Verwalten von Rollen

Übersicht über Rollen

Im Kontext der rollenbasierten Zugriffskontrolle (RBAC) von Tanium™ weist eine Rolle Gewährberechtigungen zu, um erlaubte Aktivitäten festzulegen, oder Ablehnungsberechtigungen, um verbotene Aktivitäten festzulegen. Sie weisen den Benutzern, Benutzergruppen und Personas Rollen zu, um zu steuern, was Benutzer in der Tanium Core Platform anzeigen und tun dürfen.

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, tun Sie dies, bevor Sie Rollen konfigurieren oder zuweisen. Einzelheiten finden Sie unter Integration mit LDAP-Servern.

Die Tanium-Implementierung von RBAC unterstützt die folgenden Rollenkategorien, die auf den Arten von Berechtigungen basieren, die sie gewähren oder verweigern:

Micro Admin-Rollen

Micro Admin-Rollen gewähren oder verweigern Berechtigungen für administrative Aufgaben in der Tanium Core Platform, wie z. B. die Konfiguration isolierter Tanium Client-Subnetze. Siehe Eine Micro Admin-Rolle erstellen.

Benutzerdefinierte Rollen

Benutzerdefinierte Rollen sind Rollen, die Sie erstellen, um eine Kombination aus administrativen Berechtigungen, Berechtigungen für Plattforminhalte, Module und globalen Berechtigungen zu gewähren oder zu verweigern. Siehe Konfigurieren einer benutzerdefinierten Rolle.

Modulrollen

Modulrollen sind vordefinierte Rollen, die Modulberechtigungen gewähren oder verweigern, die den Zugriff auf Modul-Workbenches, Funktionen und Inhaltssets steuern. Manche Modulberechtigungen aktivieren automatisch zusätzliche bereitgestellte Berechtigungen. Wenn Sie beispielsweise die Berechtigung für das Schreiben des Patch-Moduls auswählen, schließt die Rolle automatisch die Berechtigung zur Ausgabe dynamischer Fragen mit ein. Sie können vordefinierte Modulrollen nicht bearbeiten oder löschen.

Modulrollen sind , die Modulberechtigungen gewähren, die den Zugriff auf Modul-Workbenches, Funktionen und Inhaltssets steuern. Modulrollen haben keine Ablehnungsrollen. Benutzer, die nicht über eine Rolle verfügen, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder die Modulfunktionen zugreifen. Manche Modulberechtigungen aktivieren automatisch zusätzliche bereitgestellte Berechtigungen. Wenn Sie beispielsweise die Berechtigung für das Schreiben des Patch-Moduls in einer Modulrolle gewähren, gewährt sie automatisch die Berechtigung zur Ausgabe dynamischer Fragen.

Erweiterte Rollen

Erweiterte Rollen sind vordefinierte alte Rollen, die Plattforminhaltsberechtigungen gewähren oder verweigern, die den Zugriff auf Sensoren, Pakete, gespeicherte Fragen und andere Arten von Inhalten steuern, die für alle Tanium-Module und Shared Services gelten. Sie können vordefinierte erweiterte Rollen nicht bearbeiten oder löschen.

Erweiterte Rollen gewähren oder verweigern Inhaltsset-Berechtigungen, die den Zugriff auf Sensoren, Pakete, gespeicherte Fragen und andere Arten von Inhalten steuern, die für alle Tanium-Module gelten.

Reservierte Rollen

Die vordefinierten reservierten Rollen weisen Berechtigungen zu, die spezielle Funktionen ermöglichen, wie das Laden einer Frage von der Seite Administration > Content (Inhalt) > Question History (Fragenverlauf)Administration > Management > Question History (Fragenverlauf). Diese Spezialberechtigungen sind für nicht reservierte Rollen verfügbar. Zusätzlich zu den Spezialberechtigungen können reservierte Rollen über einige oder alle der Berechtigungen verfügen, die mit den anderen Rollenkategorien verknüpft sind. Sie können reservierte Rollen nicht bearbeiten oder löschen. Details siehe Reservierte Rollen.

Die folgende Abbildung zeigt die konfigurierbaren Komponenten der verschiedenen Rollenarten und die Reihenfolge, in der Sie diese zuweisen:

Abbildung 1:  Rollenkonfigurationen
Abbildung 2:  Rollenkonfigurationen

Eine Übersicht darüber, wie Rollen sich in Bezug auf andere RBAC-Konfigurationsobjekte wie z. B. Inhaltssets, Personas, Benutzer, Benutzergruppen und Computergruppen verhalten, siehe Tanium-RBAC-Implementierung und Konzepte.

Rollen weisen eine n:n-Beziehung zu Benutzern und Benutzergruppen auf. So können beispielsweise alle Benutzer von Tanium Interact die Modulrolle Interact Show (Interact anzeigen) besitzen, und jeder dieser Benutzer kann zusätzliche benutzerdefinierte Rollen besitzen, die Zugriff auf die Sensoren und Fragen gewähren, die sie in Interact verwenden. Gleichermaßen können Sie Berechtigungen für dasselbe Inhaltsset über mehrere Rollen hinweg konfigurieren, und jede Rolle kann Berechtigungen über mehrere Inhaltssets hinweg gewähren.

Als bewährtes Verfahren sollten Sie bei der Konfiguration von Rollen deren Modularität und kumulative Auswirkungen auf Benutzerberechtigungen für Ihre Zwecke einsetzen. Anstatt beispielsweise eine einzelne Rolle mit allen Berechtigungen zu erstellen, die ein bestimmter Benutzer benötigt, und eine andere Rolle mit nur geringfügig unterschiedlichen Berechtigungen für einen anderen Benutzer, erstellen Sie mehrere Rollen mit weniger, aber einzigartigen Berechtigungen. Sie können dann diese minimalistischen Rollen für verschiedene Benutzer kombinieren, um dieselben effektiven Berechtigungen zu erzielen wie bei einzelnen Rollen, die über umfassende Berechtigungen verfügen. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

Rollen, die Schreibberechtigungen zuweisen, z. B. Paket schreiben, enthalten implizit auch eine Leseberechtigung, z. B. Paket lesen. Einzelheiten finden Sie unter Implizierte Rollenberechtigungen.

Benutzer übernehmen Rollen aus den Benutzergruppen, denen Sie diese Benutzer zuweisen. Einzelheiten finden Sie unter Übernommene Rollen.

Für eine bestimmte Sitzung in der Tanium Console sind für den Benutzer nur die Berechtigungen der aktuell ausgewählten Persona verfügbar, selbst wenn diesem Benutzer mehrere Personas zugewiesen sind. Einzelheiten finden Sie unter Verwalten von Personas.

Um Rollen hinzuzufügen, zu bearbeiten oder zu löschen, müssen Sie über die reservierte Administrator- oder Inhaltsset-Administratorrolle verfügen, oder über eine benutzerdefinierte Rolle mit der Berechtigung Permission Administrator. Ein Inhaltsset-Administrator kann jedoch die Zuweisung von Personas oder reservierten Rollen an Benutzer und Benutzergruppen nicht verwalten.

Rollen regeln nicht den Zugriff auf Computerverwaltungsgruppen (siehe Verwalten von Computergruppen) oder Aktionsgruppen (siehe Verwalten von Aktionsgruppen), die Benutzer zum Targeting auswählen, wenn sie Fragen ausgeben oder Aktionen ausführen. Rollen regeln jedoch die Berechtigungen, die zur Verwaltung von Konfigurationen von Computergruppen und Aktionsgruppen erforderlich sind.

Rollen gewähren und ablehnen

Sie können einem Benutzer oder einer Benutzergruppe mehrere Erteilungs- und Verweigerungsrollen zuweisen. Beim TaaSTanium Server basieren die effektiven Berechtigungen eines Benutzers oder einer Gruppe auf dem kumulativen Effekt aller zugewiesenen Rollen: alle Berechtigungen, die gewährt werden oder impliziert sind, abzüglich der ausdrücklich verweigerten.

Sie können die effektiven Berechtigungen eines Benutzers oder einer Benutzergruppe in der Tanium Console anzeigen: siehe Effektive Rollenberechtigungen.

Bei benutzerdefiniertenerweiterten Rollen muss die Berechtigung und das Inhaltsset in der Ablehnungsrolle mit der Berechtigung und dem Inhaltsset in der Erteilungsrolle übereinstimmen, um die Erteilungsberechtigung effektiv zu negieren. Im folgenden Beispiel stimmt die Ablehnung der Berechtigung zum Schreiben des Pakets auf Inhaltsset A mit der Erteilung der Berechtigung zum Schreiben des Pakets auf Inhaltsset A überein, sodass die Erteilungsberechtigung negiert wird.

Abbildung 3:  Rollen auf Inhaltsset-Berechtigungen gewähren und ablehnen (Übereinstimmung)

Im folgenden Beispiel stimmt die Verweigerung der Berechtigung zum Schreiben des Pakets auf Inhaltsset D mit keiner Erteilungsberechtigung überein. Daher hat die Berechtigung zum Verweigern keine Auswirkungen auf die effektiven Berechtigungen des Benutzers.

Abbildung 4:  Rollen auf Inhaltsset-Berechtigungen gewähren und ablehnen (keine Übereinstimmung)

Wenn Sie Inhaltssets zu Berechtigungen in benutzerdefinierten Rollenerweiterten Rollen oder Modulrollen zuweisen, entspricht die Option Add all Content Sets that exist or will exist to the permissions (Sämtliche vorhandenen oder künftigen Inhaltssets zu den Berechtigungen hinzufügen) der Auflistung sämtlicher Inhaltssets. Die folgende Abbildung veranschaulicht ein Beispiel, bei dem die Verweigerung der Berechtigung zum Schreiben des Pakets für Inhaltssatz D eine Auswirkung hat.

Abbildung 5:  Option Add All Content Sets (Alle Inhaltssets hinzufügen)

Die Übereinstimmung von Erteilen und Verweigern gilt auch für Administrationsberechtigungen Für das Erteilen und Verweigern von Micro-Administrationsrollen gelten dieselben Regeln wie für erweiterte Rollen. Im folgenden Beispiel hat der Benutzer eine Erteilungsrolle und zwei Verweigerungsrollen, die Administrationsberechtigungen spezifizieren . TaaSDer Tanium Server berücksichtigt exakte Übereinstimmungen zwischen Berechtigungen zum Erteilen und Verweigern. Der Benutzer verfügt über alle Fähigkeiten, die die Erteilungsrolle spezifiziert, abzüglich der Fähigkeiten, die die Verweigerungsrollen spezifizieren.

