Als Erweiterung des IDM bietet Grouper allen Eigentümern einer Organisationseinheit die Möglichkeit, eigenständig eigene Gruppen anzulegen und zu verwalten. Diese Gruppen stehen dann zur individuellen Rechtevergabe in diversen Zielsystemen zur Verfügung.

Den Login-Link finden Sie hier: Anmeldung

In der Zentralen Universitätsverwaltung wird Grouper für das Management der Berechtigungen der Gruppenlaufwerke O: und S: verwendet.

Bisher wurden auf dem Fileserver der Zentralen Universitätsverwaltung (o: und s: Laufwerk) die Zugriffsberechtigungen über Gruppenmitgliedschaften und individuellen Benutzerrechten realisiert. Die Gruppen wurden vom kiz gepflegt, die individuellen Berechtigungen von den Beschäftigten der ZUV.

Mit der Einführung von Grouper haben die Beschäftigten der ZUV selbst die Möglichkeit Gruppenmitgliedschaften zu pflegen. Zugriffsberechtigungen auf Ordner werden ausschließlich über Gruppen geregelt. Individuelle Benutzerrechte werden abgeschafft.

• Initial werden die Dezernats- und Abteilungsleitenden aus dem IDM übernommen. Alle anderen Beschäftigten müssen explizit in die Gruppen aufgenommen werden.
• Die Verwaltung der Gruppen kann an Beschäftigte der ZUV delegiert werden.
• Für jede Abteilung gibt es Ansprechpartner, die Beschäftigte in die gewünschte Gruppe aufnehmen können. Die Ansprechpartner stehen in der Datei Berechtigungen.txt, die auf dem File-Server auf der Ebene der Abteilungsordnern oder in den Abteilungsordnern steht.
• Für jeden dieser Ordner steht eine Gruppe in Grouper zur Verfügung.
• Neue Ordner und die dazugehörigen Gruppen können bei Bedarf über ein Ticket angefordert werden. Dazu ist nur die Dezernatsleitung berechtigt.
• In allen Ordnern, in denen eine Datei Berechtigungen.txt steht, gibt es nur Lese-Rechte. Nur Administratoren dürfen schreiben.
• In den Abteilungsordnern haben i.d.R die Mitglieder der Berechtigten Gruppe Schreib-Lese-Rechte. Ausnahmen, wie o:\zuv\Allgemein\bilder, stehen in der Datei Berechtigungen.txt. In diesem Fall dürfen alle lesen.
• Ordner, deren Inhalt von allen gelesen werden kann, enthalten die Datei hier-kann-JEDER-lesen.txt.
• Die Verwaltenden einer Gruppe sind dafür verantwortlich, dass Mitglieder, die keinen Ordner-Zugriff mehr haben dürfen, aus den entsprechenden Gruppen entfernt werden.
• Nach dem Verlassen der Universität wird ein Benutzer nach einer gewissen Zeit automatisch gelöscht. Damit erlöschen auch seine Gruppenberechtigungen.
• Bei einem Arbeitsplatzwechsel innerhalb der Universität bleibt die Gruppenmitgliedschaft erhalten! Hier muss manuell eingegriffen werden.
• Gruppenmitgliedschaften können zeitlich befristet vergeben werden. Das bietet sich bei Auszubildenden und Studentischen Hilfskräften an.

Um auf die Inhalte der Ordner unterhalb der Ebene o:\zuv\DezX\ zugreifen zu können, ist eine Mitgliedschaft in der entsprechenden Gruppe notwendig. Nachfolgend wird beschrieben, wie Beschäftigte in Gruppen aufgenommen werden und wie die Einrichtungsleitenden (i.d.R Dezernentinnen und Dezernenten) die Gruppenverwaltung delegieren können.

Die zur Verfügung stehenden Gruppen sind in Grouper im linken Bereich unter org → Zentrale Universitätsverwaltung → Dezernat…→ Abteilung…→ app → Fileserver zu finden. Die Organisationsstruktur in Grouper kann von der Ordnerstruktur auf dem File-Server abweichen. Wählen Sie Ihre Organisationseinheit und Ihre Abteilung. Hier ein Beispiel aus Dezernat I.

Für die Abteilung 1 des Dezernats I gibt es die Gruppen Abt1-1 und I-1-Career-Service. Für alle Ordner mit beschränktem Zugriff, gibt es eine korrespondierende Gruppe in Grouper. Im Beispiel oben wäre das die Gruppe I-1-Career-Service die dem Ordner \\cifs.verwaltung.uni-ulm.de\public\zuv\Dez1\I-1-Career-Service zugeordnet ist (\\cifs.verwaltung.uni-ulm.de\public wird auf dem Arbeitsplatzrechners durch o: substituiert). Der Gruppe Abt1-1 ist der Ordner \\cifs.verwaltung.uni-ulm.de\public\zuv\Dez1\Abt1-1 zugeordnet. Alle darunterliegenden Ordner um Dateien erben die Berechtigungen.

Klicken Sie auf die gewünschte Gruppe z.B. I-1-Career-Service

Um neue Mitglieder in eine Gruppe aufzunehmen, klicken Sie auf die Schaltfläche +Add members . Geben Sie hinter Member name or ID Name oder den kiz Benutzernamen an. Eventuell werden mehrere Namen angezeigt. Es kann von Vorteil sein den kiz Benutzernamen anzugeben, da dieser eindeutig ist. Hinter Start date und End date kann Anfang und Ende des Zeitraums der Gruppenmitgliedschaft angegeben werden. Mit der Schaltfläche Add fügen Sie das Mitglied der Gruppe hinzu und schließen den Vorgang ab.

