Sicherheits-Starthilfe – Plugin „ACL-Regeln“
Das Plugin „Sicherheit Starthilfe-Zugriffssteuerungsebene“ (ACL-Regeln) wird automatisch auf allen neuen Instanzen installiert. Verwenden Sie dieses Plugin, um schnell mehrere Systemtabellen zu sichern und den Produktionsstartprozess für Ihre Organisation zu beschleunigen.
Dieses Plugin ist nicht für vorhandene Instanzen vorgesehen, da es den Sicherheitszugriff auf Tabellen ändern kann, die bereits in einer Produktionsumgebung verwendet werden. Wenn ein Administrator dieses Plugin unbedingt auf einer vorhandenen Instanz installieren möchte, sollten Sie es zuerst gründlich in einer Testinstanz testen. Dies hilft, die Kompatibilität mit der aktuellen Implementierung der Organisation zu überprüfen.
Wenn ein Administrator an den neuen ACL-Regeln interessiert ist, die von diesem Plugin bereitgestellt werden, kann er eine oder mehrere in einer vorhandenen Instanz manuell erstellen, indem er die Liste der ACLs als Richtlinie verwendet.
Die folgenden ACLs sind in diesem Plugin enthalten. Wählen Sie das Symbol in einer Kopfzeile aus, um diese Spalte in aufsteigender oder absteigender Reihenfolge zu sortieren. Der Vorgangsschlüssel lautet wie folgt:
- R=gelesen
- W=schreiben
- D=Löschen
- C=erstellen
| Name | Vorgang | Beschreibung |
|---|---|---|
cmdb_ci |
WCD | Asset- oder itil-Rolle, die zum Schreiben/Erstellen/Löschen von Konfigurationselementdatensätzen erforderlich ist |
cmn_Department |
WD | Rolle „user_admin“ zum Schreiben/Löschen von Abteilungsdatensätzen erforderlich |
cmn_location |
WC | Rolle „user_admin“ zum Schreiben/Erstellen von Standortdatensätzen erforderlich |
core_company |
WD | Rolle „user_admin“ zum Schreiben/Löschen von Unternehmensdatensätzen erforderlich |
kb_knowledge |
Erstellen | Wissensrolle, die zum Erstellen von Wissensdatensätzen erforderlich ist |
ldap_ou_config |
RWCD | Rolle „user_admin“ zum Lesen/Schreiben/Erstellen/Löschen von LDAP-OU-Definitionsdatensätzen erforderlich |
ldap_Server_config |
RWCD | Rolle „user_admin“ zum Lesen/Schreiben/Erstellen/Löschen von LDAP-Server-Datensätzen erforderlich |
Process_Guide |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Prozessleitfadendatensätzen erforderlich ist |
Process_STEP |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Prozessschritt-Datensätzen erforderlich ist |
sc_category |
Erstellen | Rolle „Catalog_admin“ zum Erstellen von Servicekatalog-Kategoriedatensätzen erforderlich |
sc_category |
löschen | Rolle „Catalog_admin“ zum Löschen von Servicekatalog-Kategoriedatensätzen erforderlich |
sc_category |
Schreiben | Rolle „Catalog_admin“ zum Schreiben in Servicekatalog-Kategoriedatensätze erforderlich |
Katalogelement |
Schreiben | Catalog_admin-Rolle, die zum Schreiben in Katalogelementdatensätze erforderlich ist |
Katalogelement |
löschen | Rolle „Catalog_admin“ zum Löschen von Katalogelementdatensätzen erforderlich |
Katalogelement |
Erstellen | Rolle „Catalog_admin“ ist zum Erstellen von Katalogelementdatensätzen erforderlich |
Sysevent_email_action |
gelesen | Alle Anwender können E-Mail-Benachrichtigungsdatensätze lesen (zu Abonnementzwecken) |
Sysevent_Register |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Ereignisregistrierungsdatensätzen erforderlich ist |
Sysevent_script_action |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Skriptaktionsdatensätzen erforderlich ist |
syslog |
RWCD | administrator erforderlich, um Protokolleintragsdatensätze zu lesen/zu schreiben/zu erstellen/zu löschen |
Sysrule |
RWCD | administrator zum Lesen/Schreiben/Erstellen/Löschen von Regeldatensätzen (E-Mail-Benachrichtigungen, Aktionen für eingehende E-Mails, Genehmigungsregeln usw.) erforderlich |
Sysrule |
gelesen | Alle Anwender können E-Mail-Benachrichtigungsdatensätze für lesen (abonnementbasierte Benachrichtigungen) |
sys_App_Application |
WCD | administrator erforderlich, um Anwendungsdatensätze zu schreiben/zu erstellen/zu löschen |
sys_App_category |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Anwendungskategorie-Datensätzen erforderlich ist |
sys_App_Module |
WCD | administrator ist zum Schreiben/Erstellen/Löschen von Moduldatensätzen erforderlich |
sys_audit |
RWCD | administrator erforderlich, um Audit-Datensätze zu lesen/zu schreiben/zu erstellen/zu löschen |
sys_dictionary |