Abbildung 6:  Erteilungs- und Verweigerungsrollen in Administrations-Micro Admin-Berechtigungen

Modulrollen können Berechtigungen nicht verweigern, sondern nur erteilen. Benutzer, die keine Rolle haben, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder auf die Modulfunktionalitäten zugreifen.

Implizierte Rollenberechtigungen

In den Erteilungsrollen impliziert jede Schreibberechtigung die entsprechende Leseberechtigung. Im folgenden Beispiel besitzt die benutzerdefinierteerweiterte Rolle, die Eric und Grace zugewiesen ist, die Berechtigung Paket schreiben für die festgelegten Inhaltssets, sodass die Konfiguration die Leseberechtigung Paket lesen nicht eigens angeben muss. Eine Rolle, die nur über die Erlaubnis zum Lesen des Pakets auf demselben Inhaltsset verfügt, wird für Benutzer mit Leseberechtigung erstellt, wie z. B. Bob in diesem Beispiel.

Abbildung 7:  Eric und Grace haben sowohl Lese- als auch Schreibberechtigungen

Bei Verweigerungsrollen sind Berechtigungen nicht impliziert. Damit Verweigerungsrollen wirksam sind, müssen sie explizit Berechtigungen angeben und diese Berechtigungen müssen genau mit den Berechtigungen einer Erteilungsrolle übereinstimmen. Wenn beispielsweise in einer Verweigerungsrolle angegeben ist, dass die Berechtigung zum Schreiben des Pakets auf einem festgelegten Inhaltsset verweigert wird, impliziert die Rolle nicht, dass die Berechtigung zum Lesen des Pakets abgelehnt wird. Im folgenden Beispiel stimmen die Berechtigungen für die Verweigerungsrolle nicht exakt mit den Berechtigungen für die Erteilungsrolle überein. Demzufolge wird die Verweigerungsrolle nicht berücksichtigt, und Bob verfügt weiterhin über die Berechtigung zum Lesen des Pakets auf den festgelegten Inhaltssets.

Abbildung 8:  Bob verfügt effektiv über Leseberechtigungen

Übernommene Rollen

Benutzer Übernehmen Rollenberechtigungen von ihren Benutzergruppen. Im folgenden Beispiel übernimmt Eric Berechtigungen von den Rollen, die der NOC-Benutzergruppe zugewiesen sind. Er besitzt auch Berechtigungen, die direkt seinem Benutzerkonto zugewiesen sind. TaaSDer Tanium Server setzt den Nettoeffekt durch. Obwohl Eric in diesem Beispiel die Berechtigungen zum Schreiben isolierter Subnetze und Schreiben separierter Subnetze aus der Benutzergruppe übernimmt, verweigert ihm die Rolle, die direkt seinem Benutzerkonto zugewiesen ist, diese Berechtigungen. Da den Konten von Bob und Grace keine Verweigerungsrollen zugewiesen sind, verfügen sie über alle Berechtigungen, die sie von der Benutzergruppe übernehmen, einschließlich Schreiben isolierter Subnetze und Schreiben separierter Subnetze.

Abbildung 9:  Übernommene Rollen

Reservierte Rollen

Die von Tanium definierten reservierten Rollen weisen Berechtigungen für spezielle Funktionen zu, wie das Laden einer Frage von der Seite Administration > Content (Inhalt) > Question History (Fragenverlauf)Administration > Management > Question History (Fragenverlauf). Da diese Berechtigungen impliziert sind, können Sie sie nicht bearbeiten oder löschen und sie sind nicht für nicht reservierte Rollen verfügbar. Zusätzlich zu den Spezialberechtigungen können reservierte Rollen über einige oder alle der Berechtigungen verfügen, die mit sonstigenerweiterten, Micro Admin- und Modulrollen verbunden sind. Eine besondere Logik findet Anwendung, wenn Sie einem Benutzer oder einer Benutzergruppe sowohl eine reservierte Rolle als auch eine nicht reservierte Rolle zuweisen, wie in den folgenden Abschnitten beschrieben.

Reservierte Admin-Rolle

Die reservierte Admin-Rolle verfügt über alle Berechtigungen für alle Inhalte, Module, Shared Services und Verwaltungsfunktionen. Wenn Sie diese Rolle zuweisen, sind andere Erteilungsrollen überflüssig und Verweigerungsrollen unwirksam, mit folgenden Ausnahmen:

  • Aktionsfreigabe umgehen Eine benutzerdefinierte Rolle mit der Berechtigung Bypass Action Approval (Aktionsfreigabe umgehen) hat keine Auswirkungen, wenn sie einem Benutzer mit der reservierten Admin-Rolle zugewiesen wurde. Die reservierte Admin-Rolle besitzt diese Berechtigung nicht standardmäßig. Aufgrund der sensiblen Natur der Umgehung der Genehmigung müssen Sie diese Berechtigung in allen Fällen ausdrücklich zuweisen.
  • Alle ablehnen: Die reservierte Rolle Reservierte Rolle Deny All (Alle ablehnen) negiert alle Berechtigungen der reservierten Admin-Rolle.

Während der Einrichtung Ihrer Verteilung von Tanium as a Service (TaaS) wird ein anfängliches Administratorkonto mit der Admin-Rolle erstellt. Sie können dieses Konto verwenden, um RBAC für alle anderen Benutzer zu konfigurieren, einschließlich derer, die möglicherweise die Admin-Rolle benötigen.

Abbildung 10:  Reservierte Admin-Rolle

Reservierte Administratorrolle

Die Administratorrolle verfügt über alle Berechtigungen für alle Inhalte, Module und Verwaltungsfunktionen. Wenn Sie diese Rolle zuweisen, sind andere Erteilungsrollen überflüssig und Verweigerungsrollen unwirksam, mit folgenden Ausnahmen:

  • Aktionsfreigabe umgehen Eine erweiterte Rolle mit der Berechtigung Bypass Action Approval (Aktionsfreigabe umgehen) hat keine Auswirkungen, wenn sie einem Benutzer mit der reservierten Admin-Rolle zugewiesen wurde. Die reservierte Rolle des Administrators hat diese Berechtigung standardmäßig nicht. Aufgrund der sensiblen Natur der Umgehung der Genehmigung müssen Sie diese Berechtigung in allen Fällen ausdrücklich zuweisen.
  • Alle ablehnen: Die Reservierte Rolle Deny All (Alle ablehnen) negiert alle Berechtigungen der reservierten Admin-Rolle.
Abbildung 11:  Reservierte Administratorrolle

Reservierte Inhaltsset-Administratorrolle

Die Inhaltsset-Administratorrolle gewährt Lese-/Schreibberechtigungen für Inhaltssets und Rollenkonfigurationen, einschließlich Rollenzuweisungen innerhalb der Benutzer- und Benutzergruppen-Konfigurationen. Diese Rolle macht alle anderen Erteilungsrollen überflüssig. Die Reservierte Rolle Deny All (Alle ablehnen) ist die einzige Rolle, die Auswirkungen auf einen Benutzer mit der Inhaltsset-Administratorrolle hat.

Abbildung 12:  Reservierte Inhaltsset-Administratorrolle

Beachten Sie das Ergebnis, wenn sowohl die Rollen des Inhaltsset-Administrators als auch die des Administrators zugewiesen sind. Nur die Inhaltsset-Administratorrolle bleibt wirksam. Achten Sie darauf, dass Sie die Inhaltsset-Administratorrolle nicht Benutzern zuweisen, die andere Rollen haben müssen. Achten Sie darauf, die Inhaltsset-Administratorrolle (direkt oder durch Übernahme von der Benutzergruppe) nicht Benutzern zuzuweisen, denen die Administratorrolle zugewiesen wird.

Reservierte Inhaltsadministratorrolle

Die Inhaltsadministratorrolle gewährt die Lese- und Schreibberechtigung für alle Inhalte in allen Inhaltssets sowie Berechtigungen für die Aktionsverwaltung. Wenn der Tanium Server effektive Berechtigungen für einen Benutzer auswertet, der die Inhaltsadministratorrolle innehat, bewertet der Server die zugewiesenen Modulrollen und Micro Admin-Rollen, ignoriert jedoch erweiterte Rollen.

Abbildung 13:  Reservierte Inhaltsadministratorrolle

Reservierte Rolle Deny All (Alle ablehnen)

Benutzer mit der Rolle [Deny All (Alle ablehnen)] können auf nichts in der Tanium Core Platform zugreifen, unabhängig von jeder anderen Rolle, die Sie ihnen zuweisen, einschließlich der reservierten Administratorrolle. Im folgenden Beispiel ist die einzige Rolle, die Frank zugewiesen wurde, die Auswirkungen auf Deny All (Alle ablehnen) hat.

Abbildung 14:  Alle ablehnen

Aufgaben, die reservierte Rollen erfordern

Um die folgenden Aufgaben auszuführen, muss ein Benutzer eine reservierte Rolle besitzen, da die Aufgaben nicht mit Micro Admin-Berechtigungen verbunden sind, die Sie Micro Admin-Rollen zuweisen können.

 Tabelle 1: Aufgaben, die eine reservierte Rolle erfordern
Aufgabe Administrator Content Administrator Content Set Administrator
Inhaltsausrichtung verwalten

Verwenden Sie die Seite Administration > Content (Inhalt) > Content Alignment (Inhaltsausrichtung), um modulspezifische Inhalte zum geeigneten Modul-Inhaltsset zu verschieben.

 Häkchen X X
Inhaltssets verwalten

Erstellen, ändern oder löschen Sie Inhaltsset-Konfigurationen.

 Häkchen X Häkchen
Rollenkonfigurationen und Zuweisungen verwalten

Rollen bearbeiten und Rollenzuweisungen von Benutzern, Benutzergruppen und Personas bearbeiten.

 Häkchen X Häkchen
Personas verwalten

Personas erstellen, bearbeiten, zuweisen oder löschen.

 Häkchen X X
Tanium-Lösungen verwalten

Importieren Sie Tanium-Module, Inhaltspakete oder Aktualisierungen für die Benutzerschnittstelle der Tanium Console. Laborinhalt anzeigen und importieren.

 Häkchen X X
Konfiguration der Tanium Core Platform verwalten

Anzeigen oder Verwalten vieler der Seiten unter Administration > Configuration (Konfiguration), einschließlich der Seiten für Proxy-Einstellungen, Protokollierungsstufen, Plugins, Plugin-Zeitpläne, Sensorschwellenwert-Anzeigen, Paketdatei-Archiv, Tanium Client-Subnetze, Bandbreitendrosselung, Tanium-Lizenzen, Tanium-Root-Keys, Vertrauen zwischen Servern der Tanium Core Platform, LDAP-Server, SAML, API-Token und Tanium Console-Anpassungen. 

