HP Integrated Lights-Out 4 Benutzerhandbuch
Seite 314
Verzeichnisadministratoren, die zwei Rollen für diese Situation erstellen möchten, sollten Vorsicht
walten lassen. Das Erstellen einer Rolle, die die erforderlichen Rechte zum Zurücksetzen des Servers
enthält und die auf die Zeit außerhalb der Geschäftsstunden beschränkt wird, könnte Administratoren
außerhalb des Unternehmensnetzwerks ein Zurücksetzen des Servers ermöglichen, was den meisten
Sicherheitsrichtlinien widerspricht.
Im Beispiel (siehe
) schreiben die Sicherheitsrichtlinien vor, dass die
allgemeine Verwendung auf Clients innerhalb des Unternehmens-Subnetzes beschränkt ist und
dass das Zurücksetzen des Servers außerdem nur außerhalb der Geschäftsstunden zulässig sein soll.
Abbildung 153 Erstellen von Einschränkungen und Rollen
User
General Use
Role
Reset Role
Assigns Login Right
IP Restrictions:
DENY except to corporate subnet
Server
Assigns Server Reset Right
Time Restriction: Denied Monday
through Friday, 8 a.m. to 5 p.m.
Alternativ könnte der Verzeichnisadministrator eine Rolle erstellen, die die Anmeldeberechtigung
erteilt und sie auf das Unternehmensnetzwerk beschränkt, sowie eine zweite Rolle, die die
Berechtigung zum Zurücksetzen des Servers enthält und auf die Zeit außerhalb der Geschäftsstunden
beschränkt ist. Diese Konfiguration lässt sich einfacher verwalten, birgt jedoch ein höheres Risiko,
da im Laufe der Administration eine weitere Rolle erstellt werden könnte, die Benutzern über
Adressen außerhalb des Unternehmensnetzwerks die Anmeldeberechtigung erteilt. Diese Rolle
könnte den LOM-Administratoren der „Server Reset“-Rolle unbeabsichtigt die Möglichkeit bieten,
den Server von überall zurückzusetzen, solange sie sich an die Zeiteinschränkung der Rolle halten.
Die vorhergehende Konfiguration (
) entspricht den Sicherheitsanforderungen des
Unternehmens. Durch das Hinzufügen einer weiteren Rolle mit Anmeldeberechtigung könnte jedoch
unabsichtlich eine Berechtigung zum Zurücksetzen des Servers von außerhalb des
Unternehmens-Subnetzes nach Geschäftsschluss vergeben werden. Eine leichter zu verwaltende
Lösung wäre die Einschränkung der „Reset“-Rolle sowie der „General Use“-Rolle (siehe
).
Abbildung 154 Einschränkung der Reset-Rolle sowie der General Use-Rolle
User
General Use
Role
Reset Role
Assigns Login Right
IP Restrictions:
DENY except to corporate
subnet
Server
Assigns Server Reset Right
AND Login Right
Time Restriction: Denied Monday through
Friday, 8 a.m. to 5 p.m.
IP Restriction:
DENY except to corporate
subnet
314
Verzeichnisdienste