SharePoint Rollen werden auf der Ebene von Websites definiert. Für die Root-Site einer Websitesammlung sind immer Rollen definiert. Untergeordnete Websites können diese Rollendefinitionen erben. Ebenso werden Rollen auf der Root-Site einer Websitesammlung an Gruppen oder Benutzerkonten zugewiesen. Auch diese Zuweisungen können untergeordnete Websites erben. Über die Option Eigene Rollendefinitionen ist festgelegt, ob eine Website die Rollen von der übergeordneten Website erbt. Über die Optionen Eigenen Rollenzuweisungen ist festgelegt, ob Benutzerkonten und Gruppen auf eine Website explizit berechtigt werden können oder ob die Rollenzuweisungen von der übergeordneten Website geerbt werden.
Verwalten einer SharePoint Umgebung
Architekturüberblick
One Identity Manager Benutzer für die Verwaltung einer SharePoint-Umgebung
Forderungsbasierte Authentifizierung
Einrichten der Synchronisation mit einer SharePoint Farm
Benutzer und Berechtigungen für die Synchronisation mit einer SharePoint Farm
Einrichten des Synchronisationsservers
Erstellen eines Synchronisationsprojekts für die initiale Synchronisation einer SharePoint Farm
Besonderheiten bei der Synchronisation zulässiger Berechtigungen
Synchronisationsergebnisse anzeigen
Anpassen einer Synchronisationskonfiguration
Basisdaten für die Verwaltung einer SharePoint-Umgebung
Synchronisation in die SharePoint-Umgebung konfigurieren
Synchronisation verschiedener SharePoint Farmen konfigurieren
Einstellungen der Systemverbindung zur SharePoint Farm ändern
Schema aktualisieren
Beschleunigung der Synchronisation durch Revisionsfilterung
Nachbehandlung ausstehender Objekte
Provisionierung von Mitgliedschaften konfigurieren
Einzelobjektsynchronisation konfigurieren
Beschleunigung der Provisionierung und Einzelobjektsynchronisation
Unterstützung bei der Analyse von Synchronisationsproblemen
Deaktivieren der Synchronisation
Einzelobjekte synchronisieren
Datenfehler bei der Synchronisation ignorieren
Authentifizierungsmodi
Präfixe
Zonen und alternative URLs
SharePoint Webvorlagen
SharePoint Berechtigungen
SharePoint Kontingente
SharePoint Sprachen
Bearbeiten eines Servers
Zielsystemverantwortliche
Einrichten von Kontendefinitionen
SharePoint Farmen
SharePoint Webanwendungen
SharePoint Websitesammlungen und Websites
Erstellen einer Kontendefinition
Erstellen der Automatisierungsgrade
Erstellen einer Abbildungsvorschrift für IT Betriebsdaten
Erfassen der IT Betriebsdaten
Ändern der IT Betriebsdaten
Zuweisen der Kontendefinition an Personen
Kontendefinition an Abteilungen, Kostenstellen und Standorte zuweisen
Kontendefinition an Geschäftsrollen zuweisen
Kontendefinition an alle Personen zuweisen
Kontendefinition direkt an Personen zuweisen
Kontendefinition an Systemrollen zuweisen
Kontendefinition in den IT Shop aufnehmen
Zuweisen der Kontendefinition an ein Zielsystem
Löschen einer Kontendefinition
SharePoint Websitesammlungen
SharePoint Benutzerkonten
Allgemeine Stammdaten einer Websitesammlung
Festlegen der Kategorien für die Vererbung von SharePoint Gruppen
SharePoint Websites
Allgemeine Stammdaten einer Website
Adressdaten einer Website
Designinformationen einer Website
Zusätzliche Aufgaben zur Verwaltung von Websites
Vererbung von Berechtigungen an untergeordnete Websites
Einrichten von SharePoint Websitesammlungen und Websites
Unterstützte Typen von Benutzerkonten
Erfassen der Stammdaten für SharePoint Benutzerkonten
SharePoint Rollen und Gruppen
Stammdaten eines gruppenauthentifizierten Benutzerkontos
Stammdaten eines benutzerauthentifizierten Benutzerkontos
Zusätzliche Aufgaben zur Verwaltung von SharePoint Benutzerkonten
Überblick über das SharePoint Benutzerkonto
SharePoint Gruppen direkt an ein SharePoint Benutzerkonto zuweisen
SharePoint Rollen direkt an ein Benutzerkonto zuweisen
Zusatzeigenschaften zuweisen
Unternehmensspezifische Authentifizierungsmodi nutzen
