Einführung
Steuern Sie, was jeder Techniker in Level sehen und tun kann. Berechtigungen sind rollenbasiert: Sie definieren eine Rolle, legen fest, was sie verwalten kann, was sie auf Geräten tun darf und auf welche Gruppen sie Zugriff hat. Anschließend weisen Sie Techniker dieser Rolle über die Team Seite.
Jeder Techniker gehört genau einer Rolle an. Rollen können von beliebig vielen Technikern geteilt werden.
Funktionsweise von Rollen
Eine Rolle definiert drei Dinge:
Verwaltungsberechtigungen legen fest, ob die Rolle arbeitsbereichsweite Ressourcen wie Automatisierungen, Skripte, Monitor-Richtlinien und Tags erstellen und verwalten kann.
Geräteberechtigungen legen fest, was die Rolle auf einzelnen Geräten tun kann: Fernsteuerung, Hintergrundverwaltung und Tagging.
Gruppenzugriff legt fest, welche Gerätegruppen, Automatisierungsgruppen und Skriptgruppen die Rolle sehen und in denen sie arbeiten kann.
Techniker ohne Zugriff auf eine Gerätegruppe können keine Geräte in dieser Gruppe sehen, keine Fernsteuerung starten und keine Aktionen auf diesen Geräten ausführen. Dasselbe gilt für Automatisierungsgruppen und Skriptgruppen: Techniker können Automatisierungen oder Skripte in Gruppen, auf die ihre Rolle keinen Zugriff hat, weder sehen, ausführen noch bearbeiten.
💡 TIPP: Planen Sie Ihre Rollen anhand Ihrer Teamstruktur, bevor Sie sie erstellen. Eine gängige Einrichtung: eine Rolle „Junior-Techniker", die auf einige Gruppen ohne Verwaltungsberechtigungen beschränkt ist, eine Rolle „Senior-Techniker" mit breiterem Zugriff sowie Verwaltung von Automatisierungen und Skripten, und ein Break-Glass-Administratorkonto außerhalb von SSO für die Notfallwiederherstellung.
Erstellen einer Rolle
Navigieren Sie zu Arbeitsbereich → Berechtigungen.
Klicken Sie auf + Rolle erstellen in der oberen rechten Ecke.
Geben Sie einen Namen in das Rollenname Feld und klicken Sie auf Erstellen.
Die neue Rolle erscheint in der Rollenliste. Standardmäßig ist kein Zugriff konfiguriert – richten Sie Verwaltungszugriff und Gruppenzugriff ein, bevor Sie jemanden zuweisen.
💡 TIPP: Level erstellt bei jedem neuen Konto eine Rolle „Techniker" als Ausgangsbeispiel. Sie können sie wie jede andere Rolle umbenennen, neu konfigurieren oder löschen.
Konfigurieren einer Rolle
Wählen Sie eine beliebige Rolle aus der Liste aus, um das Konfigurationspanel auf der rechten Seite zu öffnen.
Verwaltungsberechtigungen
Der Verwaltungsberechtigungen Abschnitt steuert, ob diese Rolle arbeitsbereichsweite Ressourcen erstellen, bearbeiten und löschen kann.
Berechtigung | Was sie steuert |
Automatisierungen | Automatisierungen erstellen und verwalten |
Skripte | Skripte erstellen und verwalten |
Monitor-Richtlinien | Monitor-Richtlinien erstellen und verwalten |
Tags | Tags erstellen und verwalten |
💡 TIPP: Monitor-Richtlinien für die meisten Techniker deaktiviert lassen. Richtlinienänderungen betreffen jedes Gerät mit dem entsprechenden Tag, sodass der mögliche Schaden groß ist. Beschränken Sie dies auf erfahrene Mitarbeiter.
Jede Berechtigung ist unabhängig. Sie können Skripte ohne Automatisierungen gewähren, Tags ohne Monitor-Richtlinien, und so weiter.
