Einführung
Steuern Sie, was jeder Techniker in Level sehen und tun kann. Berechtigungen sind rollenbasiert: Sie definieren eine Rolle, legen fest, was sie verwalten kann, was sie auf Geräten tun kann und auf welche Gruppen sie zugreifen darf. Anschließend weisen Sie Techniker dieser Rolle über die Team Seite.
Jeder Techniker gehört genau einer Rolle an. Rollen können von beliebig vielen Technikern geteilt werden.
Wie Rollen funktionieren
Eine Rolle definiert drei Dinge:
Verwaltungsberechtigungen legen fest, ob die Rolle arbeitsbereichsweite Ressourcen wie Automatisierungen, Skripte, Monitor-Richtlinien und Tags erstellen und verwalten kann.
Geräteberechtigungen legen fest, was die Rolle auf einzelnen Geräten tun kann: Fernsteuerung, Hintergrundverwaltung und Tagging.
Gruppenzugriff legt fest, welche Gerätegruppen und Automatisierungsgruppen die Rolle sehen und bearbeiten kann.
Techniker ohne Zugriff auf eine Gerätegruppe können keine Geräte in dieser Gruppe sehen, keine Fernsteuerung starten und keine Aktionen auf diesen Geräten ausführen. Dasselbe gilt für Automatisierungsgruppen: Techniker können Automatisierungen in Gruppen, auf die sie keinen Zugriff haben, weder sehen, ausführen noch bearbeiten.
💡 TIPP: Planen Sie Ihre Rollen entsprechend Ihrer Teamstruktur, bevor Sie diese erstellen. Eine gängige Konfiguration: eine Rolle „Junior-Techniker", die auf einige Gruppen ohne Verwaltungsberechtigungen beschränkt ist, eine Rolle „Senior-Techniker" mit breiterem Zugriff sowie Automatisierungs- und Skriptverwaltung, und ein Break-Glass-Administratorkonto außerhalb von SSO für die Notfallwiederherstellung.
Eine Rolle erstellen
Navigieren Sie zu Arbeitsbereich → Berechtigungen.
Klicken Sie auf + Rolle erstellen in der oberen rechten Ecke.
Geben Sie einen Namen in das Rollenname Feld ein und klicken Sie auf Erstellen.
Die neue Rolle erscheint in der Rollenliste. Standardmäßig ist kein Zugriff konfiguriert – richten Sie Verwaltungszugriff und Gruppenzugriff ein, bevor Sie jemanden zuweisen.
💡 TIPP: Level erstellt bei jedem neuen Konto eine Rolle „Techniker" als Startbeispiel. Sie können sie wie jede andere Rolle umbenennen, neu konfigurieren oder löschen.
Eine Rolle konfigurieren
Wählen Sie eine beliebige Rolle aus der Liste aus, um das Konfigurationspanel auf der rechten Seite zu öffnen.
Verwaltungsberechtigungen
Der Verwaltungsberechtigungen Abschnitt steuert, ob diese Rolle arbeitsbereichsweite Ressourcen erstellen, bearbeiten und löschen kann.
Berechtigung | Was sie steuert |
Automatisierungen | Automatisierungen erstellen und verwalten |
Skripte | Skripte erstellen und verwalten |
Monitor-Richtlinien | Monitor-Richtlinien erstellen und verwalten |
Tags | Tags erstellen und verwalten |
💡 TIPP: Lassen Sie Monitor-Richtlinien für die meisten Techniker deaktiviert lassen. Richtlinienänderungen wirken sich auf jedes Gerät aus, das das entsprechende Tag trägt, sodass der Auswirkungsbereich sehr groß ist. Beschränken Sie dies auf erfahrene Mitarbeiter.
Jede Berechtigung ist unabhängig. Sie können Skripte ohne Automatisierungen, Tags ohne Monitor-Richtlinien gewähren und so weiter.
ℹ️ HINWEIS: Die Automatisierungen Verwaltungsberechtigung sperrt ausschließlich nicht-manuelle Automatisierungsauslöser (zeitgesteuert, tag-basiert, ereignisbasiert usw.). Techniker ohne diese Berechtigung können weiterhin Automatisierungen nur mit einem Manuell Auslöser verwenden, jedoch diese Automatisierung nur auf Geräte anwenden, auf die sie Gruppenzugriff haben. Die Berechtigung verhindert, dass Techniker Automatisierungen erstellen, deren Auslöser Geräte in Gruppen erreichen könnten, auf die sie keinen Zugriff haben.
Geräteberechtigungen
Der Geräteberechtigungen Abschnitt steuert, welche Aktionen diese Rolle auf einzelnen Geräten ausführen kann, auf die sie bereits Gruppenzugriff hat.