 Häkchen X X
Fragen von der Seite Question History (Fragenverlauf) laden.

Laden Sie eine Frage von der Seite Administration > Management > Question History (Fragenverlauf).

 Häkchen X X
Interact-Kategorien verwalten

Die Kategorie Other Dashboards (Andere Übersichtsseiten) lesen und verwalten.

 Häkchen Häkchen X

Effektive Rollenberechtigungen

Die effektiven Berechtigungen eines Benutzers basieren auf dem kumulativen Effekt aller zugewiesenen und übernommenen Rollen, einschließlich der folgenden:

  • Berechtigungen, die in Gewährungsrollen festgelegt sind, abzüglich Berechtigungen, die in Ablehnungsrollen festgelegt sind
  • Implizierte Berechtigungen in Gewährungsrollen
  • Rollen, die der Persona, die ein Benutzer für eine Tanium Console-Sitzung auswählt, zugewiesen sind
  • Rollen, die übernommen werden von einer Persona, die Benutzergruppen zugewiesen ist, nachdem der Benutzer diese Persona für eine Sitzung in der Tanium Console auswählt

Auf den Konfigurationsseiten für Benutzer und Benutzergruppen werden effektive Berechtigungen im Abschnitt Berechtigungen mit folgenden Symbolen angegeben:

Explizite Berechtigung Erteilen Sie die Berechtigung, die Sie explizit zuweisen müssen.
Super explizite Berechtigung Erteilen Sie die Berechtigung, die Sie explizit zuweisen müssen und die aufgrund von Abhängigkeiten automatisch zusätzliche Berechtigungen gewährt oder impliziert. Wenn Sie beispielsweise die Schreibberechtigung Write Interact Module (Interact-Modul schreiben) zuweisen, gewährt sie automatisch die Berechtigung Ask Dynamic Questions (Ausgabe dynamischer Fragen). Die meisten Schreibberechtigungen (z. B. Paket schreiben) enthalten implizit auch eine Leseberechtigung (z. B. Paket lesen).
Super explizite Berechtigung Erlaubnis verweigern.
Abbildung 15:  Effektive Berechtigungen

Die Konfigurationsseiten für Benutzer und Benutzergruppen führen die reservierte Admin-Rolle unter Globale Berechtigungen auf, wenn Sie diese Rolle zuweisen. Die Konfigurationsseiten für Benutzer und Benutzergruppen führen die reservierten Rollen Administrator, Inhaltsadministrator und Inhaltssetadministrator unter Globale Berechtigungen auf, wenn Sie diese Rollen zuweisen. Wenn Sie jedoch die Konfigurationsseite für eine benutzerdefinierte Rolle im Edit Mode (Bearbeitungsmodus) anzeigen, werden die Globalen Berechtigungen ausgeblendet, da Sie sie nicht zuweisen können.

Sie können alle Berechtigungen für Modulinhalte, ErweiternBerechtigungen für Plattforminhalte und die globalen Berechtigungen erweitern , um die Inhaltssets aufzulisten, für die die Berechtigung gilt:

Explizite Berechtigung Inhaltsset, das der Berechtigung explizit zugewiesen ist.
Super explizite Berechtigung Inhaltsset, das zugewiesen wird, weil eine andere Berechtigung dies impliziert oder bereitstellt.

Die Konfigurationsseiten für Benutzer und Benutzergruppen führen auch die zugewiesenen Inhaltssets nach Inhaltstyp auf. Bei implizierten oder erteilten Berechtigungen fahren Sie mit der Maus über das Implizierte Berechtigung Symbol, um eine Quickinfo anzuzeigen. Hier wird erläutert, wie die Berechtigung von einer expliziten Berechtigung abgeleitet Super explizite Berechtigung wurde.

Abbildung 16:  Zuweisungen von Berechtigungen und Inhaltsset

So überprüfen Sie effektive Berechtigungen:

Die Konfigurationsseiten für Benutzer und Benutzergruppen enthalten einen Abschnitt Roles and Effective Permissions (Rollen und effektive Berechtigungen), der verdeutlicht, wie der Tanium Server effektive Berechtigungen ableitet.

Abbildung 17:  Effektive Berechtigungen

Bewegen Sie im Abschnitt Roles (Rollen) den Mauszeiger über die Kachel für eine übernommene Rolle, um die Benutzergruppe zu sehen, aus der sie übernommen wurde. Klicken Sie auf die Kachel, um die zugehörigen Berechtigungen im Abschnitt Permissions (Berechtigungen) zu markieren. Klicken Sie auf die Kachel All Roles (Alle Rollen), um die Berechtigungen ohne Markierung erneut anzuzeigen.

Details zur Rolle anzeigen

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).

    Auf der Seite werden alle Rollennamen und Kategorien sowie die Anzahl der Benutzer, Benutzergruppen und Personas angezeigt, denen die jeweilige Rolle zugewiesen ist. Die Spalte Gesamtanzahl der Benutzer zeigt die Summe aller Benutzer an, denen die Rolle über ihre Benutzerkonten zugewiesen wurde oder die die Rolle von Benutzergruppen übernehmen.

  2. (Optional) Um Attribute anzuzeigen, die das Raster standardmäßig ausblendet, klicken Sie auf [Customize Columns (Spalten anpassen)] Spalten anpassen und wählen Sie die Attribute aus.
  3. (Optional) Verwenden Sie die Filter, um bestimmte Rollen zu finden:
    • Nach Text filtern: Um das Raster nach Spaltenwerten zu filtern, geben Sie eine Textzeichenkette in das Feld Filter items (Elemente filtern) ein.
    • Filtern nach Attribut: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. Role Name (Rollenname). Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Zeichenkette ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Wenn Sie mehrere Attributfilter hinzufügen, gilt der Bediener [Boolean AND (boolesches UND)]. Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  4. (Optional) Um die Berechtigungen, Personas, Benutzer und Benutzergruppen anzuzeigen, die einer Rolle zugewiesen sind, klicken Sie auf den Rollennamen.

    Um die Konfiguration eines zugewiesenen Benutzers oder einer zugewiesenen Benutzergruppe anzuzeigen oder zu bearbeiten, klicken Sie auf den Namen des Benutzers oder der Gruppe.

Konfigurieren einer benutzerdefinierten Rolle

Erstellen oder bearbeiten Sie eine benutzerdefinierte Rolle, die Administration, Plattforminhalte und Berechtigungen für das Modul zuweist.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Führen Sie einen der folgenden Schritte aus:
    • Um eine Rolle zu erstellen, klicken Sie auf New Role (Neue Rolle).
    • Um eine Rolle zu bearbeiten, klicken Sie auf einen Role Name (Rollennamen) und dann auf Edit Mode (Bearbeitungsmodus).
  3. Geben Sie einen Rollennamen ein, der die Rolle identifiziert.
  4. Setzen Sie den Permission Type (Berechtigungstyp) auf Allow (Zulassen) (erteilen) oder Deny (Verweigern).

    Der Abschnitt Permissions (Berechtigungen) listet alle Berechtigungen auf, die Sie zuweisen können, indem Sie auf ein Symbol in der Spalte Special (Besondere), Read (Lesen), Write (Schreiben), Execute (Ausführen) oder Delete (Löschen) klicken. Sie können in einer Spaltenüberschrift auf ein Symbol klicken, um alle Berechtigungen dieses Typs auszuwählen. Klicken Sie beispielsweise in der Kopfzeile Administrationsberechtigungen auf das Symbol Special (Besondere), um alle verfügbaren speziellen Administrationsberechtigungen zuzuweisen. In den Listen werden nicht zugewiesene Berechtigungen mit grauen Symbolen markiert und zugewiesene Berechtigungen mit den folgenden farbigen Symbolen:

    Explizite BerechtigungBerechtigung, die explizit zugewiesen werden muss.
    Super explizite BerechtigungBerechtigung, die man explizit zuweisen muss und die aufgrund von Abhängigkeiten automatisch zusätzliche Berechtigungen gewährt oder impliziert. Wenn Sie beispielsweise die Schreibberechtigung Write Interact Module (Interact-Modul schreiben) zuweisen, gewährt sie automatisch die globale Berechtigung Ask Dynamic Questions (Ausgabe dynamischer Fragen). Die meisten Schreibberechtigungen (z. B. Paket schreiben) enthalten implizit auch eine Leseberechtigung (z. B. Paket lesen).
    Implizierte BerechtigungBerechtigung, die automatisch aktiviert wird, weil sie von einer anderen Berechtigung abhängig ist oder weil eine vorgelagerte Berechtigung diese impliziert.
    In einem späteren Schritt in diesem Verfahren wird erläutert, wie Sie Inhaltssets zu Berechtigungen zuweisen, die mit Inhalt verknüpft sind.

    Wie Sie Personas Rollen zuweisen, sehen Sie unter Rollenzuweisungen für eine Persona verwalten.

  5. (Optional) Um Benutzerzuweisungen zu verwalten, erweitern Erweitern Sie den Abschnitt Users (Benutzer), klicken Sie auf Manage Users (Benutzer verwalten), wählen Sie Benutzer aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
    Wenn Sie eine Rolle bearbeiten, die bereits Benutzern zugewiesen ist, klicken Sie auf die Nummer über dem Feld Users (Benutzer) im Abschnitt Role Details (Rollendetails), um zum Abschnitt Users (Benutzer) zu scrollen und ihn zu erweitern.

    Um die Konfiguration eines bestimmten Benutzers anzuzeigen oder zu bearbeiten, klicken Sie auf den Benutzernamen im Abschnitt Users (Benutzer). Die Seite Edit User (Benutzer bearbeiten) wird in einer neuen Registerkarte geöffnet.

  6. (Optional) Um Benutzergruppenzuweisungen zu verwalten, erweitern Erweitern Sie den Abschnitt User Groups (Benutzergruppen), klicken Sie auf Manage User Groups (Benutzergruppen verwalten), wählen Sie die Gruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
    Wenn Sie eine Rolle bearbeiten, die bereits Benutzergruppen zugewiesen ist, klicken Sie auf die Nummer über dem Feld User Groups (Benutzergruppen) im Abschnitt Role Details (Rollendetails), um zum Abschnitt User Groups (Benutzergruppen) zu scrollen und ihn zu erweitern.

    Um die Konfiguration einer bestimmten Gruppe anzuzeigen oder zu bearbeiten, klicken Sie auf den Gruppennamen im Abschnitt User Groups (Benutzergruppen). Die Seite Edit User Group (Benutzergruppe bearbeiten) wird in einer neuen Registerkarte geöffnet.

  7. Erweitern Offen Sie den Abschnitt Administration und wählen Sie eine der folgenden Berechtigungen aus, die die Rolle erfordert.

