Ein zentraler Bestandteil von UCS ist die Gruppenadministration. In diesem Beitrag mit dazugehörigem Film erkläre ich Ihnen das Konzept der Gruppen in UCS und Sie erfahren, wie Sie Gruppen erstellen und verknüpfen, wie Sie die „Helpdesk-Gruppe“ einrichten und Benutzer einer Gruppe zuweisen.

Bei UCS werden die Rechte von Benutzern im Allgemeinen über Mitgliedschaften in Gruppen geregelt. Wenn beispielsweise ein Nutzer auf bestimmte Dateien oder einen Drucker zugreifen soll, muss dieser Nutzer in der entsprechenden Gruppe als Mitglied eingetragen sein. Vor allem in großen Umgebungen ist diese Handhabung praktisch. Sie müssen nicht die Berechtigungen und Zugriffsrechte jedes einzelnen Benutzers anlegen, sondern lediglich die dazugehörige Gruppe verwalten.
Die Gruppen von UCS werden im LDAP gespeichert, sodass die Gruppen auf allen UCS-Systemen identisch und gleich nutzbar sind.

Einführung in die Gruppenadministration mit UCS

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Video laden

Das Modul „Gruppen“

Um Gruppen zu verwalten, wählen Sie unter Favoriten „Gruppen“ aus oder unter Benutzer das Modul „Gruppen“. Hier sehen Sie alle Gruppen, die in UCS verfügbar und eingerichtet sind.
Unter anderem können Sie hier Gruppen durchsuchen. Mit einem Klick auf den Doppelpfeil neben dem Suchfeld gelangen Sie zur erweiterten Suche, mit welcher Sie verschiedene Suchkriterien definieren und somit eine Gruppe schneller finden können.

Neue Gruppen anlegen

UCS besitzt für verschiedene Zwecke bereits vorkonfigurierte Standardgruppen. Zum Beispiel befinden sich in der Gruppe „Domain Users“ alle Benutzer einer Domäne. Als Mitglieder der Gruppe „Domain Admins“ haben Administratoren den Zugriff auf die UCS-Server. Doch nicht nur Benutzer können Mitglieder einer Gruppe sein, auch Server und weitere Rechner können zu Gruppen gehören.
Falls Sie eine Gruppe neben den vorkonfigurierten Standardgruppen benötigen, können Sie ganz einfach eine neue Gruppe anlegen, indem Sie auf „Hinzufügen“ klicken. Es öffnet sich ein Dialog, in welchem Sie verschiedene Attribute der Gruppe definieren können. Dazu gehören unter anderem der Gruppenname, gegebenenfalls eine Beschreibung und wer Mitglieder der Gruppe sein soll. Sie können entweder Benutzer als Mitglied der Gruppe hinzufügen oder andere Gruppen als untergeordnetes Mitglied dieser Gruppe eintragen.

Gruppeneinstellungen auf Apps übertragen

Verschiedene Apps aus dem Univention App Center, wie beispielsweise Nextcloud, nutzen die Einstellungen der Gruppen. So können Sie unter dem Reiter „Nextcloud“ einstellen, dass die Gruppe „Mitarbeiter“ unverändert und mit all ihren Eigenschaften und Mitgliedern in Nextcloud übernommen wird. Selbstredend muss hierfür Nextcloud installiert sein. Erst dann wird Ihnen die Anwendung links unter dem Reiter „Allgemein“ angezeigt.
Durch das Setzen des Häkchens „in Nextcloud verfügbar“, werden die Einstellungen in Nextcloud übertragen.

Erweiterte Einstellungen vornehmen

Über den Reiter „Erweiterte Einstellungen“ gelangen Sie unter anderem zu den Mail-Einstellungen. Hier setzen Sie beispielsweise eine E-Mail-Adresse für eine Mailgruppe und können optional einschränken, welche Benutzer und Gruppen berechtigt sind, E-Mails an diese E-Mail-Adresse zu versenden. Wird eine Mail an diese E-Mail-Adresse geschickt, bekommen alle Mitglieder der Gruppe eine Kopie der Mail.

Gruppen unterordnen

Die Möglichkeit, dass die Gruppe einer oder mehreren anderen Gruppen untergeordnet wird und damit die Rechte erbt, finden Sie ebenfalls in dem Reiter „Erweiterte Einstellungen“. Dafür klicken Sie bei dem Abschnitt „Mitglied von“ auf „Hinzufügen“. Es öffnet sich ein Dialog, in dem Sie die gewünschten Gruppen auswählen können. Beispielsweise können Sie einstellen, dass die Gruppe „Mitarbeiter“ ein Mitglied bzw. eine Untergruppe von „Printer Admins“ wird. Dann haben alle Mitarbeiter das Recht die Drucker zu administrieren. So ergänzen Sie die Gruppe um Richtlinien ohne diese in der Gruppe selbst zusätzlich festlegen zu müssen.

