaper).
      Die Policy zum Script haben wir ein OU über den Bereichen zugewiesen, damit alle Computerobjecte das Script ausführen.

      Will ein Betreuer bei einen installierten PC die Netzwerkeinstellungen ändern, kann er zwar die Eigenschaften des Computers ändern, aber nicht die Policy auf "Neu Installiern" ändern (ist ausgegraut). Bei Policys, die in seinem Bereich zugewiesen sind, kann er das tun.
      Setze ich die Rollenberechtigung eine OU höher können Sie die Policy ändern, sehen aber durch das Read-Recht auch alle anderen Bereiche.

      Wir möchten aber nicht für jeden Bereich eine eigene Policy setzen, da
      1. wenn irgendwann eine neuer Bereich kommt kann es vergessen werden
      2. die Betreuer können die Policys löschen.

      Wie kann man das Problem lösen?
      Kann man eine Rolle ohne Read-Rechte, aber mit "Policys verwalten"-Recht erzeugen?

      Dies ist auch nur ein Beispiel. Wir haben eine handvoll Projecte die auf allen Rechnern ausgeführt werden sollen, um einen definierte Client zu bekommen.

      Ich bin gespannt auf Eure antworten.

      MfG
      Ralf