    Um eine Rolle zu erstellen, die alle administrativen Aufgaben in der Tanium Console ausführen kann, weisen Sie die Berechtigungen Permission Administrator (Berechtigungsadministrator), Write User (Benutzer schreiben), Write User Group (Benutzergruppe schreiben), Write Computer Group (Computergruppe schreiben) und Write Persona (Persona schreiben) zu. Die reservierte Admin-Rolle verfügt über all diese Berechtigungen.

     Tabelle 2: Administrationsberechtigungen
    BerechtigungBeschreibung
    Permission Administrator (Berechtigungsadministrator)Stellt die folgenden Administrationsberechtigungen als Bundle bereit:
    • Benutzer lesen
    • Benutzergruppe lesen
    • Rolle lesen
    • Rolle schreiben
    • Rolle zuweisen
    • Inhaltsset lesen
    • Inhaltsset schreiben
    • Persona lesen
    AktionsgruppeMit der Leseberechtigung können Benutzer Konfigurationen von Aktionsgruppen auf der Seite Scheduled Actions (geplante Aktionen) anzeigen und exportieren.

    Mit der Schreibberechtigung können Benutzer Konfigurationen für Aktionsgruppen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen einer Aktionsgruppe.

    Zulässige URLsMit der Leseberechtigung können Benutzer zulässige URL-Konfigurationen auf der Seite Zulässige URLs anzeigen und die Konfigurationen im CSV-Format exportieren. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.

    Mit der Schreibberechtigung können Benutzer URL-Konfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung Zulässige URLs lesen.

    AuditMit der Leseberechtigung können Benutzer Folgendes anzeigen:
    • Last Sign In (Informationen zur letzten Anmeldung) auf der Seite Users (Benutzer)
    • Last Modified (Zuletzt geänderte) Informationen auf der Seite zur Benutzerkonfiguration
    • Informationen zur Last Modification (Letzten Änderung) auf der Seite Global Settings (Globale Einstellungen)
    ComputergruppenMit der Leseberechtigung können Benutzer Computermanagementgruppen anzeigen und im CSV-Format exportieren. Für den Export im JSON-Format ist die Berechtigung für den Export von Inhalten erforderlich.

    Zusätzliche Berechtigungen sind erforderlich, um die Benutzergruppe, Benutzer- und Persona-Zuweisungen von Computermanagementgruppen anzuzeigen: siehe Computer-Verwaltungsgruppen verwalten.

    Mit der Schreibberechtigung können Benutzer Computermanagementgruppen und Filtergruppen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigungen Read Computer Group (Computergruppe lesen) und Write Filter Group (Filtergruppe schreiben).

    Um eine Computermanagementgruppe oder Filtergruppe zu erstellen, in der die Mitgliedschaft auf einem Sensorfilter basiert, benötigen Benutzer zusätzlich zur Berechtigung Write Computer Group (Computergruppe schreiben) die folgenden Berechtigungen:

    • Die Berechtigung zum Lesen des Sensors (Plattforminhalt) für den reservierten Inhaltssatz, der Inhalt enthält, der verwendet wird, um Vorschaufragen zu stellen.
    • Berechtigung Write Interact Module (Interact-Modul schreiben).

    Computergruppen mit manuell definierter Mitgliedschaft benötigen keine Berechtigungen für Read Sensor (Sensor lesen) oder Write Interact Module (Interact-Modul schreiben).

    Inhalt exportierenErmöglicht es Benutzern, die folgenden Inhaltstypen im JSON-Format zu exportieren:
    • Zulässige URLs
    • Computer-Verwaltungsgruppen
    • Inhaltssets
    • Filtergruppen
    • Pakete
    • Rollen
    • Gespeicherte Fragen
    • Geplante Aktionen
    • Sensoren

    Nur die reservierte Administratorrolle kann Kategorien und Dashboards exportieren.

    Signierten Inhalt importierenErmöglicht es Benutzern, digital signierte Inhaltsdateien in den Tanium Server zu importieren.
    Globale BandbreitendrosselungMit der Leseberechtigung können Benutzer globale Bandbreitendrosselungen auf der Seite Bandwidth Throttles (Bandbreitendrosselung) einsehen.

    Mit der Schreibberechtigung können Benutzer globale Bandbreitendrosselungen erstellen, bearbeiten und löschen.

    Globale EinstellungenMit der Leseberechtigung können Benutzer die globalen Einstellungen der Tanium Core Platform-Server und der Tanium Clients auf der Seite Platform Setting (Plattformeinstellungen) einsehen.

    Mit der Schreibberechtigung können Sie globale Einstellungen erstellen, bearbeiten oder löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen globaler Einstellungen.

    Isolierte SubnetzeMit der Leseberechtigung können Benutzer isolierte Client-Subnetzkonfigurationen auf der Seite Administration > Configuration (Konfiguration) > Subnets (Subnetze) einsehen und exportieren.

    Mit der Schreibberechtigung können Benutzer Client-Subnetzkonfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen von isolierten Subnetzen.

    PersonaMit der Leseberechtigung können Benutzer Persona-Konfigurationen anzeigen und exportieren. Die Berechtigung Berechtigungsadministrator impliziert die Berechtigung zum Lesen von Personas.

    Mit der Schreibberechtigung können Benutzer Personas erstellen, bearbeiten und löschen, wenn sie mit der Berechtigung Berechtigungsadministrator kombiniert werden. Die Schreibberechtigung impliziert die Leseberechtigung Persona.

    Benutzer benötigen zusätzliche Berechtigungen, um die Zuweisung anderer RBAC-Objekte (wie Benutzer) zu Personas zu bearbeiten: siehe Personas verwalten.

    Öffentlicher SchlüsselMit der Leseberechtigung können Benutzer der Tanium REST API den öffentlichen Tanium-Schlüssel (tanium.pub) oder die Initialisierungsdatei (tanium-init.dat) herunterladen.

    Nur die reservierte Administratorrolle kann auf die Seite Infrastruktur zugreifen, um diese Dateien über die Tanium Console herunterzuladen.

    FragenverlaufMit der Leseberechtigung können Benutzer die Seite Fragenverlauf einsehen.

    Um eine Frage über die Seite Fragenverlauf auszugeben, benötigen Benutzer auch Plattforminhaltsberechtigungen für die entsprechenden Inhaltssets.

    Separierte SubnetzeMit der Leseberechtigung können Benutzer separierte Client-Subnetzkonfigurationen auf der Seite Subnetze einsehen und exportieren.

    Mit der Schreibberechtigung können Benutzer Client-Subnetzkonfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen von separierten Subnetzen.

    ServerstatusMit der Leseberechtigung können Benutzer die Seite https://<Tanium_Server>/info einsehen. Einzelheiten finden Sie unter Die Info-Seite anzeigen.
    Subnetz-BandbreitendrosselungMit der Leseberechtigung können Benutzer seitenspezifische Bandbreitendrosselungen auf der Seite Bandwidth Throttles (Bandbreitendrosselung) einsehen.

    Mit der Schreibberechtigung können Benutzer seitenspezifische Bandbreitendrosselungen erstellen, bearbeiten und löschen.

    Client-StatusMit der Leseberechtigung können Benutzer die Seite Client-Status einsehen.
    Token – WiderrufenErmöglicht es Benutzern, API-Token zu erstellen oder zu widerrufen, die für den Zugriff auf TaaSden Tanium Server verwendet werden.
    Token – VerwendenErmöglicht es Benutzern, beim TaaSTanium Server neue API-Token anzufragen.
    Token – AnzeigenErmöglicht es Benutzern, die Seite API Tokens anzuzeigen.
    BenutzerMit der Leseberechtigung können Benutzer Benutzer-Konfigurationen auf der Seite Benutzer einsehen und exportieren.

    Mit der Schreibberechtigung können Benutzer Benutzer-Konfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Leseberechtigung Benutzer.

    Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzergruppe- und Persona-Zuweisungen von Benutzern anzuzeigen und zu bearbeiten: siehe Benutzer verwalten.

    BenutzergruppeMit der Leseberechtigung können Benutzer Benutzergruppen-Konfigurationen auf der Seite Benutzergruppen einsehen und exportieren.

    Mit der Schreibberechtigung können Benutzer Benutzergruppen-Konfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Leseberechtigung Benutzergruppen.

    Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzer- und Persona-Zuweisungen von Benutzergruppen anzuzeigen und zu bearbeiten: siehe Benutzergruppen verwalten.

    VerwaltungsrechteMit der Leseberechtigung können Benutzer die Computermanagement-Gruppenzuordnungen von Benutzern, Benutzergruppen und Personas einsehen, wenn sie mit der Berechtigung Computergruppe lesen kombiniert ist.

    Die Schreibberechtigung für Verwaltungsrechte ist eine der Berechtigungen, die erforderlich sind, um die Computermanagement-Gruppenzuordnungen von Benutzern, Benutzergruppen und Personas zu bearbeiten. Weitere erforderliche Berechtigungen finden Sie unter Computer-Verwaltungsgruppen verwalten.

    Leseberechtigung für Verwaltungsrechte und Schreibberechtigung für Verwaltungsrechte sind keine expliziten Berechtigungen; sie sind in der Berechtigung Berechtigungsadministrator implizit enthalten.

    InhaltssetMit der Leseberechtigung können Benutzer Konfigurationen von Inhaltssets anzeigen.

    Mit der Schreibberechtigung können Benutzer:

    • Inhaltssets erstellen, bearbeiten und löschen
    • Inhalte zwischen Inhaltssets verschieben
    • Inhaltssets im CSV-Format exportieren. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.

    Dies sind keine expliziten Berechtigungen; sie sind in der Berechtigung Berechtigungsadministrator implizit enthalten.

    RoleMit der Leseberechtigung können Benutzer Rollenkonfigurationen anzeigen und im CSV-Format exportieren. Für den Export im JSON-Format ist die Berechtigung für den Export von Inhalten erforderlich.

    Mit der Schreibberechtigung können Benutzer Rollenkonfigurationen erstellen, bearbeiten und löschen.

    Die Erteilungsberechtigung ist eine der Berechtigungen, die zum Bearbeiten der Rollenzuweisungen von Benutzern, Benutzergruppen und Personas erforderlich sind.

    Dies sind keine expliziten Berechtigungen; sie sind in der Berechtigung Berechtigungsadministrator implizit enthalten.