Benutzer mit UCS administrieren – So geht´s

Die Benutzeradministration ist ein zentraler Bestandteil von UCS und kann über das Modul „Benutzer“ gemanagt werden. In diesem Artikel mit dazugehörigem HowTo-Film lernen Sie die wichtigsten Funktionen kennen. Mehr erfahren

Gruppen Rechte zuweisen

Unter dem Reiter „Richtlinien“ weisen Sie einer Gruppe bestimmte Rechte direkt zu. Durch einen Klick auf „Richtlinie: UMC“ können Sie in dem Menü entweder eine vorhandene Richtlinie auswählen oder eine „neue Richtlinie erstellen“. Dafür definieren Sie zunächst einen Namen und wählen dann aus der „Liste der erlaubten UMC Operationen“ die entsprechenden UMC-Module aus. Durch einen Klick auf „Richtlinie erstellen“ schließen Sie den Vorgang ab.

Ich empfehle, die Berechtigungen lediglich durch Gruppenzugehörigkeiten zu verwalten. Das heißt Sie erstellen Gruppen, die ausschließlich eine bestimmte Berechtigung besitzen und weisen diesen Untergruppen zu. So können Sie die Berechtigungen zentral anpassen bzw. vergeben und sparen sich den Aufwand Gruppen mit ähnlichen Rechten mehrfach anzulegen.

Mit dem Button „Gruppe erstellen“ wird letztendlich die Gruppe erstellt. Weiterführend können Sie eine weitere Gruppe hinzufügen.

Zusätzliche Gruppen einrichten – die „Helpdesk-Gruppe“

Die „Helpdesk-Gruppe“ hat ausschließlich die Funktion Passwörter von Benutzern zurückzusetzen. Wenn Sie diese Gruppe unter UCS nicht installieren, können nur Mitglieder der Gruppe „Domain Admins“ Passwörter umstellen. Das ist aus Sicherheitsgründen ungünstig. Zum einen haben Domain Admins dringendere Aufgaben, als Passwörter zurückzusetzen, zum anderen sollten Mitarbeiter, deren Hauptaufgabe es ist, Passwörter zurückzusetzen, nicht über alle administrativen Rechte verfügen. Daher ist das Erstellen einer Teilgruppe von Administratoren mit eingeschränkten Rechten sinnvoll.

Die Helpdesk-Gruppe können Sie einfach installieren, indem Sie in der UMC im Modul „Software“ in der Toolbar „Paket-Verwaltung“ auswählen. Hier suchen Sie über das Suchfeld nach dem Paketnamen univention-admingrp. Als Ergebnis der Suche wird Ihnen univention-admingrp-user-passwordreset angezeigt. Setzen Sie ein Häkchen und klicken Sie auf „Installieren“. Sie werden noch einmal um Bestätigung für diese Installation gebeten und klicken erneut auf „Installieren“. Der Fortschrittsbalken der Installation erscheint und verschwindet, sobald die Installation beendet ist.

Im Modul „Gruppen“ wird nun die neue, automatisch erstellte Gruppe „User-Password-Admins“ aufgelistet. Wie oben beschrieben, können Sie nun andere Gruppen mit dieser Helpdesk-Gruppe verknüpfen.

Benutzer Gruppen zuweisen

Um die Gruppenzugehörigkeit zu bestimmen, also beispielsweise Mitarbeiter einer bestimmten Abteilung zuzuordnen, wählen Sie die gewünschte Gruppe aus und wählen unter der Liste „Benutzer“ des Abschnittes „Mitglieder dieser Gruppe“ den Button „hinzufügen“ aus. In dem nun geöffneten Dialog wählen Sie die entsprechenden Benutzer aus und bestätigen dies mit „hinzufügen“. Final müssen nur noch die Änderungen über den Button „Speichern“ gesichert werden.

Ich hoffe, dass ich Ihnen mit dem Film und/oder der Beitrag die Frage, wie Sie Gruppen in UCS administrieren, beantworten konnte. Falls Sie Fragen oder Anmerkungen haben, freue ich mich auf Ihren Kommentar im Blog oder einen Besucher in unserem Forum Univention Help.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Hendrik Peter

Hendrik Peter ist als IT System Engineer bei Univention tätig

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Klaus Henneberg
    April 4, 2019 at 7:14 am

    Mit einer solchen, leicht verständlichen und bildhaft beschriebenen Handreichung sollte es niemanden schwer fallen, einen UCS zu konfigurieren.
    Weiter so!

    Antworten
    • Irina Feller
      April 4, 2019 at 9:28 am

      Hallo Herr Henneberg,
      vielen Dank für Ihr Feedback. Es freut mich sehr, dass Ihnen unsere Anleitung gefällt.
      Es bestärkt uns darin unsere How-to-Reihe weiter zu führen.
      Beste Grüße, Irina Feller

      Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert