Multi-User-Betrieb
Der Zugriff auf die LOGINventory-Datenbank ist parallel mit mehreren Nutzern möglich. Die Zugriffe können sowohl über die normale Installation, über die portable Version, als auch über den Web Viewer erfolgen. LOGINventory bietet ein Berechtigungskonzept und die Möglichkeit, einzelne Knoten, also Ordner oder Abfragen aus der Baumstruktur, für bestimmte Gruppen oder Nutzer freizugeben. Somit kann gewährleistet werden, dass nur berechtigte Personen Zugriff auf die für sie bestimmten Daten haben.
Berechtigungskonzept
In den Einstellungen können verschiedene Rollen vergeben werden. Dabei stehen folgende Rollen zur Verfügung:
Rolle | Funktion |
---|---|
Administratoren | Uneingeschränkter Zugriff, Freigabe von Datenknoten, Verwaltung der Benutzer Rollen und der Einstellungen |
Hauptbenutzer | Erstellen und Bearbeiten von Abfragen (Knoten), Bearbeiten von Daten |
Benutzer | Bearbeiten von Daten |
Gäste | Betrachten von Daten |
Achtung
Dies gilt nicht für die Zugangsdaten-Verwaltung. Wer das Master-Passwort kennt, kann auch die Zugangsdaten bearbeiten.
Hier können dann Benutzer oder Gruppen aus dem AD hinzugefügt werden und so die einzelnen Rollen vergeben werden. Bei Verwendung von Security Principals aus anderen Domains (via Cross-Forest-Trust) wird keine Schachtelung unterstützt. Das heißt, dass eine Globale Gruppe oder ein Account aus anderer Domain direkt bei den Rollen eingetragen werden muss; falls diese Mitglied einer Lokalen Gruppe ist, wird dies ignoriert.
Info
Falls keine Rollen angegeben werden, sind alle Benutzer automatisch Administratoren mit uneingeschränktem Zugriff!
Achtung
Achten Sie immer darauf, dass Sie sich selbst zur Rolle der Administratoren hinzufügen, falls Sie Rollen für andere Benutzer vergeben!
Über Management Center als anderer Benutzer starten können Sie testen, welche Daten andere Benutzer sehen können. Dafür müssen allerdings Knoten in der Baumstruktur freigegeben sein.
Tipp
Falls Sie möchten, dass Gäste ausschließlich die Daten der Abfragen sehen können, die für diese Nutzer freigegeben worden sind und via Doppelklick keine Details der Assets / User betrachtet werden können, dann muss dazu folgendes Setting in die LOGINventory.config
(zu finden unter C:\ProgramData\Login\LOGINventory\9.0
) eingefügt werden:
<setting name="HideDetailsForGuests">
<value>true</value>
</setting>
Freigeben von Knoten
Wenn Benutzer-Rollen aktiviert werden sollen, müssen entsprechende Freigaben auf Knoten im LOGINventory-Baum festgelegt werden.
Achtung
Wenn keine Knoten explizit in der Baumstruktur freigegeben werden, sehen Nicht-Administratoren keine Knoten in LOGINventory!
In den Einstellungen definierte Benutzer-Rollen geben an, welche Art von Zugriff auf die Datenbank die einzelnen Benutzer oder Gruppen haben (nur lesend, bearbeiten von Daten, …). Über Benutzer-Freigaben wird festgelegt, auf welche Daten Benutzer oder Gruppen Zugriff haben! Pro Benutzer oder Gruppe können auf einer Freigabe andere Rollen definiert werden. Werden keine Rollen zusätzlich definiert, gelten die Rollen aus der globalen Definition in der Konfiguration.
Um Knoten (Abfragen oder Ordner) freizugeben, können die Knoten-Eigenschaften über das Ribbon-Menü aufgerufen werden. Dann kann im Tab Freigabe definiert werden, welche Gruppe oder Benutzer welche Art von Zugriff auf diesen Knoten und alle darunterliegenden hat.
Hier können bei Rolle die geerbten Berechtigungen (von darüber liegenden Knoten oder aus den Einstellungen) überschrieben und somit neu definiert werden.