    Benutzer benötigen die folgenden kombinierten Berechtigungen zur Verwaltung von Rollenzuweisungen:

    • Die Berechtigungen Berechtigungsadministrator und Schreibberechtigung Benutzer sind erforderlich, um die Rollenzuweisungen von Benutzern zu bearbeiten.
    • Die Berechtigungen Berechtigungsadministrator und Schreibberechtigung Benutzergruppe sind erforderlich, um die Rollenzuweisungen von Benutzergruppen zu bearbeiten.
    • Die Berechtigungen Berechtigungsadministrator und Schreibberechtigung Persona sind erforderlich, um die Rollenzuweisungen von Personas zu bearbeiten.
  8. Erweitern Offen Sie für jedes Modul, das über Berechtigungen verfügt, die Sie zuweisen möchten, den Abschnitt <module name> und wählen Sie die Berechtigungen aus.

    Informationen zu den erforderlichen Berechtigungen für modulspezifische Rollen finden Sie im Benutzerhandbuch des Moduls:

  9. Erweitern Offen Sie den Abschnitt Platform Content Permissions (Berechtigungen für Inhalte der Plattform) und wählen Sie alle Berechtigungen aus, die die Rolle erfordert:
     Tabelle 3: Berechtigungen für Inhalte der Plattform
    BerechtigungBeschreibung
    Aktion Mit der Leseberechtigung können Benutzer die Seiten Administration > Actions (Aktionen) einsehen. Die Visibilität bestimmter Aktionen (Zeilen im Raster) hängt von der Berechtigung zum Lesen der Aktion auf dem Inhaltsset für das zugrunde liegende Paket ab. Die Berechtigung ermöglicht es Benutzern, Paketdateien erneut herunterzuladen und Rasterzeilen in die Zwischenablage zu kopieren.

    Mit der Schreibberechtigung können Benutzer:

    • Von ihnen geplante Aktionen sehen.
    • Geplante Aktionen im CSV-Format exportieren. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.
    • Verwenden Sie die Schaltfläche Deploy Action (Aktion ausführen) im Raster Question Results (Frageergebnisse).

    In der Berechtigung Write Action (Aktion schreiben) sind die Berechtigungen für Read Own Action (Eigene Aktion lesen), Read Package (Paket lesen) und Show Preview (Vorschau anzeigen) implizit enthalten.

    Um eine Aktion ausführen, überprüfen oder ihren Status einsehen zu können, benötigen Benutzer für den reservierten Inhaltssatz auch die Berechtigungen Read Sensor (Sensor lesen) und Read Saved Question (gespeicherte Frage lesen). Der reservierte Inhaltssatz enthält Inhalte, die für Vorschau- und Abstimmungsfragen verwendet werden.

    Aktion für gespeicherte FragenMit der Schreibberechtigung können Benutzer:
    • Sie können auf die Seite Geplante Aktionen zugreifen und die Aktionen sehen, die sie ausgeführt haben.
    • Sie können die Schaltfläche Deploy Action (Aktion ausführen) im Raster Question Results (Fragenergebnisse) für gespeicherte Fragen, mit denen Pakete verknüpft sind, sehen und verwenden. Eine Berechtigung zum Lesen des Pakets ist für die zugehörigen Pakete nicht erforderlich. Wenn die gespeicherte Frage keine verknüpften Pakete hat, wird die Schaltfläche Deploy Action (Aktion ausführen) nicht angezeigt.

    Die Schreibberechtigung impliziert die Berechtigung Show Preview (Vorschau zeigen).

    Tipp: Verwenden Sie die Berechtigung zum Schreiben von Aktionen für gespeicherte Fragen anstelle der Berechtigung zum Schreiben von Aktionen, um die Verwendung von Aktionsbenutzern zu begrenzen, die Tanium verwenden, um Standardarbeitsanweisungen auszuführen, die jemand anderes erstellt hat.

    Approve ActionErmöglicht es einem Benutzer, Aktionen zu genehmigen, die von anderen Benutzern erstellt wurden. Benutzer mit dieser Berechtigung können ihre eigenen Aktionen nicht genehmigen.

    Um die Aktionen auf den Seiten ActionsI  Can Approve (Aktionen, die ich genehmigen kann) und All Pending Approval (Alle ausstehenden Genehmigungen) anzuzeigen, müssen Sie auch über die Berechtigung zum Lesen des Pakets und über die Berechtigung zum Lesen der eigenen Aktion verfügen.

    Mit der Berechtigung Bypass Action Approval (Aktionsfreigabe umgehen) können Benutzer ihre Aktionen ohne Genehmigung ausführen, auch wenn eine Aktionsfreigabe konfiguriert ist. Keine Rolle, einschließlich der reservierten Rolle des Administrators, beinhaltet diese Berechtigung standardmäßig. Dies ist eine Berechtigung für Plattforminhalte, die Auswirkungen auf einen Benutzer hat, dem die reservierte Administratorrolle gewährt wurde.

    Aktionsfreigabe umgehenAktionen, die von einem Benutzer mit dieser Berechtigung erstellt wurden, unterliegen nicht den Genehmigungsanforderungen.

    Keine Rolle, einschließlich der reservierten Rolle des Administrators, beinhaltet diese Berechtigung standardmäßig.

    Dies ist die eine erweiterte Berechtigung, die Auswirkungen auf einen Benutzer hat, dem die Administratorrolle gewährt wurde.

    DashboardMit der Leseberechtigung können Benutzer Dashboards auf der Interact-Seite Content (Inhalt) einsehen, wenn diese Benutzer auch über die Berechtigung Show Interact (Interact anzeigen) verfügen. Ein Benutzer benötigt auch die Berechtigung zum Lesen der gespeicherten Frage und die Berechtigung zum Lesen des Sensors für den entsprechenden Inhalt, um die Übersichtsseite zu verwenden.

    Mit der Schreibberechtigung können Benutzer Dashboard-Konfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen der Übersichtsseite.

    Dashboard-GruppeMit der Leseberechtigung können Benutzer Kategorien auf der Interact-Seite Content (Inhalt) einsehen, wenn diese Benutzer auch über die Berechtigung Show Interact (Interact anzeigen) verfügen. Ein Benutzer benötigt auch die Berechtigung zum Lesen der Übersichtsseite, zum Lesen der gespeicherten Frage und zum Lesen des Sensors für den entsprechenden Inhalt, um die Kategorie zu verwenden.

    Mit der Schreibberechtigung können Benutzer Kategoriekonfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen der Kategorie.

    FiltergruppeMit der Leseberechtigung können Benutzer:
    • Die Seite Filtergruppen einsehen
    • Filtergruppen verwenden, um Fragen, Fragenergebnisse und verschiedene Listen in der Tanium Console zu filtern.
    • Filtergruppen im CSV-Format exportieren. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.

    Mit der Schreibberechtigung können Benutzer Filtergruppen-Konfigurationen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen von Filtergruppen.

    Eigene AktionMit der Leseberechtigung kann ein angemeldeter Benutzer seine Aktionen im Raster All Pending Approval (alle ausstehenden Genehmigungen) einsehen.
    PaketMit der Leseberechtigung können Benutzer:
    • Sie können Pakete in der Liste Deployment Package (Verteilungspaket) auf der Seite Action Deployment (Aktionsausführung) einsehen.
    • Sie können Pakete auf der Seite Pakete einsehen.
    • Pakete im CSV-Format exportieren. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.

    Mit der Schreibberechtigung können Benutzer Paketkonfigurationen erstellen, bearbeiten und löschen. In der Schreibberechtigung ist die Berechtigungen zum Lesen des Pakets und zum Anzeigen der Vorschau impliziert.

    Verknüpfte PaketeZugehörige Pakete lesen ist keine explizite Berechtigung; die Berechtigung zum Lesen zugehöriger Pakete ist in der Berechtigung zum Schreiben von Aktionen für gespeicherte Fragen impliziert.
    PluginZur späteren Verwendung reserviert.
    Gespeicherte FrageMit der Leseberechtigung können Benutzer:
    • Sie können gespeicherte Fragen im Raster-Drill-down Question Results (Fragenergebnisse) und ähnlichen Benutzerschnittstellen anzeigen.
    • Sie können gespeicherte Fragen auf der Interact-Seite Overview (Übersicht) anzeigen, wenn Sie auch über die Berechtigung Show Interact (Interact anzeigen) verfügen.
    • Sie können gespeicherte Fragen ausgeben, wenn Sie auch über die Berechtigung zum Lesen des Sensors für die Inhaltssets verfügen, die die Sensoren in diesen Fragen enthalten.
    • Anzeigen der Seite Gespeicherte Fragen.
    • Export gespeicherter Fragen im CSV-Format. Für den Export im JSON-Format ist die Administratorberechtigung für den Export von Inhalten erforderlich.

    Mit der Schreibberechtigung können Benutzer Konfigurationen für gespeicherte Fragen erstellen, bearbeiten und löschen. Die Schreibberechtigung impliziert die Berechtigung zum Lesen gespeicherter Fragen, jedoch nicht die Berechtigung Ask Dynamic Questions (dynamische Fragen ausgeben).

    SensorMit der Leseberechtigung können Benutzer:
    • Anzeigen von Sensoren im Question Builder (Fragenersteller) und ähnlichen Benutzerschnittstellen über die gesamte Tanium Console.
    • Verwenden von Sensoren bei Fragen, wenn der Benutzer ebenso die Möglichkeit hat, Fragen zu stellen.

    Mit der Schreibberechtigung können Benutzer Sensor-Konfigurationen erstellen, bearbeiten und löschen. In der Schreibberechtigung ist die Berechtigungen zum Lesen des Sensors und zum Anzeigen der Vorschau impliziert.

    VorschauVorschau anzeigen ist keine explizite Berechtigung. Die Berechtigung zum Anzeigen der Vorschau ist in den Berechtigungen Write Action (Aktion schreiben), Write Action for Saved Question (Aktion für gespeicherte Fragen schreiben), Write Sensor (Sensor schreiben) und Write Package (Paket schreiben) impliziert. Mit Show Preview (Vorschau anzeigen) können Benutzer Fragen ausgeben, die zur Vorschau der Auswirkungen neuer und geänderter Aktions-, Sensor- und Paketkonfigurationen erforderlich sind. Um Vorschaufragen zu stellen, benötigt der Benutzer auch die Berechtigung zum Lesen des Sensors für den reservierten Inhaltssatz, der Inhalte enthält, die zum Stellen der Vorschaufragen verwendet werden.

  10. (Optional) Überprüfen aller von Ihnen ausgewählten Berechtigungen.

    Klicken Sie oben rechts auf der Seite auf Preview (Vorschau), um nur die von Ihnen ausgewählten Berechtigungen anzuzeigen. Wenn Sie die Überprüfung abgeschlossen haben, klicken Sie auf Edit Mode (Bearbeitungsmodus), um mit der Konfiguration der Rolle fortzufahren.