Der Name des ausgewählten Mitglieds wird in der Spalte Entity name angezeigt.

Auch nach dem Hinzufügen von Mitgliedern kann die Gruppenmitgliedschaft zeitlich begrenzt werden. Klicken Sie auf Actiones und Edit membership and privileges.

Geben Sie Start date und End date im Datumsformat JJJJ/MM/TT HH:MM an.

Mit Save werden die Angaben übernommen. In der Standardeinstellung werden nur aktive Gruppenmitglieder angezeigt. Sollte das Start date in der Zukunft liegen, verschwindet der Eintrag aus der Liste, taucht aber beim Erreichen das Datums wieder auf.

Mit einer speziellen Einstellung können auch inaktive Gruppenmitglieder eingeblendet werden. Klicken Sie dazu auf Advanced.

Wählen Sie dann die Einstellung Enable /disable status. Mit Apply filter wird die Einstellung übernommen und es werden auch inaktive Mitglieder angezeigt.

Es erscheint das Anfangs- und Endedatum der Gruppenmitgliedschaft. Diese Anzeigeeinstellung ist nicht dauerhaft.

Initial werden nur die Dezernats- und Abteilungsleitenden aus dem IDM übernommen. Die Dezernatsleitenden können weitere Gruppenverwaltende bestimmen. Dazu müssen die Dezernatsleitenden die dafür bestimmten Beschäftigten, wie oben beschrieben, in die Gruppe abtXAdmins aufnehmen. X steht für die Abteilung des Dezernats.

Sollen Gruppenverwaltende für alle Gruppen eines Dezernats zuständig sein, müssen die Verwaltenden auf Dezernatsebene in die Gruppe dezXAdmins aufgenommen werden.

Es ist auch möglich Gruppenverwaltende nur für eine bestimmte Gruppe zu bestimmen. Dazu muss die Gruppe ausgewählt werden und auf die Schaltfläche Privileges geklickt werden. Dann +Add members . Geben Sie hinter Member name or ID: Name oder den kiz Benutzernamen an, der die Gruppe verwalten soll. Es kann auch eine Gruppe angegeben werden.

Hinter Assign these privileges: können die Berechtigungen ausgewählt werden. Normalerweise reichen UPDATE und READ.

Mit Add werden die Einstellungen übernommen.

Setzen Sie dazu den Haken vor dem Namen des Mitglieds und klicken Sie Remove selected members.

Zuerst müssen Sie im linken Bereich unter Browse folders den Folder öffnen, unter dem Sie die neue Gruppe anlegen möchten. Klicken Sie dann More actions und Create new Group.

Geben Sie hinter Group name den Namen der neuen Gruppe an. Hinter Description kann eine Beschreibung der Gruppe eingetragen werden.

Mit Save wird der Vorgang abgeschlossen.

Für jede Grouper-Gruppe wird automatisch ein Online-Kalender angelegt. Der kann dann in SOGo oder Thunderbird abonniert werden. Dazu in SOGo auf das + Zeichen hinter Abonnements klicken und den Namen des Kalenders eingeben. Der Kalender heißt wie die Grouper-Gruppe. Die Mitglieder der Grouper-Gruppe sind die Verwalter des Kalenders. Eine Zuordnung zu einem bestimmten Benutzer gibt es hier nicht.

Kann eine Gruppe in eine Andere aufgenommen werden?
Ja, das geht. Man könnte die Gruppe DezX-Leitung in alle anderen Gruppen des Dezernats X aufnehmen. Dann haben alle Mitglieder von DezX-Leitung die Berechtigungen, die die Gruppen haben, in denen DezX-Leitung Mitglied ist. Damit kann man vermeiden, dass neue Mitglieder die umfassenden Zugriff benötigen, in alle relevanten Gruppen einzeln aufgenommen werden müssen.

Kann man die Gruppen, die unter app → Fileserver erscheinen, auch für andere Services wie z.B. Cloudstore verwenden?
Nein, diese Gruppen können nur für den Fileserver verwandet werden.

Was ist der Unterschied zwischen direct und indirect Member?
Mitglieder einer Gruppe können Personen aber auch andere Gruppen sein! Ein direct Member ist eine Person, die Mitglied der aktuellen Gruppe ist. Ein indirect Member ist eine Person, die Mitglied einer anderen Gruppe ist, welche wiederum Mitglied der aktuellen Gruppe ist.

Wie kann ich sehen, in welchen Gruppen ich Mitglied bin und welche Gruppen ich verwalten darf?
Klicken Sie dazu links oben unter Quick links auf My Groups. Sie erhalten dann rechts die Schaltflächen Groups I manage und My memberships. Klicken Sie auf diese Schaltflächen um zu sehen, in welchen Gruppen Sie Mitglied sind bzw. welche Gruppen Sie verwalten dürfen.

Wie kann ich sehen, in welchen Foldern und Gruppen ein Mitarbeitender Mitglied ist?
Geben Sie dazu rechts oben im Suchfeld den Namen oder besser den kiz-Benutzernamen der betreffenden Person ein und betätigen Sie anschließend die Enter-Taste. Sie erhalten eine Liste mit den Namen, die dem Suchkriterium entsprechen. Klicken Sie dann auf den gewünschten Namen. Es werden die relevanten Folder und Gruppen angezeigt. Hier werden auch Folder und Gruppen angezeigt, die nichts mit dem Fileserver zu tun haben. Gruppen, die auf den Fileserver bezogen sind, enthalten im zugehörigem Folderpfad Fileserver. Um das zu erkennen, bewegen Sie die Maus auf die gewünschte Gruppe. Es erscheint eine Messagebox mit dem Folderpfad.