Info
Sollen alle Knoten für einen Nutzer freigegeben werden, kann dies über den Knoten Asset Management geschehen, da dieser oberhalb aller anderen Knoten liegt.
Wichtig
Die Option Freigabe im Rootknoten anzeigen sollte standardmäßig gewählt sein. Nur in Fällen, wenn die Berechtigungen auf einem Knoten, der unterhalb eines anderen freigegeben Knoten liegt, sich vom darüberliegenden unterscheiden soll, sollte der Haken entfernt werden.
Beispiel
Wenn Mitglieder der AD-Gruppe "Technik" lesenden Zugriff auf alle Knoten, bis auf den Ordner "Eigene Abfragen" (dort: Schreibrechte) haben sollen, dann wird für die Gruppe Technik beim Knoten "Asset Management" Zugriffsrecht "Gast" eingestellt und beim Knoten "Eigene Abfragen" das Zugriffsrecht "Hauptbenutzer". Damit der Knoten "Eigene Abfragen" nicht zusätzlich auf erster Ebene auftaucht, wird der Haken bei Freigabe im Rootknoten anzeigen entfernt.
Verwendung der Portablen LOGINventory-Version
Im Tab Extras im Ribbon-Menü kann das Portable LMC veröffentlicht werden. Diese Version ermöglicht es, auf anderen Windows-Computern die LOGINventory-Benutzeroberfläche zu verwenden, ohne dass LOGINventory installiert oder konfiguriert werden muss. Dazu kann die LOGINventory.exe der portablen Version aus dem freigegeben Ordner aufgerufen werden. Ein Verteilen ist nicht nötig.
Achtung
Diese Option ist im Ribbon-Menü nur verfügbar, wenn Sie mit der Maus auf dem Knoten "Asset Management" oder einem darunter liegenden Knoten stehen.
Dazu werden bei der Erstellung der Portablen Version alle notwendigen Konfigurations-Einstellungen und Daten in einem Verzeichnis abgelegt, in dem sich unter anderem eine LOGINventory.exe befindet.
Info
Diese .exe-Datei kann ohne Installation gestartet werden und stellt alle Funktionalitäten der installierten LOGINventory-Version mit Ausnahme der Änderung der Konfiguration und der Erfassungsmethoden zur Verfügung. Der Knoten Erfassung steht also nicht zur Verfügung. Außerdem können nur Benutzerspezifische Einstellungen geändert werden.
Hinweis
Zur Verwendung der portablen Version kann der entstandene Ordner für die entsprechenden Benutzer freigegeben werden. Direkt aus dem freigegebenen Verzeichnis kann dann die LOGINventory.exe aufgerufen werden. Es muss lediglich eine Verbindung vom Client-PC zum aktuellen Datenbank-Server möglich sein, damit die portable Version verwendet werden kann.
Der Netzwerkzugriff auf den LOGINventory Datenbank-Server muss korrekt konfiguriert sein. Beim Microsoft SQL Server Express kontrollieren Sie im SQL Server Configuration Manager, dass der Dienst „SQL Server Browser“ gestartet und das Protokoll „TCP/IP“ verfügbar ist.
Achtung
Falls eine aktualisierte Version von LOGINventory installiert wird, muss auch die portable Version manuell aktualisiert werden. Dazu kann der Wizard zur Erstellung der portablen Version einfach noch einmal durchlaufen werden.
Natürlich beachtet die portable Version auch das Rollen- und Berechtigungskonzept.
Web Viewer
Über den Web Viewer können Daten aus LOGINventory in einem Webbrowser angezeigt und teilweise auch editiert werden. Dazu stehen unterschiedliche Seiten für unterschiedliche Anwendungsfälle zur Verfügung:
- Asset-Details zu einem einzelnen Gerät sind über die Seite
details.aspx
also z.B. überhttp://loginventory-server/LOGINventory9/details.aspx
abrufbar. Diese Seite ermöglicht es neben der Ansicht von Details eines Geräts, die Übergabe des Geräts an einen Nutzer (inkl. Unterschrift) zu dokumentieren, eigene Eigenschaften von Geräten zu ändern und Lifecycle-Einträge zu hinterlegen. Die Seite ist responsive und damit auch für einen Aufruf via Smartphone geeignet. - User-Details zu einem einzelnen User sind über die Seite
user.aspx
also z.B. überhttp://loginventory-server/LOGINventory9/user.aspx
abrufbar. Jeder Nutzer (auch wenn er nicht im Berechtigungskonzept von LOGINventory bisher beachtet wurde) kann auf diese Seite gehen und dort einsehen, welche Assets ihm laut LOGINventory zugeordnet sind und welche Lifecycle-Einträge mit denen der User Account verlinkt ist. So kann jeder User prüfen, für den Empfang welcher Geräte er wann unterschrieben hat und ob die Rückgabe von Geräten korrekt in LOGINventory dokumentiert wurde. - die Web Console ermöglicht es durch die LOGINventory-Baumstruktur zu navigieren und dabei Abfragen und Dashboards im Lesezugriff anzuzeigen. Die Web Console ist über die Seite
default.aspx
, also z.B. überhttp://loginventory-server/LOGINventory9/default.aspx
(oder auch nurhttp://loginventory-server/LOGINventory9/
) abrufbar. Falls nur bestimmte Knoten für den aufrufenden Nutzer freigegeben wurden, kann dieser in der Web Console auch nur diese Knoten sehen. Von hier ist auch ein Export in verschiedene Formate (z.B. PDF, XLSX) möglich. Die Seite ist nicht-responsive und sollte daher von einem PC aus aufgerufen werden.
Info
Die beiden Detail-Seiten können von jedem User mit Hauptbenutzer- oder Administrator-Rechten aufgerufen werden (siehe Berechtigungskonzept). Die Web Console kann auch von Nutzern mit Benutzer- oder Gast-Rechten aufgerufen werden. Diese sehen aber nur dann Knoten in der Baumstruktur, wenn diese auch entsprechend für die Nutzer freigegeben wurden.
Von der Web Console kann auch direkt zur Asset-Details-Seite gesprungen werden, wenn vorher ein entsprechendes Asset angewählt wurde.
Info
Mit der Web Console können keine Abfragen erstellt oder bearbeitet werden. Falls Sie dies von einem anderen Rechner aus beabsichtigen zu tun, verwenden Sie die portable Version!
Alle Seiten unterstützen den parametrisierten Aufruf, sodass direkt zu einzelnen Geräten, Usern oder Abfragen gesprungen werden kann. Mehr Informationen dazu unten.
Vorbereitung
Zur Veröffentlichung werden die Internet Information Services (IIS) auf dem LOGINventory-Rechner benötigt.
Um die nötigen Rollen / Features hinzuzufügen, können Sie auf Windows Server Systemen z.B. über den Server Manager die Option zum Hinzufügen von Rollen wählen.
Bei Windows Client Betriebssystem gelangen Sie zu diesem Dialog, indem Sie z.B. über die Systemsteuerung via Programme zu Windows-Funktionen aktivieren oder deaktivieren wechseln.
Wählen Sie dann die Rolle Webserver (IIS) (je nach Betriebssystem-Version auch "Internetinformationsdienste") aus.
Schalten Sie zusätzlich folgende Optionen hinzu, bzw. stellen Sie sicher, dass diese ausgewählt sind:
- Allgemeine HTTP-Features → Statischer Inhalt (Common HTTP Features → Static Content)
- Sicherheit → Standardauthentifizierung (Security → Basic Authentication) (optional: erlaubt Benutzung von Browsern, die keine Windows-Authentifizierung unterstützen)
- Sicherheit → Windows-Authentifizierung (Security → Windows Authentication) (Nutzung der Windows Authentifizierung durch den Webbrowser)
- Anwendungsentwicklungsfeatures → ASP.NET 4.X (Application Development → ASP.NET 4.X)
Die Konfiguration der Web-Applikation erfolgt über den IIS-Manager. Starten Sie diesen z.B. über Ausführen von inetmgr
.
