Rechte, Rollen und Verwaltung - Grundlagen

• Jedes Recht ist in einer Rolle definiert.
  Rechte werden in Rollen definiert. Ein Anwender kann für eine oder mehrere Rollen berechtigt sein. Rollen können nur durch Anwender mit erweiterten Rechten erzeugt, bearbeitet oder gelöscht werden. Die Rollenverwaltung ist in Bayern an die Berechtigungsgruppe der Systemadministratoren gebunden.

• EPS trennt die Nutzung der Anwendung und die Ausführung administrativer Rechte durch die verschiedenen Berechtigungsgruppen „Anwender“, „Administratoren“ und „Systemadministratoren“. Standardmäßig befindet sich der Anwender nach Anmeldung in der Liste der Echteinsätze seiner Dienststelle. Wenn der Anwender administrative Rechte ausüben will, muss er in den Voreinstellungen die jeweilige Rolle auswählen. In den administrativen Rollen sind Zugriffe auf Einsatzdaten auf das unbedingt notwendige Maß beschränkt, um zu verhindern, dass bei der Einsatzbearbeitung durch die besonderen Rechte unbeabsichtigt weitreichende Eingriffe erfolgen.

• Jede Rolle kann überall und für Dienststellen oder Bereiche gewährt werden.
  Jede Rolle kann jedem Anwender auf jeder Ebene, jeweils für die Dienststelle oder die Dienststelle und den nachgeordneten Bereich, eingeräumt werden. Dazu kann in jeder Rolle definiert werden, ob diese Rolle den Zugriff auf nur eigene Daten, freigegebene Daten oder Daten von nachgeordneten Dienststellen beinhalten soll. Dies ist unabhängig von der Dienststelle des Anwenders.
  
  • Derzeit sind in Bayern die Rollen wie folgt eingeschränkt:
    • „Nur-Lesen“ sieht ausschließlich auf die eigene Dienststelle.
    • „Anwender“ sieht auf die eigenen und die freigegebenen Daten.
    • Die administrativen Rollen können auf die eigene oder auf die eigene und nachgeordnete Dienststellen eingerichtet werden.

• Grundlegende Systemrechte und -einrichtungen sind den Systemadministratoren vorbehalten.
  Durch die Flexibilität können in EPS sehr viele Rechtekombinationen und -möglichkeiten verwirklicht werden. Deshalb sind grundlegende Möglichkeiten auf einen sehr kleinen, für den zentralen Betrieb verantwortlichen Personenkreis zu beschränken.

Nach oben * Rechte, Rollen und Verwaltung - Inhalt * Nächstes Kapitel

EPS definiert die Einsatzbearbeitung getrennt von administrativen Rollen.

• Einsatzbearbeitung eigener Einsätze ist typischerweise: Einsatzanlage, -freigabe, Sondereinstellungen des Einsatzes; Bearbeitung von Protokollen, Befehlen, Stäben, Anlagen und der GeSa-Daten.
  • Diese Rechte beziehen sich unmittelbar auf die Bearbeitung von Einsatzdaten. Die entsprechenden Rollen sind daher in einer Berechtigungsgruppe „Anwender“ zusammengefasst, die auch die Standardrolle „Anwender“ und die eingeschränkte Rolle „Nur Lesen“ enthält.
  • Grundsätzlich ist als Vorgabe jeder Anwender mit der Rolle „Anwender“, einem Standardrecht, ausgestattet. Das Standardrecht umfasst die Einsatzanlage und -bearbeitung inklusive aller Zusatzfunktionen wie Grafischer Befehl, Führungsstab, Anlagen, Kontrolle, GeSa und Lage auf der eigenen Dienststelle.
  • Dieses Standardrecht kann in der Benutzerverwaltung durch die Zuweisung der entsprechenden Rolle „Nur Lesen“ auf ein ausschließliches Leserecht beschränkt werden. Über die Rollendefinition können dadurch nur Einsätze der eigenen Dienststelle, also auch keine für die eigene Dienststelle freigegebenen Einsätze, gesehen werden.

• Administrative Rollen sind
  • die Einsatzverwaltung (Verschieben in / aus dem Archiv, Sperren des Einsatzes),
  • die Bearbeitung des Schreibschutzes,
  • das Wiederherstellen von "gelöschten" Datensätzen im Einsatzablauf und der GeSa.
  • Benutzerverwaltung,
  • Dienststellenverwaltung und die
  • Verwaltung lokaler Stammdaten.

Die Rollen Dienststellen-, Benutzer- und Stammdatenverwaltung beziehen sich auf strukturelle Daten.

• Die administrativen Rollen können einzeln vergeben werden. So können zum Beispiel Anwender berechtigt werden, die ausschließlich die Benutzerverwaltung oder die Dienststellenverwaltung bearbeiten dürfen.
• Soll ein Anwender mehrere administrative Aufgaben wahrnehmen, können ihm mehrere Rollen zugeordnet werden.
• Soll ein Anwender alle administrativen Aufgaben erledigen, kann die Rolle „Administrator“ vergeben werden.
• Die Rollen können für eine Dienststelle oder für einen Bereich mit allen nachgeordneten Dienststellen vergeben werden.
• Weitere Rechte sind für Anwender mit administrativen Aufgaben nicht definiert und sind nur für die Systemadministratoren ausführbar. Dazu gehören zum Beispiel grundlegende Einstellungen des Programmes, Verwaltung globaler Kataloge, Rollenverwaltung und die Erstanlage einer Dienststellenstruktur.

Änderungen an dieser Struktur erfolgen ausschließlich auf Verantwortung der jeweils zuständigen Systemadministration.

Nach oben * Rechte, Rollen und Verwaltung - Inhalt * Nächstes Kapitel

• In EPS können Rechte ausschließlich nur Rollen zugeordnet werden. Die Vergabe von Einzelrechten im Bereich erweiterte Anwenderrechte, Verwaltung oder Systemadministration an einen Anwender ist nicht möglich.

• Rollen für Anwenderrechte oder administrativen Rechte können ausschließlich Anwendern, also Einzelpersonen, zugeordnet werden.

• Die Freigaben sind ebenfalls mit abgestuften Rechten als Rollen definiert. Freigabenrollen können einzelnen Anwendern oder gesamten Dienststellen zugeordnet werden. Wenn die Freigaberolle einer gesamten Dienststelle zugeordnet wird, hat jeder Anwender dieser Dienststelle die in der Freigaberolle eingeräumten Rechte.
  • Anwender mit einer „Nur-Lesen-Rolle“ auf der Stammdienststelle sehen keine für ihre Stammdienststelle freigeschaltenen Einsätze. Dadurch wird verhindert, dass ein Anwender mit einem eingeschränkten Zugriff auf EPS über eine Freigabe für seine Dienststelle mehr Rechte in fremden Einsätzen erhält, als ihm auf seiner Stammdienststelle zugeordnet wurden.
  • In den Freigaben bedeutet die „Nur-Lesen-Freigabe“ für einen Bereich, dass alle Mitarbeiter von dem Bereich zugehörigen Dienststellen einen lesenden Zugriff erhalten, sofern sie ein Startrecht für EPS besitzen und über eine Anwenderrolle auf ihrer Dienststelle verfügen.

• Erhält der Anwender eine Rolle, darf er die in der Rolle definierten Rechte ausüben. Ein Anwender kann eine beliebige Anzahl von Rollen ausüben.

• EPS enthält bei der Auslieferung / Erstinstallation eine vorgegebenen Anzahl von Rollen. Diese Rollen sind getestet. Änderungen an diesen Rollen oder die Erstellung von neuen Rollen können weitreichende Folgen auf Zugriffsmöglichkeiten nach sich ziehen. Solche Änderungen sind von der jeweiligen Systemadministration ausschließlich eigenverantwortlich zu testen und freizugeben.

• Desgleichen kann das Recht zur Bearbeitung oder Erzeugung von Rollen durch die offene Rechtestruktur auf jeden Anwender übertragen werden. Solche Übertragungen von Rechten können zu neuen oder veränderten Rollen führen, die wiederum in der ausschließlichen Verantwortung der jeweils rechtegewährenden Systemadministration liegt.

Nach oben * Rechte, Rollen und Verwaltung - Inhalt * Nächstes Kapitel

Sowohl die die Anwenderrollen als auch die administrativen Rollen sind in Ebenen und Bereichen definierbar. So kann neben der Entscheidung, wer eine bestimmte Rolle hat, auch definiert werden, wo das Rolle ausgeübt werden kann. Die Definition ist sowohl für einzelne Dienststellen als auch für Dienststellen und nachgeordnete Bereiche möglich.

• Beispiel 1 - Anwendung:
  • Anwender A hat das Recht, Einsätze seiner Dienststelle zu bearbeiten. Er erhält für seine Dienststelle die Rolle „Anwender“ mit der Sicht auf die eigene Dienststelle. Einsätze anderer Dienststellen kann er nur sehen, wenn eine entsprechende Freigabe für ihn oder seine Dienststelle eingerichtet ist.
  • Anwender B hat das Recht, Einsätze seiner Dienststelle zu bearbeiten und erhält für seine Dienststelle die Rolle „Anwender“. Zusätzlich soll er die Einsätze nachgeordneter Dienststellen lesen können. Er erhält ein zusätzliches Anwenderrecht für seiner Dienststelle mit der Rolle „Nur Lesen“ und einer Sicht auf die Einsätze der nachgeordneten Dienststelle. Dieses Recht ist in Bayern derzeit deaktiviert. Die Aktivierung kann erst nach einer Freigabe erfolgen!

• Beispiel 2 - Verwaltung:
  • Anwender A hat das Recht, die Anwender einer Dienststelle „Polizeipräsidium“ zu verwalten. Er kann somit hier Anwender anlegen, löschen oder Anwendern auf dieser Dienststelle den generellen Zugang zu EPS freischalten oder sperren. Er kann diese Tätigkeiten jedoch nicht für die Anwender der nachgeordneten Dienststellen durchführen. Er erhält die Rolle „Benutzerverwaltung“ mit der Sicht „eigene Dienststelle“ Polizeipräsidium. Ein Zugriff auf Benutzer der nachgeordneten Dienststellen ist nicht möglich.
  • Anwender B hat das Recht, die Anwender des Bereiches „Polizeipräsidium“ zu verwalten. Er hat die gewährten Rechte nicht nur für die Dienststelle „Polizeipräsidium“, sondern auch für alle nachgeordneten Dienststellen. Er erhält die Rolle „Benutzerverwaltung“ mit der Sicht „Verband (und nachgeordnet)“. Er hat Zugriff auf alle Benutzer der Dienststelle Präsidium und die Benutzer aller nachgeordneten Dienststellen.

Durch diese Trennung ist es gleichfalls möglich,

• einem Anwender gleichzeitig für verschiedene Bereiche oder Dienststellen verschiedene Rechte zuzuteilen oder zu entziehen
• einem Anwender in einem Bereich oder für eine Dienststelle Rechte zu gewähren, die sich nicht auf seine Stammdienststelle beziehen
• einem Anwender Rechte für einen Bereich oder nur für eine einzelne Dienststelle zu gewähren. Dabei ist unerheblich, auf welcher Ebene die Dienststelle angelegt ist.

Nach oben * Rechte, Rollen und Verwaltung - Inhalt * Nächstes Kapitel

Oberste Dienststellen werden in EPS durch die Systemadministratoren angelegt. Auf diesen obersten Dienststellen können dann Anwender mit administrativen Rechten eingerichtet werden.

• Sollen Anwender mit administrativen Rechten alle Dienststellen (und damit Anwender und Einsätze) auf dieser Installationsinstanz von EPS sehen und verwalten können, ist eine oberste Dienststelle einzurichten.
• Beispiel: Rechte-, Benutzer- und Dienststellenverwaltung findet in einer obersten Landesbehörde statt: Nur diese wird in der obersten Ebene eingerichtet. Somit können administrative Rollen für den Bereich dieser Dienststelle und aller nachgeordneten, also in dieser EPS-Instanz vorhandenen, Dienststellen eingerichtet werden.
• Sollen Benutzer mit administrativen Rechten nur einzelne Bereiche (mit Dienststellen, Anwendern und Einsätzen) auf dieser Installationsinstanz sehen und verwalten können, sind entsprechend der Anzahl der gewünschten Bereiche mehrere oberste Dienststellen einzurichten.
• Beispiel: Rechte-, Benutzer- und Dienststellenverwaltung findet in verschiedenen Bereichen statt: Für jeden Bereich wird eine oberste Dienststelle eingerichtet. Somit wirken Verwaltungsrechte, die für den Bereich einer dieser Dienststelle eingerichtet werden, nur auf alle nachgeordneten Dienststellen dieses Bereiches.

Neben echten (einsatz- und personalführenden) Dienststellen können in EPS unechte (nicht einsatz- und personalführende) Dienststellen angelegt werden. Somit können Bereiche in geographischer Hinsicht oder struktureller Hinsicht (wie zum Beispiel Zuständigkeitsbereiche eines Abschnittes, einer KPI oder einer VPI) geschaffen werden.

Nachgeordnete Dienststellen werden zunächst wie unter Dienststellenverwaltung beschrieben angelegt. Bei der Anlage wird festgelegt, welcher Dienststelle die neu angelegte Dienststelle nachgeordnet wird. Aus diesen Nachordnungen, eventuell über mehrere Ebenen, ergibt sich die Dienststellenstruktur. Dienststellen können nur einer Dienststelle, egal ob „echte“ oder „unechte Dienststelle“, nachgeordnet werden.

Die Nachordnung kann in den Dienststellendaten jederzeit geändert werden. Somit sind Reorganisationsmaßnahmen einfach und effektiv durchzuführen. Die Änderung der Nachordnung wirkt sich auf alle Anwender und Einsätze der Dienststelle aus!

Nach oben * Rechte, Rollen und Verwaltung - Inhalt * Nächstes Kapitel