Der Aufbau der Benutzergruppenstruktur sollte in Abhängigkeit von den lokalen Gegebenheiten erfolgen. Eine Gruppenbildung muss immer gut geplant werden, um genau die
Systemumgebung bereitzustellen, die von den Gruppenmitgliedern unbedingt benötigt wird. Nur eine genaue Analyse der Ansprüche einer Gruppe führt zu einem sinnvollenSicherheitskonzept. Generell kann gesagt werden, dass möglichst die Benutzerkennungen und Anwendungen in einer Gruppe zusammengefasst werden sollen, die eine möglichst hohe Übereinstimmung hinsichtlich der Ansprüche an das System haben. Divergieren diese Ansprüche stark, müssen mehr Privilegien an diese Gruppe vergeben werden, als es für ein sicheres System gewünscht sein kann.

Es folgen Beispiele für Gruppenbildungen:

• Zusammenfassung von Benutzerkennungen und Anwendungen nach unterschiedlichen Kriterien (z.B. Sicherheitsabgrenzung, gemeinsame Datenbestände etc.) auf getrennten Pubsets.

• Festlegung von Zugriffsschutzmaßnahmen für Objekte (z.B. Dateien).

• Festlegung von Kontingenten bzw. Zuteilungsvorgaben für die Nutzung von Systemfunktionen und Systemressourcen.

• Festlegung der Organisation der Benutzerverwaltung.

Pubset-bezogener Aufbau der Benutzergruppenstruktur

Die Benutzergruppenstruktur wird pubset-bezogen aufgebaut, das heißt jeder Pubset besitzt eine eigene Benutzergruppenstruktur. Jede Benutzergruppe, die auf einem Pubset eingerichtet wird, ist immer die Untergruppe einer bereits bestehenden Benutzergruppe. Ausgehend von der Wurzel *UNIVERSAL kann die Benutzergruppenstruktur somit hierarchisch (einstufig oder mehrstufig) aufgebaut werden. Die Benutzergruppenstruktur eines Pubset ist im zugehörigen Benutzerkatalog hinterlegt.

Zu beachten ist, dass die Benutzergruppenstruktur auf verschiedenen Pubsets nach unterschiedlichen Aspekten organisiert werden kann, im laufenden Betrieb jedoch stets die Benutzergruppenstruktur des Home-Pubset als aktuelle Benutzergruppenstruktur gilt. Benutzergruppenstrukturen auf Daten-Pubsets werden deshalb sinnvollerweise unter dem Aspekt der Verwaltung von pubset-spezifischen Attributen organisiert.

Pubset-bezogene Organisation der Benutzerverwaltung

Die Benutzergruppenstruktur eines Pubset wird für die Verwaltung der dort eingetragenen Benutzergruppen und Benutzerkennungen herangezogen. Die aktuelle Benutzergruppe ist stets diejenige, die auf dem Home-Pubset abgelegt ist. Benutzergruppenstrukturen auf Daten-Pubsets werden nur dann eingerichtet, wenn Stand-by-Pubsets gewartet oder pubset-spezifische Attribute verwaltet werden sollen.

Zugangskontrolle für Benutzerkennungen im laufenden Betrieb

Die Benutzergruppenstruktur auf das als Home-Pubset zu verwendende Pubset ist dahingehend abzustimmen, dass die Festlegung der Gruppenpotentiale und die Zuordnung der Benutzerkennungen zu Benutzergruppen auf diesen Pubsets den Anforderungen der Benutzer und Anwendungen entspricht:

Bei der LOGON-Validierung wird der Eintrag der Benutzerkennung auf dem Home-Pubset des aktuellen Systemlaufs benutzt. Bei erfolgtem Systemzugang werden für die Benutzerkennung die Attribute wirksam, die für sie im Home-Pubset hinterlegt sind. Mit Verwendung eines anderen Pubset als Home-Pubset kann es demnach möglich sein, dass einer Benutzerkennung unter dem gleichen Namen andere Attribute zugewiesen werden bzw. sogar eine andere LOGON-Zugangskontrolle wirksam werden kann. Formell bedeutet das, dass eine Benutzerkennung erst eindeutig durch ihren Eintrag auf dem jeweiligen Home-Pubset definiert ist, also je nach Home-Pubset verschiedene Benutzerkennungen mit dem gleichen Namen vorliegen.

Zugriffskontrolle für systemspezifische Objekte

Die Benutzergruppenstruktur des aktuellen Home-Pubset wird für die Zugriffskontrolle zur Bestimmung der Gruppenzugehörigkeit einer Benutzerkennung oder Benutzergruppe bei Zugriffen auf Dateien oder Jobvariablen sowie auf systemspezifische Objekte (z.B. Memory Pools) herangezogen.

Pubsetbezogene Festlegung der Nutzung der Plattenkapazität

Durch das Gruppenpotential PUBLIC-SPACE-LIMIT und PUBLIC-SPACE-EXCESS wird der Rahmen abgesteckt, in dem einer Benutzerkennung die Berechtigung eingeräumt werden kann, Dateien auf dem jeweiligen Pubset anzulegen.

Bei der Erzeugung von Dateien und Jobvariablen auf einem Pubset werden die zugehörigen Attribute der Benutzerkennung dieses Namens auf diesem Pubset ausgewertet. Ggf. kann das Erzeugen von Dateien abgelehnt werden.

Festlegung von Zugriffsrechten für Benutzerkennungen für den Zugriff auf Dateien oder Jobvariablen

Die Festlegung von Zugriffsrechten für Benutzerkennungen für den Zugriff auf Dateien oder Jobvariablen ist immer abhängig von deren Zugehörigkeit zu einer Benutzergruppe auf dem Home-Pubset des aktuellen Systemlaufs.

Zusammenfassung

Die Benutzergruppenstruktur des Home-Pubset wird herangezogen, um Zugriffe auf Dateien oder Jobvariablen zu prüfen. Sie ist die allgemein gültige Benutzergruppenstruktur des aktuellen Systemlaufs.

Für Administrationszwecke können zusätzliche Benutzergruppenstrukturen auf Daten-Pubsets eingerichtet werden, um pubset-spezifische Attribute zu verwalten und Pubsets einzurichten und zu pflegen, die als Home-Pubsets eingesetzt werden sollen (Stand-by-Pubsets).

Ernennung/Absetzung eines Gruppenverwalters

Ein systemglobaler Benutzerverwalter oder ein hierarchisch übergeordneter Gruppenverwalter kann eine Benutzerkennung ’userid’ zum Gruppenverwalter ernennen mit dem
Kommando:

/add-user-group ..., group-administrator=userid [,adm-authority=...]

bzw.

/modify-user-group ...,group-administrator=userid [,adm-authority=...]

In einer bestehenden Gruppe wird eine andere Kennung zum Gruppenverwalter gemacht mit dem Kommando

/modify-user-group ...,group-administrator=userid

In einer bestehenden Gruppe wird ein Gruppenverwalter seines Amtes enthoben mit dem Kommando

/modify-user-group ...,group-administrator=*none