Konfiguration
Über den Internetinformationsdienste (IIS)-Manager (zu finden über das Start-Menü -> Suche nach "IIS") kann die veröffentlichte Website konfiguriert werden. Insbesondere die Einstellungen bei der Authentifizierung sollten nur von erfahrenen Nutzern geändert werden, die wissen was Sie tun. Standardmäßig sind hier die folgenden Einstellungen vorgenommen:
Name | Status |
---|---|
Anonyme Authentifizierung | Deaktiviert |
ASP.NET-Identitätswechsel | Deaktiviert |
Formularauthentifizierung | Deaktiviert |
Standardauthentifizierung | Deaktiviert |
Windows-Authentifizierung | Aktiviert |
Wichtig
Nur bei diesen Einstellungen ist gewährleistet, dass das Berechtigungskonzept beachtet wird und die User nur die für sie freigegeben Knoten sehen können.
Veröffentlichung
Im Tab Extras im Ribbon-Menü kann der Web Viewer veröffentlicht werden.
Im sich öffnenden Wizard können dann verschiedene Einstellungen vorgenommen werden.
Falls die erforderlichen Features auf dem Server hinzugefügt wurden, kann über Jetzt veröffentlichen eine neue Applikation im IIS-Manager angelegt werden. Wir empfehlen, die Standard-Einstellungen für Webseite, Applikation und Verzeichnis zu verwenden.
Über das Browser-Symbol kann nach der Veröffentlichung die Website aufgerufen und die Funktionsweise getestet werden.
Manuelle Konfiguration
Falls Sie während der Installation des Web Viewers nicht den vorgegebenen Installationspfad gewählt haben, müssen Sie eine neue Web-Applikation hinzufügen, der Sie ggf. den Applikation-Pool zuordnen.
Falls Sie während der Veröffentlichung *Kopiere nur die Dateien* wählen, müssen Sie das virtuelle Standard-Verzeichnis noch in eine „Anwendung“ im IIS-Manager konvertieren.
- Wählen Sie mit der rechten Maustaste die Webseite „LOGINventory9“ an und nutzen Sie die Funktion „In Anwendung konvertieren“
- Bestätigen Sie die Einstellung mit „OK“
Auf der nächsten Seite im Wizard stehen verschiedene wichtige Einstellungen für den Produktiv-Betrieb und die dauerhafte Erreichbarkeit der verwendeten URLs zur Verfügung.
Einrichtung des Alias / CNAME
Achtung
Für den Produktiv-Betrieb empfehlen wir dringend anstatt des Hostnames in der verwendeten URLs für den Web Viewer (z.B. Aufruf des Webinterface von Drittprogrammen, Druck von Etiketten) einen Alias bzw. CNAME zu verwenden.
Falls die LOGINventory-Installation jemals auf einen anderen Rechner umgezogen wird, müssten sonst alle Etiketten neu gedruckt werden, oder alle aufrufenden Programme angepasst werden. Dies kann einfach vermieden werden, indem in der URL anstatt des Rechner-Namens ein CNAME bzw. Alias verwendet wird.
So ist der Web Viewer dann z.B. anstatt unter http://server01/LOGINventory
unter http://my-loginventory/LOGINventory
erreichbar.
Dazu muss im DNS ein entsprechender CNAME-Eintrag gesetzt werden. Wählen Sie hier einen der auf diesen Rechner aktuell verweisenden Aliase aus, oder geben Sie hier den neuen CNAME ein, der vom verantwortlichen Administrator noch angelegt wird.
Ein CNAME kann im DNS z.B. wie folgt definiert werden:
Daraufhin kann dieser Eintrag im Wizard ausgewählt werden:
Info
Da der verwendete CNAME im Produktivbetrieb im Nachgang nicht mehr angepasst werden sollte, ist die Option zum nachträglichen Anpassen ausgegraut und kann nur durch Druck von STRG
+ E
erneut editiert werden. Dies sollten Sie jedoch nur tun, wenn Sie sich der Konsequenzen bewusst sind.