RWC | Rolle „Personalize_dictionary“, die zum Lesen/Schreiben/Erstellen von Wörterbuchdatensätzen erforderlich ist |
sys_dictionary .* |
gelesen | Die Rolle „Personalize_dictionary“ kann Wörterbuchfelder lesen |
sys_documentation |
löschen | Rolle „personalize_dictionary“ erforderlich, um Feldbezeichnungsdatensätze zu löschen |
sys_documentation |
Erstellen | Rolle „personalize_dictionary“ erforderlich, um Feldbezeichnungsdatensätze zu erstellen |
sys_documentation |
Schreiben | Rolle „personalize_dictionary“ erforderlich, um in Feldbezeichnungsdatensätzen zu schreiben |
sys_Gauge |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Anzeigedatensätzen erforderlich ist |
sys_Gauge_count |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Anzeigenanzahldatensätzen erforderlich ist |
sys_Group_has_role |
gelesen | itil-Rolle, die zum Anzeigen von Gruppenrollendatensätzen erforderlich ist |
sys_HOME |
WCD | Rolle „itil_admin“ zum Schreiben/Erstellen/Löschen von Datensätzen des Willkommensseitenabschnitts erforderlich |
sys_Installation_exit |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Installationsbeendigungsdatensätzen erforderlich ist |
sys_Job |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von SYS-Auftragsdatensätzen erforderlich ist |
sys_NAV_Link |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Navigationslink-Datensätzen erforderlich ist |
sys_perspective |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Menülistendatensätzen erforderlich ist |
sys_Portal |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Portaldatensätzen erforderlich ist |
sys_Portal_page |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Homepage-Datensätzen erforderlich ist |
sys_Portal_preferences |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Portaleinstellungen-Datensätzen erforderlich ist |
sys_processor |
WC | administratorrolle, die zum Schreiben/Erstellen von Prozessordatensätzen erforderlich ist |
sys_properties |
WC | administratorrolle, die zum Schreiben/Erstellen von Systemeigenschaftsdatensätzen erforderlich ist |
sys_properties_category |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Eigenschaftskategorie-Datensätzen erforderlich ist |
sys_Report |
löschen | Rollen, die Berichtsdatensätze löschen können (schränkt das Löschen über die Berichts-UI nicht ein) |
sys_Report |
Schreiben | Rollen, die in Berichtsdatensätze schreiben können (schränkt die Bearbeitung über die Berichts-UI nicht ein) |
sys_Report |
gelesen | Anwender können ihre eigenen Berichtsdatensätze, die ihrer Gruppen und GLOBALE lesen (hat keine Auswirkungen auf die Anzeige über die Berichts-UI) |
sys_Report |
gelesen | Rollen, die Berichtsdatensätze lesen können (schränkt die Anzeige über die Berichts-UI nicht ein) |
sys_Reportroles |
gelesen | administratorrolle, die zum Lesen von Berichtsrollen-Datensätzen erforderlich ist |
sys_script |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Business-Regel-Datensätzen erforderlich ist |
sys_script_ajax |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von AJAX-Skriptdatensätzen erforderlich ist |
sys_script_Client |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Clientskriptdatensätzen erforderlich ist |
sys_script_include |
WCD | administratorrolle, die zum Schreiben/Erstellen/Löschen von Skripteinbindungsdatensätzen erforderlich ist |
sys_Security_acl |
Schreiben | administratorrolle, die zum Schreiben in Zugriffssteuerungsdatensätze erforderlich ist |
| sys_Security_acl_role | Erstellen | administratorrolle, die zum Erstellen von Zugriffsrollen-Datensätzen erforderlich ist |
sys_Security_acl_role |
löschen | administratorrolle, die zum Löschen von Zugriffsrollen-Datensätzen erforderlich ist |
sys_Security_acl_role |
Schreiben | administratorrolle, die zum Schreiben in Zugriffsrollen-Datensätze erforderlich ist |
sys_Security_Operation |
löschen | administratorrolle, die zum Löschen von Sicherheitsvorgangsdatensätzen erforderlich ist |
sys_Security_Operation |
Erstellen | administratorrolle, die zum Erstellen von Sicherheitsvorgangsdatensätzen erforderlich ist |
sys_Security_Operation |
Schreiben | administratorrolle, die zum Schreiben in Sicherheitsvorgangsdatensätze erforderlich ist |
sys_Security_Operation |
Query_Range | |
sys_Security_Operation |
||
sys_Security_type |