Fernsteuerung ermöglicht der Rolle, Fernsteuerungssitzungen zu starten.
Hintergrundverwaltung ermöglicht der Rolle, Hintergrund-Terminal- und Verwaltungssitzungen zu öffnen (Datei-Explorer, Dienste, Prozesse, Registrierung usw.).
Geräte-Tagging ermöglicht der Rolle, Tags auf Geräten anzuwenden und zu entfernen. Diese Berechtigung erweitert sich in zwei Unteroptionen:
Tags auf Geräte anwenden ermöglicht der Rolle, vorhandene Tags zu einem Gerät hinzuzufügen.
Tags von Geräten entfernen ermöglicht der Rolle, Tags von einem Gerät zu entfernen.
ℹ️ HINWEIS: Das Geräte-Tagging ist von der Tags Verwaltungsberechtigung. Ein Techniker kann die Berechtigung haben, Tags auf Geräte anzuwenden (Geräteberechtigung), ohne die Berechtigung zu haben, Tags auf Arbeitsbereichsebene zu erstellen oder umzubenennen (Verwaltungsberechtigung). Die Tags-Verwaltungsberechtigung regelt die globale Tag-Bibliothek; die Geräte-Tagging-Berechtigung regelt, ob vorhandene Tags auf einzelnen Geräten hinzugefügt oder entfernt werden können.
⚠️ WARNUNG: Das Gewähren von Hintergrundverwaltung gibt der Rolle vollständigen Terminal-Zugriff auf jedes Gerät in ihrem Gruppenbereich. Das entspricht effektiv einem lokalen Administratorzugriff. Stellen Sie sicher, dass der Gruppenzugriff der Rolle entsprechend eingeschränkt ist.
Gruppenzugriff
Der Gruppenzugriff Abschnitt steuert, welche Gerätegruppen und Automatisierungsgruppen diese Rolle sehen und bearbeiten kann. Es gibt zwei Registerkarten: Geräte und Automatisierungen. Jede listet die Gruppen in Ihrem Arbeitsbereich als Baumstruktur auf.
Jede Zeile hat zwei Steuerelemente:
Gruppen-Kontrollkästchen gewährt dieser Rolle Zugriff auf diese Gruppe. Techniker in dieser Rolle können Geräte oder Automatisierungen in jeder aktivierten Gruppe sehen und damit arbeiten.
Kontrollkästchen „Zukünftige Gruppen einschließen" (auf der rechten Seite der Zeile) steuert, ob später unter dieser Gruppe erstellte Untergruppen automatisch denselben Zugriff erben. Wenn aktiviert, wird jede neue Untergruppe automatisch zum Zugriff der Rolle hinzugefügt.
ℹ️ HINWEIS: Durch die Auswahl einer Gruppe wird automatisch Zukünftige Gruppen einschließen für diese Zeile. Wenn Sie einer Gruppe Zugriff gewähren, aber nicht deren zukünftigen Untergruppen, deaktivieren Sie Zukünftige Gruppen einschließen nach Auswahl der Gruppe.
Wechseln Sie zur Automatisierungen Registerkarte, um zu konfigurieren, auf welche Automatisierungsgruppen diese Rolle zugreifen kann. Die Steuerelemente funktionieren auf die gleiche Weise.
⚠️ WARNUNG: Das Deaktivieren einer Gruppe entzieht sofort jedem Techniker, der dieser Rolle zugewiesen ist, den Zugriff. Sie verlieren die Sichtbarkeit auf diese Geräte oder Automatisierungen, bis der Zugriff wiederhergestellt wird.
💡 TIPP: Aktivieren Sie Zukünftige Gruppen einschließen auf Ihrer übergeordneten Gruppe aktivieren, wenn eine Rolle automatisch alle neuen Untergruppen abdecken soll, die Ihr Team später hinzufügt. Ohne diese Option muss jede neue Untergruppe manuell freigegeben werden.
Eine Rolle umbenennen
Wählen Sie die Rolle aus der Liste aus.
Klicken Sie auf das Stiftsymbol in der oberen rechten Ecke des Konfigurationspanels.
Bearbeiten Sie den Namen im Rollenname Feld ein und klicken Sie auf Speichern.
Das Umbenennen einer Rolle hat keinen Einfluss auf ihre Berechtigungen, den Gruppenzugriff oder zugewiesene Techniker. Nur der Anzeigename ändert sich.
Eine Rolle löschen
Wählen Sie die Rolle aus der Liste aus.
Klicken Sie auf das Papierkorbsymbol in der oberen rechten Ecke des Konfigurationspanels.