ℹ️ HINWEIS: Die Automatisierungen Verwaltungsberechtigung sperrt speziell nicht-manuelle Automatisierungsauslöser (zeitplanbasiert, tag-basiert, ereignisbasiert usw.). Techniker ohne diese Berechtigung können weiterhin Automatisierungen mit ausschließlich einem Manuell Auslöser, können diese Automatisierung jedoch nur gegen Geräte ausführen, auf die sie Gruppenzugriff haben. Die Berechtigung soll verhindern, dass Techniker Automatisierungen erstellen, deren Auslöser sich auf Geräte in Gruppen ausweiten könnten, auf die sie keinen Zugriff haben.
Geräteberechtigungen
Der Geräteberechtigungen Abschnitt steuert, welche Aktionen diese Rolle auf einzelnen Geräten ausführen kann, auf die sie bereits Gruppenzugriff hat.
Fernsteuerung erlaubt der Rolle, Fernsteuerungssitzungen zu starten.
Hintergrundverwaltung erlaubt der Rolle, Hintergrund-Terminal- und Verwaltungssitzungen zu öffnen (Datei-Explorer, Dienste, Prozesse, Registrierung usw.).
Geräte-Tagging erlaubt der Rolle, Tags auf Geräten anzuwenden und zu entfernen. Diese Berechtigung erweitert sich um zwei Unteroptionen:
Tags auf Geräte anwenden erlaubt der Rolle, vorhandene Tags zu einem Gerät hinzuzufügen.
Tags von Geräten entfernen erlaubt der Rolle, Tags von einem Gerät zu entfernen.
ℹ️ HINWEIS: Geräte-Tagging ist von der Tags Verwaltungsberechtigung. Ein Techniker kann die Berechtigung haben, Tags auf Geräte anzuwenden (Geräteberechtigung), ohne die Berechtigung zu haben, Tags auf Arbeitsbereichsebene zu erstellen oder umzubenennen (Verwaltungsberechtigung). Die Tags-Verwaltungsberechtigung regelt die globale Tag-Bibliothek; die Geräte-Tagging-Berechtigung regelt, ob vorhandene Tags auf einzelne Geräte aufgebracht oder entfernt werden können.
⚠️ WARNUNG: Das Gewähren von Hintergrundverwaltung gewährt der Rolle vollständigen Terminal-Zugriff auf jedes Gerät in ihrem Gruppenbereich. Das entspricht effektiv dem Zugriff eines lokalen Administrators. Stellen Sie sicher, dass der Gruppenzugriff der Rolle entsprechend eingeschränkt ist.
Gruppenzugriff
Der Gruppenzugriff Abschnitt steuert, welche Gerätegruppen, Automatisierungsgruppen und Skriptgruppen diese Rolle sehen und in denen sie arbeiten kann. Es gibt drei Registerkarten: Geräte, Automatisierungen, und Skripte. Jede listet die entsprechenden Gruppen in Ihrem Arbeitsbereich als Baumstruktur auf.
Jede Zeile hat zwei Steuerelemente:
Gruppen-Kontrollkästchen gewährt dieser Rolle Zugriff auf diese Gruppe. Techniker in dieser Rolle können die Geräte, Automatisierungen oder Skripte in jeder aktivierten Gruppe sehen und damit arbeiten.
Kontrollkästchen „Zukünftige Gruppen einschließen" (auf der rechten Seite der Zeile) steuert, ob später unter dieser Gruppe erstellte Untergruppen automatisch denselben Zugriff erben. Wenn aktiviert, wird jede neue Untergruppe automatisch zum Zugriff der Rolle hinzugefügt.
ℹ️ HINWEIS: Das Auswählen einer Gruppe aktiviert automatisch „Zukünftige Gruppen einschließen" für diese Zeile. Wenn Sie einer Gruppe Zugriff gewähren möchten, aber nicht auf ihre zukünftigen Untergruppen, deaktivieren Sie „Zukünftige Gruppen einschließen" nach der Auswahl der Gruppe.
Konfigurieren Sie jede Registerkarte unabhängig:
Geräte steuert, welche Gerätegruppen die Rolle sehen und bearbeiten kann.
Automatisierungen steuert, welche Automatisierungsgruppen die Rolle sehen, ausführen und bearbeiten kann.
Skripte steuert, welche Skriptgruppen die Rolle sehen und ausführen kann.
Die Steuerelemente funktionieren auf allen drei Registerkarten gleich.
⚠️ WARNUNG: Das Deaktivieren einer Gruppe entzieht sofort jedem Techniker, der dieser Rolle zugewiesen ist, den Zugriff. Sie verlieren die Sichtbarkeit auf diese Geräte, Automatisierungen oder Skripte, bis der Zugriff wiederhergestellt wird.
💡 TIPP: Aktivieren Sie Zukünftige Gruppen einschließen für Ihre übergeordnete Gruppe, wenn eine Rolle automatisch alle neuen Untergruppen abdecken soll, die Ihr Team später hinzufügt. Andernfalls muss jeder neuen Untergruppe manuell Zugriff gewährt werden.
ℹ️ HINWEIS: Der Skriptgruppen-Zugriff ist von der Skripte-Verwaltungsberechtigung getrennt. Der Skriptgruppen-Zugriff (hier) steuert, welche Skriptgruppen eine Rolle sehen und ausführen kann. Die Skripte-Verwaltungsberechtigung (unter Verwaltungsberechtigungen) steuert, ob die Rolle Skripte überhaupt erstellen, bearbeiten und löschen kann. Eine Rolle kann Zugriff auf eine Skriptgruppe haben ohne Skripte-Verwaltung, was ihr erlaubt, vorhandene Skripte auszuführen, ohne sie zu ändern.
Umbenennen einer Rolle
Wählen Sie die Rolle aus der Liste aus.
Klicken Sie auf das Stiftsymbol in der oberen rechten Ecke des Konfigurationspanels.
Bearbeiten Sie den Namen im Rollenname Feld und klicken Sie auf Speichern.
Das Umbenennen einer Rolle hat keine Auswirkungen auf ihre Berechtigungen, den Gruppenzugriff oder die zugewiesenen Techniker. Nur der Anzeigename ändert sich.
Löschen einer Rolle
Wählen Sie die Rolle aus der Liste aus.
Klicken Sie auf das Papierkorbsymbol in der oberen rechten Ecke des Konfigurationspanels.
Bestätigen Sie durch Klicken auf Löschen.
⚠️ WARNUNG: Das Löschen einer Rolle ist dauerhaft und kann nicht rückgängig gemacht werden. Level blockiert das Löschen, wenn noch Techniker der Rolle zugewiesen sind. Weisen Sie diese Techniker über Arbeitsbereich → Team zuerst durch, dann wiederholen Sie den Löschvorgang.
Häufig gestellte Fragen
Ein Techniker, der einer Rolle ohne Automatisierungen-Verwaltung zugewiesen ist, sagt, er kann trotzdem Automatisierungen erstellen. Ist das ein Fehler? Nein. Die Automatisierungen-Verwaltungsberechtigung sperrt nur nicht-manuelle Auslöser (zeitplanbasiert, tag-basiert, ereignisbasiert usw.). Manuelle Automatisierungen sind immer erlaubt, weil der Techniker die Zielgeräte explizit auswählen muss und nur Geräte in Gruppen auswählen kann, auf die er bereits Zugriff hat. Die Berechtigung soll Automatisierungen verhindern, deren Auslöser Geräte erreichen könnten, die der Techniker nicht sehen kann.
Was ist der Unterschied zwischen der Tags-Verwaltungsberechtigung und dem Geräte-Tagging? Die Tags-Verwaltung steuert, wer Tags in der arbeitsbereichsweiten Tag-Bibliothek erstellen, umbenennen und löschen kann. Das Geräte-Tagging steuert, wer vorhandene Tags auf Geräte anwenden oder entfernen kann. Ein Techniker kann Geräte-Tagging ohne Tags-Verwaltung haben, was ihm erlaubt, Geräte mit Tags zu versehen, die ein Administrator bereits definiert hat.
Was ist der Unterschied zwischen der Skripte-Verwaltungsberechtigung und dem Skriptgruppen-Zugriff? Die Skripte-Verwaltung (unter Verwaltungsberechtigungen) steuert, ob die Rolle Skripte erstellen, bearbeiten und löschen kann. Der Skriptgruppen-Zugriff (unter Gruppenzugriff → Skripte) steuert, welche Skriptgruppen die Rolle sehen und ausführen kann. Eine Rolle kann Zugriff auf eine Skriptgruppe haben ohne Skripte-Verwaltung, was ihr erlaubt, diese Skripte auszuführen, ohne sie zu bearbeiten.
Ein Techniker hat Skripte-Verwaltung, kann aber einige Skripte nicht sehen. Was fehlt? Die Skripte-Verwaltung erlaubt ihnen, Skripte zu erstellen und zu bearbeiten, aber sie sehen weiterhin nur Skripte in den Skriptgruppen, auf die ihre Rolle Zugriff hat. Fügen Sie die entsprechende Skriptgruppe unter Gruppenzugriff → Skripte hinzu.
Kann ein Techniker ohne Hintergrundverwaltung trotzdem die Fernsteuerung nutzen? Ja. Fernsteuerung und Hintergrundverwaltung sind separate Berechtigungen. Sie können eine gewähren, ohne die andere. Fernsteuerung umfasst die benutzerorientierte Fernsteuerungssitzung; Hintergrundverwaltung umfasst Terminal, Datei-Explorer, Dienste, Prozesse und andere Backend-Tools.
Warum kann ich eine Rolle nicht löschen? Level blockiert das Löschen, wenn noch Techniker zugewiesen sind. Gehen Sie zu Arbeitsbereich → Team, verschieben Sie diese Techniker in eine andere Rolle und versuchen Sie es dann erneut.
Ein Techniker kann eine vorhandene Automatisierung ausführen, aber nicht bearbeiten. Was fehlt? Sie befinden sich in einer Rolle ohne Automatisierungen-Verwaltungsberechtigung. Aktivieren Sie diese, wenn Sie möchten, dass sie Automatisierungen erstellen und ändern können. Lassen Sie sie deaktiviert, wenn Sie nur möchten, dass sie Automatisierungen auslösen, die jemand anderes erstellt hat.
Ich habe eine neue Untergruppe erstellt und eine Rolle kann nicht darauf zugreifen. Warum? Zukünftige Gruppen einschließen war für die übergeordnete Gruppe dieser Rolle nicht aktiviert. Aktivieren Sie es für die Zukunft und setzen Sie dann das Häkchen bei der neuen Untergruppe manuell, um rückwirkend Zugriff zu gewähren.
Ein Techniker muss Geräte in der Gruppe eines Kunden fernsteuern, aber Automatisierungen nur sehen (nicht ändern). Wie richte ich das ein? Gewähren Sie Fernsteuerung unter Geräteberechtigungen. Lassen Sie Automatisierungen unter Verwaltungsberechtigungen deaktiviert. Fügen Sie die entsprechende Gerätegruppe unter der Registerkarte „Geräte" des Gruppenzugriffs hinzu. Fügen Sie die Automatisierungsgruppe des Kunden unter der Registerkarte „Automatisierungen" hinzu, wenn Sie möchten, dass sie Automatisierungen sehen können, die auf diese Geräte abzielen.
Können mehrere Techniker dieselbe Rolle teilen? Ja. Weisen Sie über Arbeitsbereich → Team. Berechtigungsänderungen gelten sofort für alle Personen in der Rolle.
Werden Administrator- und Break-Glass-Konten hier konfiguriert? Nein. Administrator ist eine Eigenschaft auf Arbeitsbereichsebene, keine benutzerdefinierte Rolle. Administratoren umgehen alle rollenbasierten Berechtigungsprüfungen. Verwalten Sie den Administratorstatus über Arbeitsbereich → Team.