anleitung - lmz-bw.de · pdf fileberatung und support technische plattform support-netz-portal...
TRANSCRIPT
Beratung und Support
Technische Plattform
Support-Netz-Portal
paedML® – stabil und zuverlässig vernetzen
Anleitung
iManager-Rollen einrichten Stand 15.04.2015
paedML® Novell Version: 3
Impressum
Herausgeber
Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße 111
70190 Stuttgart
Autoren
der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ
Hubert Bechthold Stefan Falk Ulrich Frei Carl-Heinz Gutjahr Friedrich Heckmann Uwe Labs Alfred Wackler
Endredaktion
Alfred Wackler
Bildnachweis Titelbilder:
Thinkstock
Weitere Informationen
www.support-netz.de www.lmz-bw.de
Veröffentlicht: Jahr der Veröffentlichung
© Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis
1. Rollen einrichten für die administrativen Benutzer der Schulen ..... 5
1.1 Schuladmins ................................................................................................................... 6
1.2 Benadmins ..................................................................................................................... 7
1.3 PGMAdmins ................................................................................................................... 8
1.4 iPrint-Rolle für Schulen .................................................................................................. 8
2. Zusätzliche zentrale Administratoren einrichten ............................ 11
2.1 Rechte im eDirectory einrichten ................................................................................... 11
2.2 iManager-Rollen zuweisen ........................................................................................... 12
3. Administrator für Drucker: iPrintAdmin .......................................... 13
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 4
Vorwort
Unser bisheriges Verwaltungswerkzeug ConsoleOne wird von Novell nicht weiterentwickelt. Das
Nachfolgewerkzeug ist der webbasierte iManager. Einige Aufgaben sind schon seit Längerem von der
ConsoleOne in den iManager gewandert (iPrint-Verwaltung, Pool- und Volumeverwaltung usw.).
Derzeit benötigen wir ConsoleOne nur noch für ZEN7 (wg. Windows XP) und zur Verwaltung von
Groupwise 2012. Für Windows 7 verwenden wir ZCM. Dieses bringt mit ZCC eine eigene webbasierte
Managementkonsole mit und wird für die Nachfolgeversion Groupwise 2014 ebenso der Fall sein.
Damit ist dann die ConsoleOne endgültig nicht mehr aktuell und nicht mehr erforderlich.
Der iManager arbeitet webbasiert und wird im Browser bedient.
Voraussetzung: PopUps dürfen nicht blockiert sein.
Die Anmeldung erfolgt im Browser, dabei ist es gleichgültig mit welchem Benutzer-Account man an der
Arbeitsstation im Netzwerk angemeldet ist (Zum Beispiel an der Arbeitsstation als SpechtB, Anmeldung
im iManager als admin). Trotzdem wird es meist so sein, dass wir an der Arbeitsstation und im iManager
mit demselben Benutzer-Account angemeldet sind. Z.B. benötigt der BenAdmin neben seinem Zugriff
auf den iManager auch Zugang zum Homeverzeichnis der BenAdmins, da dort die Dateien für den
Benutzerimport liegen.
Der iManager arbeitet rollenbasiert. In der Auslieferung der paedML sind den iManager-Rollen noch
keine Mitglieder zugewiesen. So kann zunächst nur der zentrale admin Aufgaben im iManager
bearbeiten.
Um das in der paedML bewährte Rollenkonzept mit dem iMananger fortzuführen, müssen die admini-
strativen Benutzer der Schule wie SchulAdmin, BenAdmin, PgmAdmin als Mitglieder der Rollen mit den
für sie erforderlichen Aufgaben eingerichtet werden.
Die Einrichtung der Rollen kann leider nicht automatisiert werden und muss für jede Schule vom
zentralen Admin manuell erledigt werden.
Diese Anleitung zeigt die notwendigen Schritte.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 5
1. Rollen einrichten für die administrativen
Benutzer der Schulen
Als Eigentümer der iManager-Sammlung „Role Based Service 2“ kann der Benutzer admin Rollen
definieren und zuweisen. Für die folgenden Schritte muss man sich im iManager als admin anmelden.
Wählen Sie in der Navigationsleiste Konfigurieren (1). Links im Menü wählen Sie „Rollenbasierte
Services“ und dann RBS-Konfiguration (2),
Klicken Sie dann auf Role Based Service 2.DIENSTE.ml3 zur weiteren Bearbeitung.