  11. Weisen Sie Inhaltssets den entsprechenden Berechtigungen für Modulinhalte und Plattforminhalte zu, die Sie ausgewählt haben:
    • Um alle vorhandenen und zukünftigen Inhaltssets allen relevanten Inhaltsberechtigungen zuzuweisen, die Sie ausgewählt haben, wählen Sie Add all Content Sets that exist or will exist to the permissions selected above (Alle bestehenden oder künftigen Inhaltssets für die oben ausgewählten Berechtigungen hinzufügen) aus. Diese Option ist nützlich, wenn Sie möchten, dass ein Benutzer immer in der Lage sein wird, Sensoren zu lesen oder niemals in der Lage sein wird, Aktionen zu schreiben.
    • Um allen relevanten Inhaltsberechtigungen, die Sie ausgewählt haben, bestimmte Inhaltssets zuzuweisen, klicken Sie auf Add Content Sets (Inhaltssets hinzufügen), wählen Sie die Sets aus und klicken Sie auf Select (Auswählen).
    • So weisen Sie einer bestimmten Berechtigung bestimmte Inhaltssets zu:

      1. Scrollen Sie zum Abschnitt Permissions (Berechtigungen) und klicken Sie auf die Nummer neben dem Berechtigungssymbol, wie z. B.:

        Zuordnungen des Inhaltssets

      2. Wählen Sie die Inhaltssets aus und klicken Sie auf Select (Auswählen).

    Um die Zuordnungen der Inhaltssets für eine bestimmte Berechtigung zu überprüfen, erweitern Erweitern Sie sie im Abschnitt Permissions (Berechtigungen). Die folgenden Symbole zeigen an, wie eine Berechtigung zum Inhaltsset abgeleitet wird:

    Explizite BerechtigungInhaltsset, das der Berechtigung explizit zugewiesen ist.
    Super explizite BerechtigungInhaltsset, das zugewiesen wird, weil eine andere Berechtigung dies impliziert oder bereitstellt.

    Um die Zuordnungen der Inhaltssets für alle Berechtigungen zu überprüfen, siehe Raster Content Sets (Inhaltssets). Die folgenden Raster-Symbole zeigen an, wie eine Berechtigung zum Inhaltsset abgeleitet wird:

    Explizite BerechtigungInhaltsset, das Sie explizit zugewiesen haben.
    Super explizite BerechtigungInhaltsset, das Sie explizit zugewiesen haben und das mit einer Berechtigung zusammenhängt, die aufgrund von Abhängigkeiten automatisch zusätzliche Berechtigungen gewährt oder impliziert.
    Implizierte BerechtigungInhaltsset, das automatisch zugewiesen wird, weil eine Abhängigkeit mit einer anderen Berechtigung besteht.

    Um ein benutzerdefiniertes Inhaltsset zu erstellen, ohne die Seite Rollenkonfiguration zu verlassen, klicken Sie auf New Content Set (Neues Inhaltsset), geben Sie einen Namen ein, um das Set zu identifizieren, und klicken Sie auf Save (Speichern).

  12. Klicken Sie auf Save (Speichern).

Eine erweiterte Rolle erstellen

Erweiterte Rollen gewähren oder verweigern Inhaltsset-Berechtigungen, die den Zugriff auf Sensoren, Pakete, gespeicherte Fragen und andere Inhalte steuern.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie New Role (Neue Rolle) > Grant Advanced Role (Erweitere Rolle erteilen) oder New Role (Neue Rolle) > Deny Advanced Role (Erweiterte Rolle verweigern).
  3. Geben Sie unter Name einen Namen an, der die Aktion identifiziert.
  4. (Optional) Wählen Sie im Bereich All Content Sets Option (Option für alle Inhaltssets) die Option Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) aus, um Berechtigungen für alle vorhandenen und künftigen Inhaltssets zu gewähren oder abzulehnen. Diese Option ist nützlich, wenn Sie möchten, dass ein Benutzer immer in der Lage sein wird, Sensoren zu lesen oder niemals in der Lage sein wird, Aktionen zu schreiben.
  5. Klicken Sie im Bereich Ask Dynamic Question (Dynamische Frage stellen) auf Add (Hinzufügen) Hinzufügen, um es Benutzern mit dieser Rolle zu ermöglichen, dynamische (Ad-hoc-)Fragen zu stellen.

    Ask Dynamic Questions (Dynamische Fragen stellen) ist eine globale Berechtigung. Wenn sie in einer beliebigen Rolle aktiviert ist, die einem Benutzer zugewiesen ist, ist der Benutzer berechtigt, dynamische Fragen zu erstellen, die jeden der Sensoren verwenden, für die er Lesezugriff hat.

  6. Klicken Sie im Abschnitt Advanced Permissions (Erweiterte Berechtigungen) auf Hinzufügen Hinzufügen für jede Berechtigung, die die Rolle erteilen oder verweigern soll. Tabelle 4 beschreibt die Berechtigungen.
  7. Fügen Sie jeder Berechtigung Inhaltssets hinzu. Überspringen Sie diesen Schritt, wenn Sie Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) ausgewählt haben.

    Um ein benutzerdefiniertes Inhaltsset zu erstellen, ohne die Seite Rollenkonfiguration zu verlassen, klicken Sie auf Apply New Content Set (Neues Inhaltsset anwenden), dann auf New Content Set (Neues Inhaltsset), geben Sie einen Namen und (optional) eine Description (Beschreibung) ein und klicken Sie auf Save (Speichern).

    • So fügen Sie allen Berechtigungen dieselben Inhaltssets hinzu: Klicken Sie auf Apply New Content Set (Neues Inhaltsset anwenden), wählen Sie die Inhaltssets aus und klicken Sie auf Save (Speichern).
    • Inhaltssets einer bestimmten Berechtigungen hinzufügen: Klicken Sie auf Add (Hinzufügen) in der Berechtigungskachel, wählen Sie Inhaltssets aus, und klicken Sie auf Save (Speichern).
  8. Klicken Sie auf Save (Speichern), um die Rollenkonfiguration zu speichern.
 Tabelle 4: Berechtigungen für Inhaltssets
Berechtigung Beschreibung
Aktionsfreigabe umgehen Aktionen, die von einem Benutzer mit dieser Berechtigung erstellt wurden, unterliegen nicht den Genehmigungsanforderungen.

Keine Rolle, einschließlich der reservierten Rolle des Administrators, beinhaltet diese Berechtigung standardmäßig.

Dies ist die eine erweiterte Berechtigung, die Auswirkungen auf einen Benutzer hat, dem die Administratorrolle gewährt wurde.
Sensor lesen Kann Sensoren auf der Seite Sensoren, im Question Builder (Fragenersteller) und ähnlichen Benutzerschnittstellen über die gesamte Konsole anzeigen. Kann Sensoren bei Fragen verwenden, wenn der Benutzer ebenso die Möglichkeit hat, Fragen zu stellen.
Sensor schreiben Kann Sensorkonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigungen zum Lesen des Sensors und zum Anzeigen der Vorschau.
Aktion lesen Kann die Seiten Administration > Actions (Aktionen) anzeigen. Die Visibilität der Zeilen im Raster hängt von der Berechtigung zum Lesen der Aktion auf dem Inhaltsset für das zugrunde liegende Paket ab. Die Berechtigung ermöglicht es Benutzern, Paketdateien erneut herunterzuladen und Rasterzeilen in die Zwischenablage zu kopieren.

Impliziert die Berechtigung Read Own Action (Eigene Aktion lesen).

Eigene Aktion lesen Bestimmt, ob die Aktionen des angemeldeten Benutzers im Raster All Pending Approval (Alle ausstehenden Genehmigungen) angezeigt werden.
Aktion schreiben Kann die Seite Scheduled Actions (Geplante Aktionen) anzeigen. Benutzer können Zeilen für Aktionen sehen, die sie ausgegeben haben. Wenn ein Benutzer über die Berechtigung zum Lesen der Aktion auf dem Inhaltsset des zugrunde liegenden Pakets verfügt, kann dieser Benutzer Zeilen für Aktionen sehen, die von anderen Benutzern ausgegeben wurden.

Kann die Schaltfläche Deploy Action (Aktion bereitstellen) am Raster Question Results (Fragenergebnisse) für dynamische Fragen und gespeicherte Fragen sehen und verwenden.

Impliziert die Berechtigungen für Read Own Action (Eigene Aktion lesen), Read Package (Paket lesen) und Show Preview (Vorschau anzeigen).

Um eine Aktion auszuführen, zu bearbeiten oder den Aktionsstatus zu prüfen, benötigt ein Benutzer auch die Leseberechtigung für den Sensor und die Leseberechtigung für die gespeicherte Frage im reservierten Inhaltssatz. Der reservierte Inhaltssatz enthält Inhalte, die für Vorschau- und Abstimmungsfragen verwendet werden.
Aktion für gespeicherte Fragen schreiben Kann die Seite Scheduled Actions (Geplante Aktionen) anzeigen, die einzigen Zeilen beziehen sich jedoch auf die Aktionen, die der Benutzer ausgeführt hat.

Kann die Schaltfläche Deploy Action (Aktion bereitstellen) im Raster Question Results (Fragenergebnisse) sehen und verwenden, kann sie aber nur für gespeicherte Fragen verwenden, die verknüpfte Aktionen haben. Eine Berechtigung zum Lesen des Pakets ist für die verknüpften Aktionen nicht erforderlich. Wenn die gespeicherte Frage keine verknüpften Aktionen hat, wird die Schaltfläche Deploy Action (Aktion bereitstellen) nicht angezeigt.

Tipp: Verwenden Sie diese Berechtigung anstelle der Berechtigung zum Schreiben der Aktion, um die Verwendung von Aktionsbenutzern zu begrenzen, die Tanium-Produkte verwenden, um Standardarbeitsanweisungen auszuführen, die jemand anderes erstellt hat.

Filtergruppe lesen Kann die Seite Filter Groups (Filtergruppen) anzeigen und Filtergruppen verwenden, um Fragen, Fragenergebnisse und verschiedene Listen in der Tanium Console zu filtern.
Filtergruppe schreiben Filtergruppen-Konfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Filtergruppe.
Approve Action Kann Aktionen genehmigen, die ein anderer Benutzer erstellt hat. Benutzer mit dieser Berechtigung können ihre eigenen Aktionen nicht genehmigen.