Automatische Zuordnung von Personen zu SharePoint Benutzerkonten
Löschen und Wiederherstellen von SharePoint Benutzerkonten
SharePoint Gruppen
Berechtigungen für SharePoint Webanwendungen
Berichte über SharePoint Objekte
Anhang: Konfigurationsparameter für die Verwaltung einer SharePoint-Umgebung
Anhang: Standardprojektvorlage für SharePoint
Erfassen der Stammdaten für SharePoint Gruppen
SharePoint Gruppen an SharePoint Benutzerkonten zuweisen
SharePoint Rollen und Berechtigungsstufen
SharePoint Gruppen an Abteilungen, Kostenstellen und Standorte zuweisen
SharePoint Gruppen an Geschäftsrollen zuweisen
SharePoint Benutzerkonten direkt an eine SharePoint Gruppe zuweisen
SharePoint Rollen an SharePoint Gruppen zuweisen
SharePoint Gruppen in Systemrollen aufnehmen
SharePoint Gruppen in den IT Shop aufnehmen
SharePoint Gruppen automatisch in den IT Shop aufnehmen
Zusätzliche Aufgaben für die Verwaltung von SharePoint Gruppen
Überblick über die SharePoint Gruppe
Wirksamkeit von Gruppenmitgliedschaften
Vererbung von SharePoint Gruppen anhand von Kategorien
Zusatzeigenschaften an SharePoint Gruppen zuweisen
Löschen von SharePoint Gruppen
Standardlösungen für die Bestellung von SharePoint Gruppen
Erfassen der Stammdaten für SharePoint Berechtigungsstufen
Zusätzliche Aufgaben für die Verwaltung von SharePoint Berechtigungsstufen
Besonderheiten bei der Synchronisation zulässiger Berechtigungen
Erfassen der Stammdaten für SharePoint Rollen
SharePoint Rollen an SharePoint Benutzerkonten zuweisen
SharePoint Rollen an Abteilungen, Kostenstellen und Standorte zuweisen
SharePoint Rollen an Geschäftsrollen zuweisen
SharePoint Benutzerkonten direkt an eine SharePoint Rolle zuweisen
SharePoint Gruppen an SharePoint Rollen zuweisen
SharePoint Rollen in Systemrollen aufnehmen
SharePoint Rollen in den IT Shop aufnehmen
Zusätzliche Aufgaben für die Verwaltung von SharePoint Rollen
Überblick über die SharePoint Rolle
Wirksamkeit von SharePoint Rollen
Zusatzeigenschaften an SharePoint Rollen zuweisen
Löschen von SharePoint Rollen und Berechtigungsstufen
Vererbung von Berechtigungen an untergeordnete Websites
Einrichten von SharePoint Websitesammlungen und Websites
Websitesammlungen und Websites werden in der Standardinstallation des One Identity Manager durch die Synchronisation in die One Identity Manager-Datenbank lediglich eingelesen. Über unternehmensspezifische Anpassungen ist es möglich, Websitesammlungen und Websites im One Identity Manager neu anzulegen und in die SharePoint-Umgebung zu publizieren. Zu diesem Zweck werden die Spalten UID_SPSPrefix und UID_SPSWebTemplate an der Tabelle SPSWeb sowie vordefinierte Skripte und Prozesse bereitgestellt.
Hinweis: Folgende Skripte und Prozesse können Sie nutzen, um Websitesammlungen und Websites über den IT Shop bestellbar zu machen. Passen Sie diese Skripte und Prozesse in jedem Fall unternehmensspezifisch an!
| Skript/Prozess | Beschreibung |
|---|---|
| Skript VI_CreateSPSSite | Erstellt eine neue Websitesammlung und die zugehörige Root-Site in der One Identity Manager-Datenbank. Erzeugt ein Benutzerkonto, das als Administrator der Websitesammlung bzw. Autor der Root-Site eingetragen wird. |
| Skript VI_CreateSPSWeb | Erstellt eine neue Website innerhalb einer Websitesammlung in der One Identity Manager-Datenbank. |
| Prozess SP0_SPWeb_(De-)Provision | Erstellt eine neue Website innerhalb einer Websitesammlung. Der Prozess wird durch das Ereignis PROVISION ausgelöst, wenn die Website in der One Identity Manager-Datenbank nicht als Root-Site gekennzeichnet ist. |
| Prozess SP0_SPSite_(De-)Provision | Erstellt eine neue Websitesammlung innerhalb einer Webanwendung und die zugehörige Root-Site. Der Prozess wird durch das Ereignis PROVISION ausgelöst. |
Folgende Schritte sind darüber hinaus erforderlich:
- Definieren Sie ein bestellbares Produkt, über das die Websitesammlung/Website im IT Shop bestellt wird.
- Definieren Sie Produkteigenschaften, die auf die Skriptparameter gemappt werden (beispielsweise Webanwendung, Präfix oder Webvorlage). Diese Produkteigenschaften müssen bei der Bestellung der Websitesammlung/Website erfasst werden.
- Erstellen Sie einen Prozess für die Tabelle PersonWantsOrg, der ausgelöst wird, wenn die Bestellung genehmigt wurde (Ereignis OrderGranted). Der Prozess ruft das passende Skript auf und besetzt dessen Parameterwerte mit den definierten Produkteigenschaften. Dadurch wird die Websitesammlung/Website in der One Identity Manager-Datenbank angelegt.
SharePoint Benutzerkonten
SharePoint Benutzerkonten halten die zur Authentifizierung eines Benutzers notwendigen Informationen vor, wie beispielsweise den Authentifizierungsmodus
Jedes SharePoint Benutzerkonto repräsentiert ein Objekt aus einem Authentifizierungssystem, dem die SharePoint-Installation vertraut. Wenn dieses Authentifizierungssystem als Zielsystem im One Identity Manager verwaltet wird, kann das zur Authentifizierung genutzte Objekt am SharePoint Benutzerkonto als Authentifizierungsobjekt
Beispiel
Für eine Websitesammlung soll ein Gastzugang eingerichtet werden, der nur zum Lesen berechtigt. Dafür wird ein SharePoint Benutzerkonto angelegt. Diesem Benutzerkonto wird als Authentifizierungsobjekt die Active Directory Gruppe "Guests" zugeordnet. Clara Harris besitzt ein Active Directory Benutzerkonto, das Mitglied dieser Gruppe ist. Damit kann sie sich an der Websitesammlung anmelden und erhält alle Berechtigungen des SharePoint Benutzerkontos.
Jan Bloggs soll ebenfalls einen Gastzugang für die Websitesammlung erhalten. Er besitzt ein Active Directory Benutzerkonto in der selben Domäne. Im Web Portal bestellt er die Mitgliedschaft in der Active Directory Gruppe "Guests". Sobald die Bestellung genehmigt und zugewiesen ist, kann er sich an der Websitesammlung anmelden.
Standardmäßig können im One Identity Manager folgende Objekte als Authentifizierungsobjekte zugeordnet werden:
- Active Directory Gruppen (ADSGroup)
- Active Directory Benutzerkonten (ADSAccount)
- LDAP Gruppen (LDAPGroup)
- LDAP Benutzerkonten (LDAPAccount)
Bei der Synchronisation versucht der One Identity Manager anhand des Anmeldenamens das passende Authentifizierungsobjekt zuzuordnen.
Abhängig vom referenzierten Authentifizierungsobjekt werden SharePoint Zugriffsberechtigungen im One Identity Manager auf unterschiedliche Weise bereitgestellt.
Fall 1: Das Authentifizierungsobjekt ist eine Gruppe. Das Authentifizierungssystem wird im One Identity Manager verwaltet. (Standardfall)
- Das Benutzerkonto repräsentiert eine Active Directory oder LDAP Gruppe. Diese Gruppe kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
- Dem Benutzerkonto kann keine Person zugeordnet werden. Damit kann das Benutzerkonto nur über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden.
- Damit sich eine Person am SharePoint-System anmelden kann, benötigt sie ein Active Directory oder LDAP Benutzerkonto. Dieses Benutzerkonto muss Mitglied in der als Authentifizierungsobjekt genutzten Active Directory oder LDAP Gruppe sein.
- Ein neues SharePoint Benutzerkonto kann manuell erstellt werden.
- Das Benutzerkonto kann nicht über eine Kontendefinition verwaltet werden.
Fall 2: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird im One Identity Manager verwaltet.
- Das Benutzerkonto repräsentiert ein Active Directory oder LDAP Benutzerkonto. Dieses Benutzerkonto kann im One Identity Manager als Authentifizierungsobjekt zugeordnet werden.
- Dem SharePoint Benutzerkonto kann eine Person zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden.
Wenn ein Authentifizierungsobjekt zugeordnet ist, wird die verbundene Person über das Authentifizierungsobjekt ermittelt.
Wenn kein Authentifizierungsobjekt zugeordnet ist, kann die Person automatisch oder manuell zugeordnet werden. Die automatische Personenzuordnung ist abhängig von den Konfigurationsparametern "TargetSystem\SharePoint\PersonAutoFullsync" und "TargetSystem\SharePoint\PersonAutoDefault".