Schreiben | administratorrolle, die zum Schreiben in Sicherheitstypdatensätze erforderlich ist |
sys_Security_type |
Erstellen | administratorrolle, die zum Erstellen von Sicherheitstypdatensätzen erforderlich ist |
sys_Security_type |
löschen | administratorrolle, die zum Löschen von Sicherheitstypdatensätzen erforderlich ist |
sys_Status |
Erstellen | administratorrolle, die zum Erstellen von Systemstatusdatensätzen erforderlich ist |
sys_Status |
löschen | administratorrolle, die zum Löschen von Systemstatusdatensätzen erforderlich ist |
sys_Status |
Schreiben | administratorrolle, die zum Schreiben in Systemstatusdatensätze erforderlich ist |
sys_template |
Schreiben | Template_Editor-Rolle erforderlich, um in Vorlagendatensätze zu schreiben |
sys_template |
Erstellen | Rolle „Emplate_Editor“ ist zum Erstellen von Vorlagendatensätzen erforderlich |
sys_template |
löschen | Rolle „Template_Editor“ zum Löschen von Vorlagendatensätzen erforderlich |
sys_template |
gelesen | Template_Editor-Rolle, die zum Lesen von Datensätzen von Vorlagenrollen erforderlich ist |
sys_ui_action |
Erstellen | administratorrolle, die zum Erstellen von UI-Aktionsdatensätzen erforderlich ist |
sys_ui_action |
löschen | administratorrolle, die zum Löschen von UI-Aktionsdatensätzen erforderlich ist |
sys_ui_action |
Schreiben | administratorrolle, die zum Schreiben in UI-Aktionsdatensätze erforderlich ist |
sys_ui_action_View |
Schreiben | administratorrolle, die zum Schreiben in Datensätze der UI-Ansichtsaktion erforderlich ist |
sys_ui_action_View |
Erstellen | administratorrolle, die zum Erstellen von Datensätzen der UI-Ansichtsaktion erforderlich ist |
sys_ui_action_View |
löschen | administratorrolle, die zum Löschen von Datensätzen der UI-Ansichtsaktion erforderlich ist |
sys_ui_Policy |
Erstellen | administratorrolle, die zum Erstellen von UI-Richtliniendatensätzen erforderlich ist |
sys_ui_Policy |
löschen | administratorrolle, die zum Löschen von UI-Richtliniendatensätzen erforderlich ist |
sys_ui_Policy |
Schreiben | administratorrolle, die zum Schreiben in UI-Richtliniendatensätze erforderlich ist |
sys_ui_Policy_action |
Erstellen | administratorrolle, die zum Erstellen von UI-Richtlinienaktionsdatensätzen erforderlich ist |
sys_ui_Policy_action |
löschen | administratorrolle, die zum Löschen von UI-Richtlinienaktionsdatensätzen erforderlich ist |
sys_ui_Policy_action |
Schreiben | administratorrolle, die zum Schreiben in UI-Richtlinienaktionsdatensätze erforderlich ist |
sys_ui_script |
Schreiben | administratorrolle, die zum Schreiben in UI-Skriptdatensätze erforderlich ist |
sys_ui_script |
löschen | administratorrolle, die zum Löschen von UI-Skriptdatensätzen erforderlich ist |
sys_ui_script |
Erstellen | administratorrolle, die zum Erstellen von UI-Skriptdatensätzen erforderlich ist |
sys_user |
Schreiben | Anwender ohne Rolle können keinen Anwenderdatensatz aktualisieren, sondern ihren eigenen |
sys_user_grmember |
löschen | Rolle „user_admin“ zum Löschen von Gruppenmitgliedsdatensätzen erforderlich |
sys_user_grmember |
Schreiben | Rolle „user_admin“ erforderlich, um in Gruppenmitgliedsdatensätze zu schreiben |
sys_user_group |
Erstellen | Nur itil und höher können Gruppendatensätze erstellen |
sys_user_group |
Schreiben | Nur itil und höher können in Gruppendatensätze schreiben |
sys_user_has_role |
gelesen | itil-Rolle, die zum Anzeigen von Anwenderrollendatensätzen erforderlich ist |
sys_user_role |
Erstellen | administratorrolle, die zum Erstellen von Rollendatensätzen erforderlich ist |
sys_user_role |
löschen | administratorrolle zum Löschen von Rollendatensätzen erforderlich |
sys_user_role |
Schreiben | administratorrolle, die zum Schreiben in Rollendatensätze erforderlich ist |
sys_user_role_contains |
gelesen | itil-Rolle, die erforderlich ist, um enthaltene Rollendatensätze anzuzeigen |
sys_user_role_contains |
Schreiben | administratorrolle, die zum Schreiben in enthaltene Rollendatensätze erforderlich ist |
sys_user_Token |
RWCD | administratorrolle, die zum Lesen/Schreiben/Erstellen/Löschen von Anwendertoken-Datensätzen erforderlich ist |
Hinweis:
Weitere Informationen zu diesem Plugin finden Sie unter Plugin „Security Jump Start“ aktivieren (ACL-Regeln) [aktualisiert in Security Center 1,3] In Instanzsicherheitshärtungseinstellungen.