Um die Aktionen auf den Seiten Actions I Can Approve (Aktionen, die ich genehmigen kann) und All Pending Approval (Alle ausstehenden Genehmigungen) anzuzeigen, müssen Sie auch über die Berechtigung zum Lesen des Pakets und über die Berechtigung zum Lesen der eigenen Aktion verfügen.
Plugin lesen Zur späteren Verwendung reserviert.
Plugin ausführen Zur späteren Verwendung reserviert.
Paket lesen Kann Pakete im Dialog Browse Packages (Pakete auswählen) anzeigen, die von der Arbeitsablauf-Seite Deploy Action (Aktion verteilen) geöffnet wird. Kann die Seite Packages (Pakete) nicht anzeigen, es sei denn, der Benutzer verfügt ebenfalls über die Berechtigung zum Schreiben des Pakets.
Paket schreiben Kann die Seite Packages (Pakete) anzeigen. Kann Paketkonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigungen zum Lesen des Pakets und zum Anzeigen der Vorschau.
Gespeicherte Frage lesen Kann gespeicherte Fragen in der Rasterrecherche Question Results (Fragenergebnisse) und ähnlichen Benutzerschnittstellen anzeigen. Kann die Seite Saved Questions (Gespeicherte Fragen) in Interact anzeigen, wenn der Benutzer auch Zugriff auf die Interact-Workbench hat. Kann die Seite Saved Questions (Gespeicherte Fragen) nicht anzeigen, es sei denn, der Benutzer verfügt ebenfalls über die Berechtigung zum Schreiben der gespeicherten Fragen.

Um eine gespeicherte Frage wie erwartet zu stellen, benötigt der Benutzer auch die Berechtigung zum Lesen des Sensors für den entsprechenden Sensor.
Gespeicherte Frage schreiben Kann die Seite Saved Questions (Gespeicherte Fragen) anzeigen. Kann Konfigurationen der gespeicherten Frage erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der gespeicherten Frage.

Hinweis: Impliziert nicht die Berechtigung Ask Dynamic Questions (Ausgabe dynamischer Fragen).

Verknüpfte Pakete lesen Keine ausdrückliche Berechtigung. Impliziert in der Berechtigung zum Schreiben der Aktion für die gespeicherte Frage.
Übersichtsseite lesen Kann Übersichtsseiten auf der Seite Interact-Inhalt anzeigen, wenn der Benutzer auch über die Berechtigung für die Interact-Workbench verfügt.

Ein Benutzer benötigt auch die Berechtigung zum Lesen der gespeicherten Frage und die Berechtigung zum Lesen des Sensors für den entsprechenden Inhalt, um die Übersichtsseite zu verwenden.
Übersichtsseite schreiben Kann Konfigurationen der Übersichtsseite erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Übersichtsseite.
Gruppe auf der Übersichtsseite lesen Kann Kategorien auf der Seite Interact-Inhalt anzeigen, wenn der Benutzer auch über die Berechtigung für die Interact-Workbench verfügt.

Ein Benutzer benötigt auch die Berechtigung zum Lesen der Übersichtsseite, zum Lesen der gespeicherten Frage und zum Lesen des Sensors für den entsprechenden Inhalt, um die Kategorie zu verwenden.
Gruppen-Übersichtsseite schreiben Kann Kategoriekonfigurationen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Kategorie.
Vorschau anzeigen Keine ausdrückliche Berechtigung. Impliziert in den Berechtigungen zum Schreiben der Aktion, zum Schreiben der Aktion für gespeicherte Frage, zum Schreiben des Sensors und zum Schreiben des Pakets. Ermöglicht es Autoren, Fragen zu stellen, die erforderlich sind, um die Auswirkungen neuer und geänderter Konfigurationen in der Vorschau zu betrachten. Um Vorschaufragen zu stellen, benötigt der Benutzer auch die Leseberechtigung für den Sensor am reservierten Inhaltssatz. Der reservierte Inhaltssatz enthält Inhalte, die für Vorschaufragen verwendet werden.

Eine Micro Admin-Rolle erstellen

Micro Admin-Rollen weisen Tanium-System-Administratorberechtigungen zu.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie New Role (Neue Rolle) > Grant Micro Admin Role (Micro Admin-Rolle erteilen) oder New Role (Neue Rolle) > Deny Micro Admin Role (Micro Admin-Rolle verweigern), um die Seite „Rollenkonfiguration“ anzuzeigen.
  3. Geben Sie unter Name einen Namen ein, der die Rolle identifiziert.
  4. Klicken Sie für jede Berechtigung, die die Rolle gewähren oder verweigern soll, auf [Add (Hinzufügen)] Hinzufügen(siehe folgende Tabelle), und klicken Sie auf Save (Speichern).

    Einige Verwaltungsaufgaben in der Tanium Console sind nicht mit Micro Admin-Berechtigungen verbunden; nur Benutzer, die eine reservierte Rolle besitzen, können diese Aufgaben ausführen. Einzelheiten finden Sie unter Aufgaben, die reservierte Rollen erfordern.

 Tabelle 5: Micro Admin-Berechtigungen
Berechtigung Beschreibung
Systemstatus lesen Kann die Seite Client Status anzeigen.
Fragenverlauf lesen Kann die Seite Question History (Fragenverlauf) anzeigen. Um eine Frage über die Seite Fragenverlauf auszugeben, benötigen Benutzer auch erweiterte Rollenberechtigungen für die entsprechenden Inhaltssets.
Benutzer lesen Kann Benutzerkonfigurationen anzeigen und exportieren.

Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzergruppe- und Persona-Zuweisungen von Benutzern anzuzeigen: siehe Benutzer verwalten.
Benutzer schreiben Kann Benutzer erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen des Benutzers.

Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzergruppe- und Persona-Zuweisungen von Benutzern zu bearbeiten: siehe Benutzer verwalten.
Benutzergruppe lesen Kann Benutzergruppenkonfigurationen anzeigen und exportieren.

Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzer- und Persona-Zuweisungen von Benutzergruppen anzuzeigen: siehe Benutzergruppen verwalten.
Benutzergruppe schreiben Kann Benutzergruppen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Benutzergruppe.

Zusätzliche Berechtigungen sind erforderlich, um die Rollen-, Benutzer- und Persona-Zuweisungen von Benutzergruppen zu bearbeiten: siehe Benutzergruppen verwalten.
Computergruppe lesen Kann Computermanagementgruppen anzeigen und exportieren und Gruppen filtern. Impliziert die Berechtigung zum Lesen der Filtergruppe.

Zusätzliche Berechtigungen sind erforderlich, um die Benutzergruppe, Benutzer- und Persona-Zuweisungen von Computermanagementgruppen anzuzeigen: siehe Computer-Verwaltungsgruppen verwalten.
Computergruppe schreiben Kann Computermanagementgruppen erstellen, bearbeiten und löschen und Gruppen filtern. Impliziert die Berechtigungen Read Computer Group (Computergruppe lesen) und Write Filter Group (Filtergruppe schreiben).

Um eine Computermanagementgruppe oder Filtergruppe zu erstellen, in der die Mitgliedschaft auf einem Sensorfilter basiert, benötigt man zusätzlich zur Berechtigung Write Computer Group (Computergruppe schreiben) die folgenden Berechtigungen:

  • Die (erweiterte) Berechtigung zum Lesen des Sensors für den reservierten Inhaltssatz, der Inhalt enthält, der verwendet wird, um Vorschaufragen zu stellen.
  • Berechtigung Write Interact Module (Interact-Modul schreiben) (Modul).

Computergruppen mit manuell definierter Mitgliedschaft benötigen keine Berechtigungen für Read Sensor (Sensor lesen) oder Write Interact Module (Interact-Modul schreiben).
Persona lesen Kann Persona-Konfigurationen und Zuordnungen anzeigen und exportieren. Die Berechtigung Berechtigungsadministrator impliziert die Berechtigung zum Lesen von Personas.
Persona schreiben Kann Personas erstellen, bearbeiten und löschen. Impliziert die Leseberechtigung Persona.

Zusätzliche Berechtigungen sind erforderlich, um die Benutzer-, Benutzergruppe- und Rollenzuweisungen von Personas zu bearbeiten: siehe Personas verwalten.
Globale Einstellungen lesen Kann die Seite Global Settings (Globale Einstellungen) anzeigen.
Globale Einstellungen schreiben Kann globale Einstellungen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der globalen Einstellungen.
Zulässige URLs lesen Kann die Seite Zulässige URLs anzeigen.
Zulässige URLs schreiben Kann die Konfiguration zulässiger URLs erstellen, ändern und löschen. Impliziert die Berechtigung Read Allowed URLs (Zulässige URLs lesen).
Prüfung lesen Kann anzeigen:
  • Last Sign In (Informationen zur letzten Anmeldung) auf der Seite Users (Benutzer)
  • Die Information Last Modified on (Zuletzt geändert am) auf der Seite zur Benutzerkonfiguration
  • Informationen zur Last Modification (Letzten Änderung) auf der Seite Global Settings (Globale Einstellungen)
Serverstatus lesen Kann die Seite https://<Tanium_Server>/info anzeigen. Einzelheiten finden Sie unter Die Info-Seite anzeigen.
Token anzeigen Kann die Seite API Tokens anzeigen.
Token verwenden Kann Anfragen für neue API-Tokens an TaaSden Tanium Server senden.
Token widerrufen Kann API-Tokens widerrufen, die verwendet werden, um auf TaaSden Tanium Server zuzugreifen.
Inhalt exportieren Kann die folgenden Inhaltstypen exportieren:
  • Zulässige URLs
  • Computergruppen
  • Inhaltssets
  • Filtergruppen
  • Pakete
  • Rollen
  • Gespeicherte Fragen
  • Geplante Aktionen
  • Sensoren

Nur die reservierte Administratorrolle kann Kategorien und Dashboards exportieren.
Signierten Inhalt importieren Kann digital signierte Inhaltsdateien importieren.
Aktionsgruppe lesen Kann bestimmte Aktionsgruppen auf der Seite Scheduled Actions (Geplante Aktionen) anzeigen.
Aktionsgruppe schreiben Kann Aktionsgruppen erstellen, ändern und löschen. Impliziert die Berechtigung zum Lesen der Aktionsgruppe.

Eine Modulrolle erstellen

Modulrollen gewähren Tanium-Lösungsmodul-Berechtigungen, welche den Zugriff auf Modularbeitsplätze und -funktionen kontrollieren. Modulrollen gewähren auch Berechtigungen für modulspezifische Inhaltssets. Modulrollen haben keine Ablehnungsrollen. Benutzer, die nicht über eine Rolle verfügen, die den Modulzugriff gewährt, können nicht auf den Modularbeitsplatz oder die Modulfunktionen zugreifen. Einige Modulberechtigungen aktivieren bereitgestellte Berechtigungen, die eine Rollenkonfiguration automatisch einschließt, wenn Sie Modulberechtigungen auswählen. Wenn Sie beispielsweise die Schreibberechtigung für das Patch-Modul auswählen, schließt die Rolle automatisch die Berechtigung zur Ausgabe dynamischer Fragen mit ein.

Anforderungen an modulspezifische Rollen

Informationen zu den erforderlichen Berechtigungen für modulspezifische Rollen finden Sie im Benutzerhandbuch des Moduls:

Hinzufügen einer Modulrolle

Führen Sie die folgenden Schritte aus, um eine Modulrolle hinzuzufügen:

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie New Role (Neue Rolle) > Grant Module Role (Modulrolle erteilen), um die Rollenkonfiguration zu öffnen.
  3. Geben Sie unter Name einen Namen ein, der die Rolle identifiziert.
  4. (Optional) Wählen Sie im Bereich All Content Sets Option (Option für alle Inhaltssets) die Option Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) aus, um Berechtigungen für alle vorhandenen und künftigen Inhaltssets zu gewähren, die dem Modul zugeordnet sind. Diese Option gilt nur für Module wie Trends mit modulspezifischen Inhalten.
  5. Klicken Sie im Abschnitt Module Permissions (Modulberechtigungen) auf Hinzufügen Hinzufügen neben jedem Modul, für das die Rolle Berechtigungen gewähren soll.
  6. Klicken Sie für jedes Modul auf Edit (Bearbeiten), wählen Sie Berechtigungen aus und klicken Sie auf Save (Speichern).
  7. Für jedes Modul mit modulspezifischen Inhalten klicken Sie auf Add (Hinzufügen) in der Berechtigungskachel, wählen Sie Inhaltssets aus und klicken Sie auf Save (Speichern). Überspringen Sie diesen Schritt, wenn Sie Add all Content Sets that exist or will exist to the permissions selected below (Sämtliche vorhandenen oder künftigen Inhaltssets zu den unten ausgewählten Berechtigungen hinzufügen) ausgewählt haben.

    Um ein benutzerdefiniertes Inhaltsset zu erstellen, ohne die Seite Rollenkonfiguration zu verlassen, klicken Sie auf Apply New Content Set (Neues Inhaltsset anwenden) oben rechts im Abschnitt Module Permissions (Modulberechtigungen), dann auf New Content Set (Neues Inhaltsset), geben Sie einen Namen und (optional) eine Description (Beschreibung) ein und klicken Sie auf Save (Speichern).

    • So fügen Sie allen Berechtigungen dieselben Inhaltssets hinzu: Klicken Sie auf Apply New Content Set (Neues Inhaltsset anwenden), wählen Sie die Inhaltssets aus und klicken Sie auf Save (Speichern).
    • Inhaltssets einer bestimmten Berechtigungen hinzufügen: Klicken Sie auf Add (Hinzufügen) in der Berechtigungskachel, wählen Sie Inhaltssets aus, und klicken Sie auf Save (Speichern).
  8. Klicken Sie auf Save (Speichern), um die Rollenkonfiguration zu speichern.

Benutzer- und Benutzergruppenzuweisungen für eine Rolle verwalten

Wie Sie Personas Rollen zuweisen, sehen Sie unter Rollenzuweisungen für eine Persona verwalten.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen) und klicken Sie auf Role Name (Rollenname).
  2. Erweitern Erweitern Sie den Abschnitt Users (Benutzer), klicken Sie auf Manage Users (Benutzer verwalten), wählen Sie Benutzer aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
    Wenn Sie eine Rolle bearbeiten, die bereits Benutzern zugewiesen ist, klicken Sie auf die Nummer über dem Feld Users (Benutzer) im Abschnitt Role Details (Rollendetails), um zum Abschnitt Users (Benutzer) zu scrollen und ihn zu erweitern.

    Um die Konfiguration eines bestimmten Benutzers anzuzeigen oder zu bearbeiten, klicken Sie auf den Benutzernamen im Abschnitt Users (Benutzer). Die Seite Edit User (Benutzer bearbeiten) wird in einer neuen Registerkarte geöffnet.

  3. Erweitern Erweitern Sie den Abschnitt User Groups (Benutzergruppen), klicken Sie auf Manage User Groups (Benutzergruppen verwalten), wählen Sie Benutzergruppen aus oder heben Sie die Auswahl auf und klicken Sie auf Select (Auswählen).
    Wenn Sie eine Rolle bearbeiten, die bereits Benutzergruppen zugewiesen ist, klicken Sie auf die Nummer über dem Feld User Groups (Benutzergruppen) im Abschnitt Role Details (Rollendetails), um zum Abschnitt User Groups (Benutzergruppen) zu scrollen und ihn zu erweitern.

    Um die Konfiguration einer bestimmten Benutzergruppe anzuzeigen oder zu bearbeiten, klicken Sie auf den Namen im Abschnitt User Groups (Benutzergruppen). Die Seite Edit User Group (Benutzergruppe bearbeiten) wird in einer neuen Registerkarte geöffnet.

  4. Überprüfen Sie die Zuordnungen von Benutzer und Benutzergruppen, und klicken Sie dann auf Save (Speichern).
  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie eine Rolle aus und klicken Sie auf Edit (Bearbeiten).
  3. Klicken Sie auf Edit User Assignment (Benutzerzuordnung bearbeiten), um die Seite Assign Users and User Groups (Benutzer und Benutzergruppen zuweisen) anzuzeigen.
  4. Klicken Sie neben User Groups (Benutzergruppen) auf Edit (Bearbeiten). Wählen Sie Gruppen aus, und klicken Sie auf Save (Speichern).
  5. Klicken Sie neben Users (Benutzer) auf Edit (Bearbeiten). Wählen Sie Benutzer aus, und klicken Sie auf Save (Speichern).
  6. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren), überprüfen Sie die effektiven Berechtigungen und klicken Sie auf Save (Speichern)..

Eine Rolle klonen

Um eine Rolle hinzuzufügen, die viele Einstellungen mit einer vorhandenen Rolle gemeinsam hat, ist das Klonen der bestehenden Rolle häufig eine schnellere Möglichkeit, als eine neue Rolle zu konfigurieren. Bitte beachten Sie, dass Sie dem Klon weiterhin Benutzer und Benutzergruppen zuweisen müssen, und geben Sie optional eine Beschreibung ein; der Klon übernimmt diese Einstellungen nicht aus der ursprünglichen Rolle. Sie können jede Rolle klonen, außer die reservierten Rollen.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie eine Rolle aus und klicken Sie auf Clone (Klonen).
  3. Geben Sie einen Rollennamen ein, um die Rolle zu identifizieren, aktualisieren Sie die Berechtigungen nach Bedarf und klicken Sie auf Save (Speichern).
  4. Benutzer und Benutzergruppen der Rolle zuweisen (siehe Benutzer- und Benutzergruppenzuweisungen für eine Rolle verwalten).

Rollen exportieren und importieren

Die folgenden Verfahren beschreiben, wie Sie die Konfigurationen bestimmter Rollen oder aller Rollen exportieren und importieren.

Entwickeln und testen Sie Inhalt in Ihrer Laborumgebung, bevor Sie diesen Inhalt in Ihre Produktionsumgebung importieren.

Rollen exportieren

Exportieren Sie Rollen als CSV-Datei, um ihre Einstellungen in einer Anwendung anzuzeigen, die dieses Format unterstützt. Wenn Ihr Benutzerkonto eine Rolle mit der Berechtigung Export Content (Inhalt exportieren) hat, können Sie auch Rollen als JSON-Datei exportieren, um sie in einen anderen Tanium Server zu importieren. Die reservierte Administratorrolle verfügt über diese Berechtigung.

Wenn Sie zusätzlich zu Rollen auch andere Arten von Inhalten exportieren oder importieren möchten, siehe Shared Services und Inhalte verwalten.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie Zeilen im Raster aus, um nur bestimmte Rollen zu exportieren. Wenn Sie alle Rollen exportieren möchten, überspringen Sie diesen Schritt.
  3. Klicken Sie auf Export (Exportieren) ExportExport.
  4. (Optional) Bearbeiten Sie den Standard-Export Dateiname.

    Das Dateisuffix (.csv oder .json) ändert sich automatisch basierend auf der Format-Auswahl.

  5. Wählen Sie eine Option Export Data (Exportieren von Daten) aus: Alle Rollen im Raster oder nur die ausgewählten Rollen.
  6. Wählen Sie die Datei Format: JSON oder CSV.
  7. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Rollen importieren

Sie können Inhaltsdateien importieren, die im JSON- oder XML-Format vorliegen.

  1. Signieren Sie die Inhaltsdatei digital und stellen Sie sicher, dass ein öffentlicher Schlüssel vorhanden ist, um die Signatur zu validieren. Siehe Authentifizieren von Inhaltsdateien.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Solutions (Lösungen).
  3. Scrollen Sie zum Abschnitt Content (Inhalt) und klicken Sie auf Import Import Content (Inhalt importieren).
  4. Klicken Sie auf Choose File (Datei auswählen), wählen Sie die Inhaltsdatei aus, und klicken Sie auf Open (Öffnen).
  5. Klicken Sie auf Import (Importieren).

    Wenn Objektnamen in der Datei identisch sind wie bei bestehenden Objekten, stellt die Tanium Console die Konflikte fest und bietet Lösungsoptionen für jeden einzelnen.

  6. Wählen Sie Lösungen für mögliche Konflikte aus. Anleitungen finden Sie unter Conflicts (Konflikte) und Best Practices.
  7. Klicken Sie noch einmal auf Import (Importieren) und dann auf Close (Schließen), wenn der Import abgeschlossen ist.

Details zur Rollenkonfiguration kopieren

Kopieren Sie Informationen von der Seite Roles (Rollen) in Ihre Zwischenablage, um die Informationen in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.

Eine Rolle löschen

Wird eine Rolle gelöscht, so wird sie von allen Benutzern, Benutzergruppen und Personas entfernt, denen sie zugewiesen war.

Führen Sie die folgenden Aufgaben aus, bevor Sie eine Rolle löschen:
  1. Löschen Sie die Benutzer- und Benutzergruppenzuordnungen aus der Rollenkonfiguration. Benutzer- und Benutzergruppenzuweisungen für eine Rolle verwalten.
  2. Gehen Sie zur Seite [Effective Permissions (Effektive Berechtigungen)] für Ihre Benutzer und überprüfen Sie die Auswirkungen, die sich für die effektiven Berechtigungen der Benutzer ergeben: Effektive Berechtigungen für einen Benutzer anzeigen.

So löschen Sie eine Rolle:

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > Roles (Rollen).
  2. Wählen Sie die Rolle aus und klicken Sie auf [Delete (Löschen)] Löschen.