Abb. 1:
Abb. 2:
Sie sehen nun die im iManager vordefinierten Rollen, denen jeweils die für die Rollen benötigten
Aufgaben und Rechte zugeordnet sind.
In den folgenden Schritten werden nun die jeweils erforderlichen Rollen mit den schulischen Verwaltern
verknüpft.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 6
1.1 Schuladmins
Den SchulAdmins der Schulen sollen nun die notwendigen, im iManager bereits vorhandenen Rollen
zugewiesen werden. Für folgende Rollen sollen die Schuladmins der Schulen jeweils für den Bereich
Ihrer Schule als Mitglied aufgenommen werden:
1. Benutzer 2. Dateien und Ordner 3. Gruppen 4. Rechte 5. Verzeichnisverwaltung
Hier wird der Vorgang detailliert am Beispiel der Rolle Benutzer gezeigt. In den Beispielen ist dies
jeweils anhand einer Schule LFB dargestellt. Ersetzen Sie LFB bzw. <SCHULE> jeweils durch Ihr
Schulkürzel.
Abb. 3:
� Setzen Sie bei der Rolle Benutzer das Häkchen. Wählen Sie Aktionen | Mitgliederverknüpfung.
Abb. 4:
� Klicken Sie rechts vom Eingabefeld Name den Browse-Button und navigieren Sie zur
OU Schuladmins der Schule unter Verwalter.Benutzer.<Schule>.SCHULEN.ml3 und wählen Sie
diese aus (wer).
� Klicken Sie dann rechts vom Eingabefeld Bereich den Browse-Button und wählen Sie die
OU <Schule>.SCHULEN.ml3 aus (wo).
� Klicken Sie Hinzufügen. Die neue Mitgliederverknüpfung wird unten in der Mitgliederliste
aufgenommen.
� Klicken Sie zum Abschließen des Vorgangs auf OK.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 7
Damit steht die Rolle Benutzer für die Schuladmins der Schule zur Verfügung und die Schuladmins
können die der Benutzerrolle zugeordneten Aufgaben im iManager bearbeiten.
Mit der hier erfolgten Mitgliederzuweisung werden an die neuen Mitglieder auch die notwendigen Rechte
im eDirectory vergeben. (In der paedML Novell wurden die erforderlichen Rechte meist bereits bei der
Schulgenerierung eingerichtet, da sie ja auch für die Arbeiten mit der ConsoleOne erforderlich waren.)
Für die Rolle Benutzer hätte statt <SCHULE>.SCHULEN,ml3 auch der Bereich
Benutzer.<SCHULE>.SCHULEN.ml3 genügt, da sich in der paedML Novell nur dort Benutzer befinden.
Die Schuladmins sollen nach dem Rollenkonzept der paedML Novell aber den ganzen Bereich Ihrer
Schule administrieren und eventuell in Sonderfällen auch einmal an anderer Stelle Benutzer anlegen
können.
� Richten Sie nun die Schuladmins entsprechend der obigen Anleitung auch als Mitglied für die Rollen
Dateien und Ordner, Gruppen, Rechte und Verzeichnisverwaltung ein.
Wählen Sie als Bereich bei diesen Rollen jeweils <Schule>.SCHULEN.ml3.
1.2 Benadmins
Die BenAdmins der Schule übernehmen die Benutzerverwaltung an der Schule. Außerdem können Sie
die Projekte verwalten. Deshalb benötigen Sie im iManager die Rollen Benutzer und Gruppen.
� Fügen Sie wie oben beschrieben die Benadmins der Schule als Mitglied bei der Rolle Benutzer
hinzu für den Bereich Benutzer.<Schule>.SCHULEN.ml3.
� Fügen Sie wie oben beschrieben die Benadmins der Schule als Mitglied bei der Rolle Gruppen
hinzu für die Bereiche Projekte.<Schule>.SCHULEN.ml3 und Benutzer.<Schule>.SCHULEN.ml3.
Hinweis:
Es wird empfohlen, die Benutzer- und Projektverwaltung mit Hilfe der pädagogischen Tools BImport,
BPass und Schulkonsole durchzuführen. In besonderen Fällen kann es aber für die BenAdmins auch
einmal notwendig werden, mit dem iManager in diesen Bereichen tätig zu werden (zum Beispiel bei
Anmeldeproblemen eines Benutzers oder Ähnlichem).
