Globale Karteninhaberverwaltung – Regeln und Einschränkungen - Security Center 5.9

Security Center – Administratorhandbuch 5.9

series
Security Center 5.9
revised_modified
2020-05-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher
prodname_custom
Security Center unified platform > Security Center
vrm_version
5.9

Für die globale Karteninhaberverwaltung gelten einige Regeln und Einschränkungen.

Bevor Sie beginnen, Karteninhaber global zu verwalten, lesen Sie bitte im Folgenden, welche Regeln und Einschränkungen Sie beachten müssen.

Regeln für lokale und globale Partitionen

  • Ein Sharing-Gast kann nicht mehr als einen Host haben. Es ist nur eine einzige Instanz der GCS-Rolle pro System zulässig.
  • Eine globale Partition kann auf einem Sharing-Gast nicht geändert werden, dessen Mitglieder können dies jedoch tun. Was der Sharing-Gast tatsächlich ändern kann, ist von den Rechten der Benutzer abhängig, die der GCS-Rolle zugeordnet sind.
  • Kein System darf Elemente teilen, die es nicht besitzt. Ein Sharing auf Ebene zwei ist nicht zulässig. Diese Regel hat zur Folge, dass eine lokale Partition nicht in eine globale Partition konvertiert werden kann, wenn sie globale Objekte enthält, es sei denn, dies wird auf dem Host-System durchgeführt.
  • Wird ein lokales Objekt einer globalen Partition hinzugefügt, geht der Besitz dieses Objekts vom lokalen Besitzer (Sharing-Gast) auf den Partitionsbesitzer (Sharing-Host) über.
  • Wird ein globales Objekts auf einem Sharing-Gast gelöscht, verursacht dies auch die Löschung auf dem Sharing-Host, es sei denn, dieses Objekt gehört noch einer anderen globalen Partition an. In diesem Fall wird lediglich dessen Mitgliedschaft auf der ersten Partition entfernt.

Regeln für lokale und globale Objekte

  • Ein Objekt ist dann global, wenn es einer globalen Partition angehört. Dies bedeutet: Ein Karteninhaber wird nicht automatisch global, nur weil dessen Stamm-Karteninhabergruppe global ist.
  • Lokale Zutrittsregeln können für lokale und globale Karteninhaber gleichermaßen gelten. Zutrittsregeln werden niemals geteilt. Dies stellt sicher, dass lokale Administratoren stets die volle Kontrolle über die Sicherheit ihrer Einrichtungen vor Ort haben.
  • Globale Karteninhaber/Gruppen können Mitglieder in lokalen Karteninhabergruppen werden.
  • Lokale Karteninhaber/Gruppen können keine Mitglieder von globalen Karteninhabergruppen werden. Eine Ausnahme von dieser Regel gilt, wenn beide Objekte dem gleichen System angehören. In diesem Fall können die lokalen Karteninhaber nicht mit anderen geteilt werden, obwohl dies für die Karteninhabergruppe möglich ist.
  • Sowohl globale als auch lokale Berechtigungen können globalen Karteninhabern zugeordnet werden.
  • Globale Berechtigungen können keinen lokalen Karteninhabern zugeordnet werden.
  • Globale Berechtigungen, für die kundenspezifische Kartenformate eingesetzt werden, können auf dem Sharing-Gast genutzt und bearbeitet werden. Die Berechtigungsdaten sind jedoch nur dann sichtbar, wenn das entsprechende kundenspezifische Kartenformat (XML-Datei) mithilfe des Tools Editor kundenspezifisches Kartenformat auch auf dem Sharing-Gast definiert ist.
BEST-PRACTICE: Es wird empfohlen, Zutrittsregeln immer an Karteninhabergruppen zuzuweisen, anstatt an die einzelnen Karteninhaber. Daher sollten Karteninhaber immer gemeinsam mit deren Stamm-Karteninhabergruppen geteilt werden. Sollte dies nicht möglich sein, empfehlen wir Ihnen, eine lokale Karteninhabergruppe für die globalen Karteninhaber anzulegen.

