[comment]: # ({46adf407-46adf407})
# 3 Benutzergruppen

[comment]: # ({/46adf407-46adf407})

[comment]: # ({a3ed6ca5-f58db4c9})
#### Übersicht

Benutzergruppen ermöglichen es, Benutzer sowohl zu organisatorischen Zwecken als auch
zur Zuweisung von Berechtigungen für Daten zu gruppieren. Berechtigungen zum Anzeigen und Konfigurieren von Daten von Host-Gruppen und Vorlagen-Gruppen werden Benutzergruppen zugewiesen, nicht einzelnen Benutzern.

Es kann oft sinnvoll sein, zu trennen, welche Informationen für
eine Benutzergruppe verfügbar sind und welche für eine andere. Dies kann erreicht werden, indem Benutzer gruppiert und anschließend unterschiedliche Berechtigungen für Host- und Vorlagen-Gruppen zugewiesen werden.

Ein Benutzer kann beliebig vielen Gruppen angehören.

[comment]: # ({/a3ed6ca5-f58db4c9})

[comment]: # ({67897140-fe6bb4a1})
#### Konfiguration

So konfigurieren Sie eine Benutzergruppe:

-   Gehen Sie zu *Users → User groups*
-   Klicken Sie auf *Create user group* (oder auf den Gruppennamen, um eine
    vorhandene Gruppe zu bearbeiten)
-   Bearbeiten Sie die Gruppenattribute im Formular

Die Registerkarte **User group** enthält allgemeine Gruppenattribute:

![](../../../../assets/en/manual/config/user_group.png){width=600}

Alle Pflichtfelder sind mit einem roten Sternchen markiert.

|Parameter|Beschreibung|
|--|--------|
|*Group name*|Eindeutiger Gruppenname.|
|*Users*|Um Benutzer zur Gruppe hinzuzufügen, beginnen Sie mit der Eingabe des Namens eines vorhandenen Benutzers. Wenn die Dropdown-Liste mit passenden Benutzernamen angezeigt wird, scrollen Sie nach unten, um einen auszuwählen.<br>Alternativ können Sie auf die Schaltfläche *Select* klicken, um Benutzer in einem Popup auszuwählen.|
|*Frontend access*|Wie die Benutzer der Gruppe authentifiziert werden.<br>**System default** - Standard-Authentifizierungsmethode verwenden (global festgelegt [globally](/manual/web_interface/frontend_sections/users/authentication))<br>**Internal** - interne Zabbix-Authentifizierung verwenden (auch wenn global LDAP-Authentifizierung verwendet wird).<br>Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist.<br>**LDAP** - LDAP-Authentifizierung verwenden (auch wenn global interne Authentifizierung verwendet wird).<br>Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist.<br>**Disabled** - der Zugriff auf das Zabbix Frontend ist für diese Gruppe verboten|
|*LDAP server*|Wählen Sie aus, welcher [LDAP server](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) für die Authentifizierung des Benutzers verwendet werden soll.<br>Dieses Feld ist nur aktiviert, wenn *Frontend access* auf LDAP oder System default gesetzt ist.|
|*Multi-factor authentication*|Wählen Sie aus, welche Multi-Faktor-Authentifizierungsmethode [method](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) für die Authentifizierung des Benutzers verwendet werden soll:<br>**Default** - die in der MFA-Konfiguration als Standard festgelegte Methode verwenden; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA aktiviert ist;<br>**\<Method name\>** - die ausgewählte Methode verwenden (zum Beispiel "Zabbix TOTP");<br>**Disabled** - MFA ist für diese Gruppe deaktiviert; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA deaktiviert ist.<br>Beachten Sie: Wenn ein Benutzer mehreren Benutzergruppen mit aktivierter MFA angehört (oder mindestens eine Gruppe MFA aktiviert hat), gelten die folgenden Authentifizierungsregeln: Wenn eine beliebige Gruppe die MFA-Methode "Default" verwendet, wird diese zur Authentifizierung des Benutzers verwendet; andernfalls wird die erste Methode (alphabetisch sortiert) für die Authentifizierung verwendet.|
|*Enabled*|Status der Benutzergruppe und der Gruppenmitglieder.<br>*Checked* - Benutzergruppe und Benutzer sind aktiviert<br>*Unchecked* - Benutzergruppe und Benutzer sind deaktiviert|
|*Debug mode*|Aktivieren Sie dieses Kontrollkästchen, um den [debug mode](/manual/web_interface/debug_mode) für die Benutzer zu aktivieren.|

Die Registerkarte **Template permissions** ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Vorlagengruppen- (und damit Vorlagen-) Daten:

![](../../../../assets/en/manual/config/user_group_templates.png){width="600"}

Die Registerkarte **Host permissions** ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Hostgruppen- (und damit Host-) Daten:

![](../../../../assets/en/manual/config/user_group_hosts.png){width="600"}

Klicken Sie auf ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, um die Vorlagen-/Hostgruppen
(ob übergeordnete oder verschachtelte Gruppen) auszuwählen und ihnen Berechtigungen zuzuweisen. Beginnen Sie mit der Eingabe des Gruppennamens
(es wird eine Dropdown-Liste mit passenden Gruppen angezeigt) oder klicken Sie auf *Select*, um ein Popup-Fenster mit allen Gruppen zu öffnen.

Verwenden Sie dann die Optionsschaltflächen, um den ausgewählten Gruppen Berechtigungen zuzuweisen. Mögliche Berechtigungen sind:

-   **Read-write** - Lese- und Schreibzugriff auf eine Gruppe;
-   **Read** - Nur-Lesezugriff auf eine Gruppe;
-   **Deny** - Zugriff auf eine Gruppe verweigert.

Wenn dieselbe Vorlagen-/Hostgruppe in mehreren Zeilen mit unterschiedlichen Berechtigungen hinzugefügt wird, wird die strengste Berechtigung angewendet.

Beachten Sie, dass ein Benutzer mit der Rolle *Super admin* verschachtelte Gruppen auf dieselbe Berechtigungsstufe wie die übergeordnete Gruppe festlegen kann; dies kann im Konfigurationsformular der [host](/manual/config/hosts/host_groups)/[template](/manual/config/templates/template_groups)-Gruppe erfolgen.

Die Registerkarten **Template permissions** und **Host permissions** unterstützen denselben Parametersatz. 

Die aktuellen Berechtigungen für Gruppen werden im Block *Permissions* angezeigt und können dort geändert oder entfernt werden.

:::noteclassic
Wenn eine Benutzergruppe über **Read-write**-Berechtigungen für einen Host und **Deny** oder keine Berechtigungen für eine mit diesem Host verknüpfte Vorlage verfügt,
können die Benutzer dieser Gruppe die von Vorlagen stammenden Datenpunkte auf dem Host nicht bearbeiten, und der Vorlagenname wird
als *Inaccessible template* angezeigt.
:::

Die Registerkarte **Problem tag filter** ermöglicht das Festlegen von tagbasierten Berechtigungen für Benutzergruppen, um Probleme zu sehen, die nach Tag-Name und -Wert gefiltert werden:

![](../../../../assets/en/manual/config/user_group_tags.png){width=600}

Klicken Sie auf ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, um die Hostgruppen auszuwählen.
Um eine Hostgruppe auszuwählen, für die ein Tag-Filter angewendet werden soll, klicken Sie auf *Select*, um
die vollständige Liste der vorhandenen Hostgruppen anzuzeigen, oder beginnen Sie mit der Eingabe des Namens einer
Hostgruppe, um eine Dropdown-Liste mit passenden Gruppen zu erhalten. Es werden nur Hostgruppen angezeigt, da der Problem-Tag-Filter nicht auf Vorlagengruppen angewendet werden kann.

Anschließend können Sie von *All tags* zu *Tag list* wechseln, um bestimmte Tags und deren Werte für die Filterung festzulegen.
Tag-Namen ohne Werte können hinzugefügt werden, Werte ohne Namen jedoch nicht. Nur die ersten drei Tags (mit Werten, falls vorhanden)
werden im Block *Permissions* angezeigt; wenn es mehr sind, können sie durch Klicken auf oder durch Überfahren des Symbols ![](../../../../assets/en/manual/config/items/itemtypes/dependent_item_button.png){class="nozoom"} angezeigt werden.

Der Tag-Filter ermöglicht es, den Zugriff auf die Hostgruppe von der
Möglichkeit zu trennen, Probleme zu sehen.

Wenn beispielsweise ein Datenbankadministrator nur Datenbankprobleme von "MySQL"
sehen muss, ist es erforderlich, zunächst eine Benutzergruppe für Datenbankadministratoren zu erstellen und dann den Tag-Namen "target" und den Wert "mysql" anzugeben.

![](../../../../assets/en/manual/config/user_group_tag_filter_2.png){width=600}

Wenn der Tag-Name "target" angegeben ist und das Wertfeld leer bleibt,
sieht die Benutzergruppe alle Probleme mit dem Tag-Namen "target" für die ausgewählte Hostgruppe. 
Wenn *All tags* ausgewählt ist, sieht die Benutzergruppe alle
Probleme für die angegebene Hostgruppe. 

Stellen Sie sicher, dass Tag-Name und Tag-Wert
korrekt angegeben sind, andernfalls sieht die Benutzergruppe
keine Probleme.

Sehen wir uns ein Beispiel an, in dem ein Benutzer Mitglied mehrerer ausgewählter Benutzergruppen ist.
Die Filterung verwendet in diesem Fall eine ODER-Bedingung für Tags.

|   |   |   |   |   |   |   |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|Probleme mit target:mysql oder target:oracle sichtbar|
|Databases|set to: *All tags*|<|Databases|target|oracle|Alle Probleme sichtbar|
|Nicht in **Problem tag filter** konfiguriert|<|<|Databases|target|oracle|Probleme mit target:oracle sichtbar|

::: noteimportant
 Das Hinzufügen eines Filters (zum Beispiel alle Tags in einer
bestimmten Hostgruppe "Databases") führt dazu, dass die Probleme
anderer Hostgruppen nicht mehr sichtbar sind.
:::

[comment]: # ({/67897140-fe6bb4a1})

[comment]: # ({87142f2a-e74e2150})
#### Zugriff von mehreren Benutzergruppen

Ein Benutzer kann zu beliebig vielen Benutzergruppen gehören. Diese Gruppen können unterschiedliche Zugriffsberechtigungen auf Hosts oder Vorlagen haben.

Daher ist es wichtig zu wissen, auf welche Entitäten ein nicht privilegierter Benutzer letztlich zugreifen kann. Im folgenden Beispiel wird betrachtet, wie sich der Zugriff auf Host **X** (in Hostgruppe 1) in verschiedenen Situationen für einen Benutzer auswirkt, der in den Benutzergruppen A und B ist.

-   Wenn Gruppe A nur *Lesezugriff* auf Hostgruppe 1 hat, Gruppe B jedoch *Lese- und Schreibzugriff* auf Hostgruppe 1, erhält der Benutzer **Lese- und Schreibzugriff** auf 'X'.

::: noteimportant
Berechtigungen für *Lese- und Schreibzugriff* haben Vorrang vor
Berechtigungen für *Lesezugriff*.
:::

-   Im gleichen Szenario wie oben gilt: Wenn 'X' gleichzeitig auch in
    Hostgruppe 2 enthalten ist, die für Gruppe A oder B **verweigert** ist, ist der Zugriff auf 'X'
    **nicht verfügbar**, trotz *Lese- und Schreibzugriff* auf Hostgruppe 1.
-   Wenn für Gruppe A keine Berechtigungen definiert sind und Gruppe B *Lese- und Schreibzugriff* auf Hostgruppe 1 hat, erhält der Benutzer **Lese- und Schreibzugriff** auf 'X'.
-   Wenn Gruppe A *Verweigern*-Zugriff auf Hostgruppe 1 hat und Gruppe B
    *Lese- und Schreibzugriff* auf Hostgruppe 1 hat, wird der Zugriff auf 'X'
    **verweigert**.

[comment]: # ({/87142f2a-e74e2150})

[comment]: # ({59189b5a-931529bc})
#### Weitere Details

-   Ein Benutzer auf Admin-Ebene mit *Lese-/Schreibzugriff* auf einen Host kann keine Vorlagen verknüpfen/entknüpfen, wenn er keinen Zugriff auf die Vorlagengruppe hat, zu der sie gehören. Mit *Lesezugriff* auf die Vorlagengruppe kann er Vorlagen mit dem Host verknüpfen/entknüpfen, sieht jedoch keine Vorlagen in der Vorlagenliste und kann Vorlagen an anderen Stellen nicht verwenden.
-   Ein Benutzer auf Admin-Ebene mit *Lesezugriff* auf einen Host sieht den Host nicht in der Hostliste des Konfigurationsbereichs; die Auslöser des Hosts sind jedoch in der IT-Service-Konfiguration verfügbar.
-   Jeder Benutzer ohne Super-Admin-Rechte (einschließlich 'guest') kann Netzwerkpläne sehen, solange der Plan leer ist oder nur Bilder enthält. Wenn Hosts, Hostgruppen oder Auslöser zum Plan hinzugefügt werden, werden die Berechtigungen berücksichtigt.
-   Der Zabbix Server sendet keine Benachrichtigungen an Benutzer, die als Empfänger einer Aktionsoperation definiert sind, wenn der Zugriff auf den betreffenden Host ausdrücklich "verweigert" ist.

[comment]: # ({/59189b5a-931529bc})