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 8
1.3 PGMAdmins
Für die Arbeit der PGMAdmins sind im iManager keine wesentlichen Rollen verfügbar. Die Arbeit für
ZEN7/Win XP muss noch mit der ConsoleOne, die Arbeit mit ZCM/Win7+ mit der ZENWorks
Configuration Console ZCC durchgeführt werden.
Müssen Dateirechte im PGM-Verzeichnis vergeben werden, so kann sie der PGMAdmin im Windows-
Explorer bearbeiten. Es kann dafür aber auch der iManager verwendet werden, was gegenüber der
Bearbeitung im Windows-Explorer aber weitaus unbequemer und unübersichtlicher ist.
Trotzdem hier die eventuell im iManager benötigte Rollenzuweisung.
� Richten Sie die PGMAdmins der Schule dazu als Mitglied der Rolle “Dateien und Ordner“ ein.
Ordnen Sie den Bereich <Schule>.SCHULEN.ml3 zu.
� Entfernen Sie in der Mitgliederliste bei den PGMAdmins das Häkchen unter „Rechte zuweisen“.
Die PGMAdmins können dann nur in den Dateibereichen Rechte vergeben, in denen sie bei der
Schulgenerierung in der paedML Novell bereits die notwendigen Rechte erhalten haben.
Abb. 5:
1.4 iPrint-Rolle für Schulen
Wie Sie vermutlich bemerkt haben, wurde den SchulAdmins die iPrint-Rolle nicht zugewiesen. Der
Grund dafür ist, dass die SchulAdmins dafür Supervisor-Rechte am Druckmanager und an der
Treiberablage unter Drucker.DIENSTE.ml3 benötigen würden. Dies ist, insbesondere in
Mehrschulumgebungen, unerwünscht, da der SchulAdmin dann auch zum Beispiel Drucker anderer
Schulen löschen könnte.
Das Erstellen und Löschen von Druckerobjekten bleibt deshalb Aufgabe des zentralen admin-
Benutzers. Im Kapitel 3 zeigen wir, wie Sie diese Aufgabe eventuell an einen speziellen Benutzer
delegieren können, der die Aufgabe der Druckeradministration übernehmen soll und sonst keine
weiteren Rechte hat. Es muss dann für diese Aufgabe nicht mehr mit dem admin-Account gearbeitet
werden, der "gefährlich viele", nämlich alle verfügbaren Rollen bereitstellt.
Es gibt jedoch Teilaufgaben in der Druckerverwaltung, die für die SchulAdmins interessant sind.
Hierfür soll nun eine benutzerdefinierte Rolle mit dem Namen iPrint-Schule eingerichtet werden.
� Starten Sie den iManager als admin und navigieren Sie wie am Anfang von Kapitel 1 beschrieben
zur Sammlung: Role Based Service 2.DIENSTE.ml3.
Klicken Sie Neu und wählen Sie iManager-Rolle.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 9
Tragen Sie den Rollennamem iPrint-Schule ein.
Hinweis: Hier wird nur die Rolle definiert, die dann den Schuladmins der einzelnen Schulen
zugewiesen werden.
Weiter.
Abb. 6:
� Fügen Sie im Assistenten durch Klick auf den Rechtspfeil die in Abb. 7 markierten Aufgaben zu den
zugewiesenen Aufgaben hinzu.
Abb. 7:
Weitere Aufgaben machen hier keinen Sinn, da die SchulAdmins dafür nicht die benötigten Rechte
besitzen. Weiter.
� Fügen Sie in Schritt 3 mit dem Rechstpfeil die Kategorie Drucken zu „Zugewiesene Kategorien“
hinzu. Die Rolle iPrint-Schule wird im iManager dann unter dem Menüpunkt Drucken angezeigt.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 10
Abb. 8:
� Weisen Sie im anschließenden Schritt 4 die SchulAdmins der eingerichteten Schulen als Mitglieder
hinzu zum Bereich Drucker.Ressourcen.<Schule>.SCHULEN.ml3.
Abb. 9:
Damit ist die Einrichtung der Rolle iPrint-Schule abgeschlossen und die Rolle steht für die Schuladmins
zur Verfügung.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 11
Abb. 10:
2. Zusätzliche zentrale Administratoren
einrichten
In der paedML Novell gibt es in der Auslieferung nur einen admin-Account, so dass dieser meist von
mehreren Personen gemeinsam benutzt werden muss. Dies ist aber aus Sicherheitsgründen nicht
optimal. Hier wird nun gezeigt, wie zusätzliche Admin-Accounts eingerichtet werden können. Bereits
vorhanden ist hierfür die OU Admins.Verwalter.DIENSTE.ml3. Dieser OU müssen nun noch die
notwendigen Rechte und die notwendigen iManager-Rollen zugewiesen werden.
Die Arbeiten werden wieder als admin im iManager durchgeführt.
2.1 Rechte im eDirectory einrichten
� In der Baumansicht SCHULBAUM03 markieren. Rechts das Häkchen setzen bei Baum (aktuelle
Ebene).
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 12
Abb. 11:
„Aktionen | Trustee bearbeiten“
Über „Trustee hinzufügen“ die OU Admins.Verwalter.DIENSTE.ml3 hinzufügen.
� Bearbeiten Sie bei Admins.Verwalter.DIENSTE.ml3 die Zugewiesenen Rechte. Setzen Sie in den
Zeilen [All Attribute Rights] und [Entry Rights] das Häkchen bei Supervisor.
� Fertig und dann Anwenden. Bestätigen Sie zweimal mit OK.
2.2 iManager-Rollen zuweisen
Da den Admins im iManager alle, und somit sehr viele Rollen jeweils für den Bereich [Root] zugewiesen
werden sollen, ist die Einrichtung über den Menüpunkt „Konfigurieren | Rollenbasierte Services |
Mitgliederverknüpfung bearbeiten“ zu bevorzugen. Wählen Sie diesen Menüpunkt.
Klicken Sie den Browse-Button rechts vom Eingabefeld Mitglied und browsen Sie zu
Admins.verwalter.DIENSTE.ml3 und wählen Sei diesen Eintrag aus.
Abb. 12:
Es öffnet sich der Dialog zur Auswahl der Rollen und der zugehörigen Bereiche.
Abb. 13:
Die Admins sollen bei allen Rollen den gesamten Schulbaum03 bearbeiten können.
� Klicken Sie in Schritt 1 den Browse-Button rechts bei Bereich (wo). Browsen Sie zu Schulbaum03
und wählen Sie diesen aus.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 13
� In Schritt 2 sollen nun die Rollen ausgewählt werden (was). Klicken Sie den Browse-Button rechts
bei Rolle und browsen Sie zu Role Based Services 2.DIENSTE.ml3. Es öffnet sich das
Objektauswahlfenster. Klicken Sie sich mit weiter durch die Liste, bis die rbsRole-Objekte sichtbar
werden.
� Befördern Sie alle rbsRole-Objekte mit Klick in die Liste Ausgewählte Objekte.
Arbeiten Sie sich mit weiter bis zum Schluss der Liste durch und bis Sie alle rbsRole-Objekte
ausgewählt haben.
� Schließen Sie die Auswahl mit OK ab. Klicken Sie nun hinzufügen.
Übergehen Sie die Fehlermeldung bei Rollenzuweisung für die Rolle eGuide Self Management mit OK.
Die anderen ausgewählten Rollen werden korrekt eingerichtet. Weisen Sie die Rolle eGuide Self
Management über den Menüpunkt RBS-Konfiguration zu, wie in Abschnitt 1 beschrieben. Eine
Bereichsangabe ist für diese Rolle nicht erforderlich (deshalb auch die Fehlermeldung).
Die ausgewählten Rollen erscheinen nun in der Liste. Der Bereich Schulbaum03 wird hier als [root]
dargestellt.
Abb. 14:
Alle Benutzer, die in der OU admins.verwalter.DIENSTE.ml3 angelegt werden, sind nach dieser
Anleitung volle Administratoren mit Supervisor-Rechten im ganzen Schulbaum03 und allen iManager-
Rollen, die auch dem admin zugewiesen sind.
Es können so leicht auch mehrere, personalisierte Admin-Accounts angelegt werden.
Das Einrichten von iManager-Rollen bleibt aber dem admin als Sammlungseigentümer vorbehalten.
3. Administrator für Drucker: iPrintAdmin
Wie bereits im Kapitel 1.4 dargelegt, bleibt das Erstellen und Löschen von Druckerobjekten in iPrint
Aufgabe des zentralen admin-Benutzers oder der im vorigen Kapitel beschriebenen zusätzlichen
Administratoren. Wenn es aber nur um die Druckerverwaltung in iPrint geht, haben diese Benutzer
deutlich zu viele, für diese Aufgabe nicht benötigte Rechte, was ein gewisses Sicherheitsrisiko darstellt.
In diesem Kapitel soll deshalb das Anlegen eines für die Druckerverwaltung in iPrint spezialisierten
Benutzers und der ihm zugewiesenen iManager-Rollen mit den genau für diese Aufgaben erforderlichen
Rechten beschrieben werden.
� Zunächst wird im Imanager unter Verwalter.DIENSTE.ml3 eine OU System eingerichtet (falls noch
nicht vorhanden). Browsen Sie dazu in der Objektansicht zur Verwalter.Dienste.ml3. Markieren Sie
im Baum diese OU. Wählen Sie rechts Neu | Objekt erstellen. Wählen Sie im folgenden Dialog die
Objektklasse Organisatorische Einheit aus. Name für die neue organisatorische Einheit: System.
Bestätigen Sie zweimal mit OK.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 14
� In dieser OU soll nun der Benutzer iPrintAdmin als „schlanker" eDirectory-Benutzer angelegt
werden (ohne Richtlinien, Profil und ohne Homeverzeichnis). Markieren Sie hierzu in der
Baumansicht die OU System. Wählen Sie rechts Neu | Benutzer erstellen.
Geben Sie die in Abb. 16 abgebildeten Benutzerdaten ein und legen Sie ein sicheres Passwort fest.
Weitere Eingaben oder Einstellungen sind für diesen Benutzer nicht erforderlich.
Bestätigen Sie mit OK.
Abb. 15:
� Im iManager wird der Benutzer iPrintAdmin dann als Mitglied zur Rolle iPrint mit den Bereichen
DIENSTE.ml3 und SCHULEN.ml3 zugewiesen.
Bei der Bereichszuweisung würden auch die jeweiligen OUs ausreichen, in denen an den Schulen
die Druckerobjekte untergebracht sind (Drucker.Ressourcen.<Schule>.SCHULEN.ml3). Man
müsste dann aber die entsprechenden Bereiche für alle Schulen einzeln auswählen.
� Obwohl iManager bei der Rollenzuweisung in der Regel die notwendigen eDirectory-Rechte
zuweist, muss man im Fall von iPrint dem Benutzer iPrintAdmin im eDirectory noch
entsprechend zu Abschnitt 2.1 das Supervisor-Recht auf Drucker.DIENSTE.ml3 zuweisen, da sonst
keine Drucker eingerichtet werden können.
Markieren Sie in der Baumansicht links die OU Dienste. Im rechten Teil werden nun die Objekte
unterhalb dieser OU angezeigt.
Setzen Sie das Häkchen bei Drucker und wählen Sie Aktionen | Trustees bearbeiten.
Abb. 16:
Klicken Sie im nächsten Dialog die Schaltfläche Trustee hinzufügen.
Browsen Sie zum iPrintAdmin.System.Verwalter.Dienste.ml3 und wählen Sie diesen aus.
paedML® Novell / Version: 3 / iManager-Rollen einrichten / Stand 15.04.2015 Seite 15
Der Benutzer wird in die Trustee-Liste aufgenommen.
Klicken Sie bei diesem Benutzer auf Zugewiesen Rechte.
Setzen Sie bei [All Attributes Rights] und bei [Entry Rights] das Häkchen bei Supervisor.
Fertig und dann Anwenden. Bestätigen Sie zweimal mit OK.
An der Arbeitsstation kann man sich für die Aufgaben der Druckerverwaltung als beliebiger Benutzer
anmelden. Im Prinzip sogar nur lokal an der Arbeitsstation.
Der Account iPrintAdmin wird nur zur Anmeldung im iManager verwendet, wo dann die Rolle iPrint
für die Arbeiten verfügbar ist.
Landesmedienzentrum Baden-Württemberg (LMZ)
Support Netz
Rotenbergstraße 111
70190 Stuttgart
© Landesmedienzentrum Baden-Württemberg, 2014