Regeln für globale benutzerdefinierte Felder und Datentypen

  • Benutzerdefinierte Felder und Datentypen, die für globale Objekte definiert wurden, werden automatisch geteilt, wenn die globalen Objekte geteilt werden.
  • Globale benutzerdefinierte Feld- und Datentypdefinitionen können auf dem Sharing-Gast nicht geändert werden.
  • Globale und lokale benutzerdefinierte Felder verbleiben auch dann getrennt, wenn sie den gleichen Namen verwenden. Die Unterscheidung erfolgt durch deren Besitzer: das System, das sie definiert.
  • Globale Datentypen können nicht verwendet werden, um lokale benutzerdefinierte Felder zu definieren.
  • Benutzerdefinierte Feldwerte von globalen Objekten können auf Sharing-Gästen geändert werden.
  • Globale benutzerdefinierte Felder gelten auch für lokale Objekte, deren Werte verbleiben jedoch lokal.
  • Lokale benutzerdefinierte Felder gelten auch für globale Objekte, deren Werte verbleiben jedoch lokal.
  • Wenn ein Gast-System das Teilen einer globalen Partition beendet, werden alle lokalen Kopien der geteilten globalen Objekte und die benutzerdefinierten Feldwerte der lokalen Objekte gelöscht.
BEST-PRACTICE: Wenn Sie in Ihrem Unternehmen eine globale Karteninhaberverwaltung einführen möchten, empfehlen wir Ihnen, alle benutzerdefinierten Felder und Datentypen für globale Objekte auf dem Sharing-Host zu definieren.

Regeln für Federation™ und globale Objekte

  • Wenn ein Sharing-Host auch seinen Sharing-Gast in einen Verbund integriert, werden nur die lokalen Objekte verbunden, die zu dem Sharing-Gast gehören. Gemeinsam genutzte Objekte werden nicht auf dem Sharing-Gast verbunden.
  • Wenn der Sharing-Host gleichzeitig ein Federation-Host ist, sollten die Objekte in dessen Verbund nicht durch Hinzufügen zu einer globalen Partition geteilt werden, da er die verbundenen Objekte nicht besitzt. Ein Objekt kann nur von seinem hierzu berechtigten Besitzer geteilt werden. Um verbundene Objekte teilen zu können, muss das Verbundsystem ein Sharing-Gast des Federation™-Hosts sein. Dies gibt dem Federation™-Host das Recht, verbundene Objekte zu teilen.
  • Ein Sharing-Gast, der ein drittes System verbindet, kann seine verbundenen Objekte nicht mit dem Sharing-Host teilen, da er nicht deren Besitzer ist.
  • Wenn ein Sharing-Gast über ein anderes System verbunden ist, werden sowohl dessen lokale als auch globale Objekte als verbundene Objekte auf dem Federation™-Host angezeigt.

Regeln für Active Directory und globale Objekte

  • Karteninhaber und Karteninhabergruppen die aus einem Active Directory importiert wurden, können auf dem Sharing-Host einer globalen Partition hinzugefügt werden.
  • Karteninhaber und Karteninhabergruppen, die von einem lokalen Active Directory des Sharing-Gasts importiert wurden, können keiner globalen Partition hinzugefügt werden, da das Active Directory und der Sharing-Host nicht beide Besitzer der geteilten Karteninhaber sein können.
  • Globale Karteninhaber und Karteninhabergruppen, die aus einem Active Directory importiert wurden, können nur über den Verzeichnisdienst geändert werden, der sie besitzt.
ACHTUNG:
Obwohl es möglich ist, auf dem Sharing-Gast globale Karteninhaber und Karteninhabergruppen zu ändern, die aus einem Active Directory importiert wurden, sind diese Änderungen nur temporär. Sie gehen verloren, wenn der Sharing-Host mit dem Active Directory synchronisiert wird.
BEST-PRACTICE: Wenn alle Dateneingaben der Karteninhaber zusammengefasst werden sollen, sollte das System, das Karteninhaber aus dem Active Directory des Unternehmens importiert, als Sharing-Host eingerichtet werden und alle Änderungen mithilfe des Verzeichnisdienstes erfolgen.