Wichtig
Falls Sie https
zum Aufruf der Webseite verwenden möchten, müssen Sie selbst sicherstellen, dass ein Zertifikat auf dem Server installiert und ein Binding in der Web-Server-Konfiguration eingerichtet wurde. Falls Sie dies nicht tun, wird die Webseite nicht via https
erreichbar sein.
Umleitung auf diese Version Einrichten
Da auf einer Maschine parallel unterschiedliche Hauptversionen von LOGINventory installiert sein können, wird standardmäßig für jede Version eine eigene versionsspezifische Applikation im IIS-Manager angelegt.
Achtung
Damit im Falle eines Updates der Hauptversion (z.B. Umstieg von LOGINventory9 auf LOGINventory10) nicht alle Etiketten neugedruckt oder alle aufrufenden Programme angepasst werden müssen, empfehlen wir dringend anstatt einer versionsspezifischen URL eine versionsunabhängige zu verwenden.
Dies kann leicht durch Einrichten einer Umleitungsregel erreicht werden, sodass alle Aufrufe von .../LOGINventory/...
zu .../LOGINventory9/...
umgeleitet werden.
Die Einrichtung einer solchen Umleitungsregel ist durch Klick auf den entsprechenden Button möglich.
Da es sich bei der Umleitungsregel (URL Rewriting) nicht um ein Standard-Feature des IIS handelt, muss dieses unter Umständen nach-installiert werden. Dazu lädt der Wizard das Setup für dieses Feature aus dem Internet herunter und führt es aus. Falls der Rechner über keine Internetverbindung verfügt, wird die Adresse des Downloads angezeigt. Der Download kann dann auf einer anderen Maschine ausgeführt und das Setup auf den LOGINventory-Rechner kopiert werden. In jedem Fall kann beim Setup des IIS Rewrite Moduls die Standardkonfiguration verwendet werden.
Wenn das Modul installiert ist, kann über Klick auf den Button die entsprechende Umleitungsregel angelegt werden:
Jetzt ist auch im Wizard sichtbar, welche Umleitungsregel aktuell aktiv ist.
Tipp
So kann beim Umstieg auf eine neue Hauptversion zunächst das Upgrade getestet und alle benötigten Einstellungen vorgenommen werden, bevor durch ein Anpassen der Regel "der Schalter umgelegt wird" und alle Aufrufe der URLs auf die neu installierte Version zeigen.
Fazit
Auf der abschließenden Seite wird die URL angezeigt, unter welcher der Web Viewer jetzt erreichbar ist.
Durch Anfügen von /details.aspx
an diese Adresse öffnet sich eine Webseite mit Suchfenster. Von hier aus kann zu den Detail-Seiten der jeweiligen Geräte gesprungen werden.
Verwendung
Die Verwendung der Asset-Details- und User-Details-Seite ist ausführlich bei der Dokumentation der Ausgabe und Rücknahme von Geräten erklärt.
In der Web Console sind über die Default-Seite (siehe oben) alle Datenansichten von Abfragen und Dashboards verfügbar und es auch der Export der Daten in verschiedene Formate wird unterstützt.
Tipp
Mit Hilfe der URL-Erweiterung ?pcuid=RECHNERNAME
kann direkt zu einzelnen Geräten gesprungen werden. Dies ist z.B. hilfreich, falls LOGINventory von anderen Programmen aus aufgerufen werden soll.
?node=KNOTENPFAD
direkt auf eine Abfrage gesprungen werden. Für den Knotenpfad wird dabei folgende Syntax verwendet: Das $
-Zeichen gilt als Trennzeichen für Unterordner, ein Leerzeichen wird durch ein +
ersetzt und es wird stets der englische Knotenname verwendet. So ist z.B. der Pfad zum Knoten "Software" -> "Software Pakete" ?node=root$IT+Inventory$Software$Software+Packages
.Damit es leichter ist, den richtigen Link zu finden, kann auf den Text "Link zu diesen Knoten" geklickt werden, dann wird der vollständige verlinkbare Pfad in der Browser-Adresszeile angezeigt.