Bestätigen Sie durch Klicken auf Löschen.
⚠️ WARNUNG: Das Löschen einer Rolle ist dauerhaft und kann nicht rückgängig gemacht werden. Level blockiert das Löschen, wenn noch Techniker der Rolle zugewiesen sind. Weisen Sie diese Techniker um oder entfernen Sie sie über Arbeitsbereich → Team zuerst, dann versuchen Sie das Löschen erneut.
Häufig gestellte Fragen
Ein Techniker, der einer Rolle ohne Automatisierungen-Verwaltungsberechtigung zugewiesen ist, sagt, er könne trotzdem Automatisierungen erstellen. Ist das ein Fehler? Nein. Die Automatisierungen-Verwaltungsberechtigung sperrt nur nicht-manuelle Auslöser (zeitgesteuert, tag-basiert, ereignisbasiert usw.). Manuelle Automatisierungen sind immer erlaubt, da der Techniker die Zielgeräte explizit auswählen muss und nur Geräte in Gruppen auswählen kann, auf die er bereits Zugriff hat. Die Berechtigung verhindert, dass Automatisierungen erstellt werden, deren Auslöser Geräte erreichen könnten, die der Techniker nicht sehen kann.
Was ist der Unterschied zwischen der Tags-Verwaltungsberechtigung und dem Geräte-Tagging? Die Tags-Verwaltungsberechtigung steuert, wer Tags in der arbeitsbereichsweiten Tag-Bibliothek erstellen, umbenennen und löschen kann. Das Geräte-Tagging steuert, wer vorhandene Tags auf Geräte anwenden oder von ihnen entfernen kann. Ein Techniker kann Geräte-Tagging ohne Tags-Verwaltungsberechtigung haben, was ihm erlaubt, Geräte mit Tags zu versehen, die ein Administrator bereits definiert hat.
Kann ein Techniker ohne Hintergrundverwaltung trotzdem die Fernsteuerung nutzen? Ja. Fernsteuerung und Hintergrundverwaltung sind separate Berechtigungen. Sie können eine ohne die andere gewähren. Fernsteuerung umfasst die benutzerseitige Fernsteuerungssitzung; Hintergrundverwaltung umfasst Terminal, Datei-Explorer, Dienste, Prozesse und andere Backend-Tools.
Warum kann ich eine Rolle nicht löschen? Level blockiert das Löschen, wenn noch Techniker zugewiesen sind. Gehen Sie zu Arbeitsbereich → Team, verschieben Sie diese Techniker in eine andere Rolle und versuchen Sie es dann erneut.
Ein Techniker kann eine vorhandene Automatisierung ausführen, sie aber nicht bearbeiten. Was fehlt? Der Techniker hat eine Rolle ohne die Automatisierungen-Verwaltungsberechtigung. Aktivieren Sie diese, wenn der Techniker Automatisierungen erstellen und ändern soll. Lassen Sie sie deaktiviert, wenn er nur Automatisierungen auslösen soll, die jemand anderes erstellt hat.
Ich habe eine neue Untergruppe erstellt und eine Rolle kann nicht darauf zugreifen. Warum? Zukünftige Gruppen einschließen war für die übergeordnete Gruppe dieser Rolle nicht aktiviert. Aktivieren Sie es für die Zukunft und aktivieren Sie dann manuell das Kontrollkästchen der neuen Untergruppe, um den Zugriff rückwirkend zu gewähren.
Ein Techniker muss Geräte in der Gruppe eines Kunden fernsteuern, aber Automatisierungen nur sehen (nicht ändern). Wie richte ich das ein? Gewähren Sie Fernsteuerung unter Geräteberechtigungen. Lassen Sie Automatisierungen unter Verwaltungsberechtigungen deaktiviert. Fügen Sie die entsprechende Gerätegruppe unter der Registerkarte „Geräte" des Gruppenzugriffs hinzu. Fügen Sie die Automatisierungsgruppe des Kunden unter der Registerkarte „Automatisierungen" hinzu, wenn der Techniker Automatisierungen sehen soll, die auf diese Geräte abzielen.
Können mehrere Techniker dieselbe Rolle teilen? Ja. Weisen Sie beliebig viele Techniker über Arbeitsbereich → Team. Berechtigungsänderungen gelten sofort für alle Mitglieder der Rolle.
Werden Administrator- und Break-Glass-Konten hier konfiguriert? Nein. Administrator ist eine Eigenschaft auf Arbeitsbereichsebene, keine benutzerdefinierte Rolle. Administratoren umgehen alle rollenbasierten Berechtigungsprüfungen. Verwalten Sie den Administratorstatus über Arbeitsbereich → Team.