- Ein neues SharePoint Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Das Active Directory oder LDAP Benutzerkonto, das als Authentifizierungsobjekt genutzt wird, muss zu einer Domäne gehören dem das referenzierte Authentifizierungssystem vertraut.
- Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.
Fall 3: Das Authentifizierungsobjekt ist ein Benutzerkonto. Das Authentifizierungssystem wird nicht im One Identity Manager verwaltet.
- Dem Benutzerkonto kann kein Authentifizierungsobjekt zugeordnet werden.
- Dem Benutzerkonto kann eine Person manuell oder automatisch zugeordnet werden. Damit kann das Benutzerkonto über Vererbung und über Direktzuweisung Mitglied in SharePoint Rollen und Gruppen werden. Die automatische Personenzuordnung ist abhängig von den Konfigurationsparametern "TargetSystem\SharePoint\PersonAutoFullsync" und "TargetSystem\SharePoint\PersonAutoDefault".
- Ein neues SharePoint Benutzerkonto kann manuell oder über eine Kontendefinition erstellt werden. Wenn eine Kontendefinition verwendet wird, müssen die Bildungsregeln für die Spalten SPSUser.LoginName und SPSUSer.DisplayName kundenspezifisch angepasst werden.
- Das Benutzerkonto kann über eine Kontendefinition verwaltet werden.
Die Grundlagen zur Verwaltung von Personen und Benutzerkonten sind im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul beschrieben.
Unterstützte Typen von Benutzerkonten
Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.
Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.
-
Identität
Mit der Eigenschaft Identität (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.
Tabelle 19: Identitäten von Benutzerkonten Identität Beschreibung Wert der Spalte IdentityType Primäre Identität
Standardbenutzerkonto einer Person.
Primary
Organisatorische Identität
Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.
Organizational
Persönliche Administratoridentität
Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.
Admin
Zusatzidentität
Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.
Sponsored
Gruppenidentität
Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird.
Shared
Dienstidentität
Dienstkonto.
Service
HINWEIS: Um mit Identitäten für Benutzerkonten zu arbeiten, benötigen die Personen ebenfalls Identitäten. Benutzerkonten, denen eine Identität zugeordnet ist, können Sie nur mit Personen verbinden, die dieselbe Identität haben.
Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität werden für die verschiedenen Benutzerkonten genutzt, mit denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.
Um Benutzerkonten mit einer persönlichen Administratoridentität oder einer organisatorische Identität für eine Person bereitzustellen, richten Sie für die Person Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.
Benutzerkonten mit einer Zusatzidentität, einer Gruppenidentität oder einer Dienstidentität verbinden Sie mit Pseudo-Personen, die keinen Bezug zu einer realen Person haben. Diese Pseudo-Personen werden benötigt, um Berechtigungen an die Benutzerkonten vererben zu können. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob die Pseudo-Personen gesondert betrachtet werden müssen.
Ausführliche Informationen zur Abbildung von Identitäten von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
-
Privilegiertes Benutzerkonto
Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.
Standardbenutzerkonten
In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person.
Um Standardbenutzerkonten über Kontendefinitionen zu erstellen
-
Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.
-
Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
-
Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:
-
Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_SPSGroup und IsGroupAccount_SPSRLAsgn den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.
-
Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.
-
-
Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
-
Weisen Sie die Kontendefinition an die Personen zu.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
Administrative Benutzerkonten
Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.
Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.
HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.
Administrative Benutzerkonten können Sie als Persönliche Administratoridentität oder als Gruppenidentität kennzeichnen. Um die Personen, welche diese Benutzerkonten nutzen, mit den benötigten Berechtigungen zu versorgen, gehen Sie folgendermaßen vor.
-
Persönliche Administratoridentität
-
Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Person.
Nutzen Sie eine Person mit derselben Identität oder erstellen Sie eine neue Person.
-
Weisen Sie diese Person an hierarchische Rollen zu.
-
-
Gruppenidentität
-
Weisen Sie dem Benutzerkonto alle Personen mit Nutzungsberechtigungen zu.
-
Verbinden Sie das Benutzerkonto über die Spalte UID_Person mit einer Pseudo-Person.
Nutzen Sie eine Person mit derselben Identität oder erstellen Sie eine neue Person.
-
Weisen Sie diese Pseudo-Person an hierarchische Rollen zu.
Das Benutzerkonto erhält seine Berechtigungen über die Pseudo-Person.
-
Privilegierte Benutzerkonten
Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.
HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.
Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen
-
Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.
-
Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.
-
Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
-
Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.
Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.
Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:
-
Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.
-
Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.
-
Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschriften für die Spalten IsGroupAccount_SPSGroup und IsGroupAccount_SPSRLAsgn mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.
-
-
Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.
Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.
-
Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.
Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.
TIPP: