Die Vergabe der Berechtigungen zur Benutzerverwaltung im Rechenzentrum orientiert sich an der Auslastung der Anlage, am Anwendungsspektrum und an der Sicherheitspolitik des RZ-Betriebs. Deshalb werden die wichtigsten Einflussfaktoren für die Organisation der Benutzerverwaltung wie folgt zusammengefasst:

• Ein systemglobaler Benutzerverwalter ist für alle Benutzerkennungen und Benutzergruppen auf allen Pubsets uneingeschränkt verwaltungsberechtigt. Geltende (hierarchisch gestaffelte) Vorgaben und Maximalwerte können bei der Festlegung von Gruppenpotentialen außer Kraft gesetzt oder übergangen werden.

• Die Benutzergruppenstruktur ist jeweils für einen Pubset festgelegt, kann also von Pubset zu Pubset verschieden sein. Auf jedem Pubset ist die Benutzergruppe *UNIVERSAL die Wurzel der jeweiligen Benutzergruppenstruktur.

• Im Unterschied zu einem systemglobalen Benutzerverwalter besitzt ein Gruppenverwalter der Benutzergruppe *UNIVERSAL nur auf dem zugehörigen Pubset die Berechtigung zur Verwaltung aller Benutzerkennungen und Benutzergruppen entsprechend dem Gruppenverwaltungsrecht in der Ausprägung MANAGE-GROUPS. Obwohl die Benutzergruppe *UNIVERSAL unbegrenzte Ressourcen besitzt, ist ein Gruppenverwalter von *UNIVERSAL verpflichtet, die Regeln für den Gruppenverwalter zu beachten und Änderungen unter Wahrung einer jeweils in sich geschlossenen und abgestimmten Benutzergruppenstruktur vorzunehmen. Eine Verwaltung im direkten Zugriff wie bei einem systemglobalen Benutzerverwalter ist demnach nicht gegeben.

• Die Ernennung einer Benutzerkennung zum Gruppenverwalter einer Benutzergruppe kann von Pubset zu Pubset verschieden ausfallen, abhängig davon, ob die Benutzerkennung überhaupt auf dem Pubset eingetragen bzw. wie die Benutzergruppe in der jeweiligen Benutzergruppenstruktur angeordnet ist.

• Jeder Gruppenverwalter einer hierarchisch übergeordneten Gruppe ist auch Gruppenverwalter einer hierarchisch niedrigeren Gruppe. Dies bedeutet, dass ein Gruppenverwalter nicht notwendigerweise auch Gruppenmitglied der verwalteten Gruppe sein muss. So kann es Gruppen geben, von denen kein Mitglied Gruppenverwalter ist.

• Ein Gruppenverwalter hat stets die Vorgaben der zugehörigen übergeordneten Benutzergruppe bzw. zugehörigen Benutzergruppe zu beachten. Bei der Änderung der Benutzergruppenstruktur, der Zuordnung von Benutzerkennungen zu
  Benutzergruppen oder der Verteilung des Gruppenpotentials hat er ggf. erst sukzessive in der über- bzw. untergeordneten Benutzergruppenstruktur Anpassungen vorzunehmen, um die beabsichtigte Verwaltungsmaßnahme überhaupt durchführen zu können.

• Mit dem Gruppenverwalterrecht in der Ausprägung MANAGE-MEMBERS werden die Zugangskontrolldaten für Benutzerkennungen festgelegt. Mit dem
  Gruppenverwalterrecht in der Ausprägung MANAGE-RESOURCES können nur allgemeine Benutzerrechte (Ressourcen, Nutzungsrechte etc.) verwaltet werden.

• Für die Festlegung des Gruppenpotentials sind Vorgaben und Maximalwerte für allgemeine Benutzerrechte auf dem jeweiligen Pubset ebenso hierarchisch gliederbar wie die Benutzergruppenstruktur. Auf dem Home-Pubset wird festgelegt, welche Nutzungsberechtigung bzw. Vorgaben und Maximalwerte einer Benutzerkennung nach LOGON zugeordnet werden. Eine ggf. missbräuchliche Nutzung von Systemfunktionen und Systemressourcen kann mit dem Gruppenverwalterrecht in der Ausprägung MANAGE-RESOURCES durch entsprechend abgestufte Vorgaben und Maximalwerte verhindert werden.

• Das Konzept der Benutzerverwaltung hat zum Ziel – entsprechend den jeweiligen Erfordernissen – Benutzerkennungen und Benutzergruppen zu organisieren und zugehörige Gruppenverwalter zu ernennen. Auf Grund des weiten Einflussbereiches eines systemglobalen Benutzerverwalters empfiehlt es sich, dessen Eingriffe auf notwendige, ggf. kurzzeitige Korrekturen zu beschränken. Eingriffe mit einer längeren Geltungsdauer sollten in einer abgestimmten Weise in der Benutzergruppenstruktur vorgenommen werden.

• Besonders durch, jeweils pubset-bezogen, unterschiedliche Gruppenverwalter der Benutzergruppe *UNIVERSAL lässt sich ein zentrales und geregeltes
  Benutzerverwaltungskonzept realisieren.

• Aus organisatorischen Gründen kann es sinnvoll sein, eine Benutzerkennung als systemglobalen Benutzerverwalter auf mehreren Pubsets einzutragen, die nicht Home-Pubset sind. Eine solche Benutzerkennung ist erst dann verwaltungsberechtigt, wenn einer dieser Pubsets zum Home-Pubset wird.

Rechte für die Benutzerverwaltung können in folgenden Abstufungen vergeben werden:

1. Systemglobaler Benutzerverwalter. Dieses Recht muss auf dem Home-Pubset eingetragen sein.

2. Gruppenverwalter der Benutzergruppe *UNIVERSAL mit gemeinsamen Benutzerkennungen auf allen Pubsets.

3. Gruppenverwalter der Benutzergruppe *UNIVERSAL mit pubset-bezogen unterschiedlichen, nur bedingt gemeinsamen Benutzerkennungen.

4. Gruppenverwalter für ausgewählte Benutzergruppen auf einem oder mehreren Pubsets (abhängig von der Benutzergruppenstruktur) als zentraler Gruppenverwalter mit dem Gruppenverwalterrecht in der Ausprägung MANAGE-GROUPS für eine Teilstruktur der Benutzergruppenstruktur.

5. Gruppenverwalter für ausgewählte Benutzergruppen auf einem oder mehreren Pubsets (abhängig von der Benutzergruppenstruktur) als zentraler Gruppenverwalter mit dem Gruppenverwalterrecht in der Ausprägung MANAGE-MEMBERS für eine Teilstruktur der Benutzergruppenstruktur.

6. Gruppenverwalter für ausgewählte Benutzergruppen auf einem oder mehreren Pubsets (abhängig von der Benutzergruppenstruktur) als Gruppenverwalter mit dem Gruppenverwalterrecht in der Ausprägung MANAGE-RESOURCES für eine Teilstruktur der Benutzergruppenstruktur.