# Verzeichnisse für Benutzer- und Gruppenverwaltung

Verzeichnisse ermöglichen es Organisationen, die Verwaltung von Benutzern und Gruppen in abgegrenzte Container zu unterteilen. Jedes Verzeichnis kann eine Teilmenge der Benutzer oder Benutzergruppen einer Organisation enthalten (sowohl Command-Benutzergruppen als auch Benutzergruppen der Zugriffskontrolle).

Diese Struktur ermöglicht es Organisationen, die Benutzerverwaltung an regionale oder funktionale Administratoren zu delegieren, ohne organisationsweite Berechtigungen zu vergeben. Ein Administrator, der beispielsweise den Kartenzugang für das Büro in San Francisco verwaltet, kann auf das „SF-Verzeichnis“ beschränkt werden.

***

## Verzeichnisse in Command

Verzeichnisse ermöglichen es Organisationen, die Verwaltung von Benutzern und Gruppen zu segmentieren und bieten Kontrolle über Berechtigungen, Sichtbarkeit und administrativen Umfang. Mit Verzeichnissen können Sie:

* Berechtigungen zum Anzeigen, Bearbeiten oder Erstellen von Benutzern und Gruppen auf ein bestimmtes Verzeichnis beschränken.
* Administratoren der Zugriffskontrolle ermöglichen, Benutzer, Zugriffsgruppen und Zugangsdaten für einen Standort zu verwalten, ohne andere Standorte zu beeinflussen.
* Sichtbarkeit und Bearbeitungsrechte so einschränken, dass Administratoren mit Verzeichnisumfang nur für Benutzer und Gruppen innerhalb ihres zugewiesenen Verzeichnisses handeln können.
* Optional alle Benutzer und Gruppen außerhalb des zugewiesenen Verzeichnisses eines Administrators ausblenden.

### Verzeichnisse organisieren

Organisationen können vorhandene Benutzer und Gruppen in ein Verzeichnis verschieben oder neue direkt innerhalb eines Verzeichnisses erstellen. Benutzer und Gruppen werden von Global, dem organisationsweiten Container, in einzelne Verzeichnisse organisiert.

### Global

Global enthält standardmäßig alle Benutzer und Gruppen. Nur Rollen, die auf organisationsweiter Ebene vergeben werden, bieten administrative Kontrolle über Global und alle Verzeichnisse. SCIM-synchronisierte Benutzer werden mit Global synchronisiert, und Gruppen auf Global-Ebene können als Quellen für Zuweisungen über Verzeichnisse hinweg dienen.

### Verzeichnis

Ein Verzeichnis ist ein logischer Container für Benutzer und Gruppen innerhalb einer Organisation. Es wird typischerweise verwendet, um Standorte, Regionen, Campusse, Geschäftseinheiten oder Tenants darzustellen und ermöglicht eine Verwaltung mit begrenztem Umfang.

Verzeichnisse können:

* eine Teilmenge von Benutzern und Gruppen enthalten (Command- und Zugriffskontrollgruppen).
* nur unter Global existieren (Verschachtelung wird nicht unterstützt).
* unabhängig über rollenbasierte Verzeichniszugriffe verwaltet werden.
* sich automatisch mit Benutzern und Gruppen über SCIM-Synchronisierung oder vorhandene Command-/Zugriffskontrollgruppen füllen.
* sich automatisch aktualisieren, wenn Benutzer zu synchronisierten oder Quellgruppen hinzugefügt oder daraus entfernt werden.
* optional die Sichtbarkeit einschränken, sodass Administratoren mit Verzeichnisumfang nur Benutzer und Gruppen innerhalb ihres Verzeichnisses sehen.

***

## Verzeichnisse verwalten

### Benutzer

* Benutzer können Mitglieder eines oder mehrerer Verzeichnisse sein.
* Benutzer, die in einem Verzeichnis erstellt oder diesem hinzugefügt werden, bleiben weiterhin in Global enthalten.
* SCIM-synchronisierte Benutzer werden standardmäßig immer in Global platziert.

### Gruppen

Wie Benutzer können auch Gruppen (sowohl Command-Gruppen als auch Zugriffskontrollgruppen) in Verzeichnisse platziert werden.

* Jede Gruppe kann nur in einem Verzeichnis existieren.
* Eine Gruppe kann nur Benutzer enthalten, die demselben Verzeichnis angehören.
* Gruppen sind auf ihr Verzeichnis beschränkt und können in anderen Verzeichnissen nicht referenziert werden.
* Gruppen können mithilfe von SCIM-synchronisierten Gruppen oder vorhandenen Command-/Zugriffskontrollgruppen als Zuweisungsquellen automatisch befüllt werden, sodass die Mitgliedschaft ohne manuelle Änderungen aktuell bleibt.

***

## Rollen und Berechtigungen

Benutzerverwaltungsberechtigungen in Verkada werden über Command-Rollen und Access-User-Management-Rollen vergeben.

Standardmäßig gewähren diese Rollen Berechtigungen für alle Benutzer, Command-Gruppen und Zugriffsgruppen in der gesamten Organisation. Mit Verzeichnissen können diese Rollen optional auf ein bestimmtes Verzeichnis beschränkt werden.

Die organisationsweite Version dieser Rollen bleibt weiterhin verfügbar. Wenn einem Benutzer eine organisationsweite Rolle zugewiesen wird, erhält er Berechtigungen für alle Benutzer und Gruppen in Global und in allen Verzeichnissen.

Benutzer, denen vor der Aktivierung von Verzeichnissen eine dieser Rollen zugewiesen war, behalten automatisch die organisationsweite Version der Rolle.

### Verzeichnisspezifische Rollen und Berechtigungen

| Rolle                           | Umfang            | Wichtige Benutzerverwaltungsberechtigungen                                                                                                                                                                                                               |
| ------------------------------- | ----------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Org-Admin**                   | Organisationsweit | Verzeichnisse erstellen und löschen. Alle Benutzer und Command-Gruppen verwalten, einschließlich Benutzer deaktivieren, Benutzer löschen und Benutzer dauerhaft entfernen.                                                                               |
| **Command-Benutzer-Admin**      | Organisationsweit | Benutzer und Command-Gruppen in Global und in allen Verzeichnissen erstellen und bearbeiten. Benutzer deaktivieren, Benutzer löschen und Benutzer aus Verzeichnissen entfernen. Benutzer können nicht dauerhaft entfernt werden.                         |
| **Command-Benutzer-Anzeige\***  | Organisationsweit | Benutzer und Gruppen anzeigen                                                                                                                                                                                                                            |
| **Access-User-Admin**           | Organisationsweit | Benutzer und Command-Gruppen in Global und in allen Verzeichnissen erstellen, bearbeiten und löschen                                                                                                                                                     |
| **Access-Benutzer-Manager**     | Organisationsweit | Benutzer und Mitgliedschaften in Zugriffsgruppen in Global und in allen Verzeichnissen bearbeiten                                                                                                                                                        |
| **Access-Zugangsdaten-Manager** | Organisationsweit | Benutzerzugangsdaten (Karten, PINs, mobile Entsperrungen) in Global und in allen Verzeichnissen bearbeiten und löschen                                                                                                                                   |
| **Command-Benutzer-Admin**      | Verzeichnis       | Benutzer und Command-Gruppen innerhalb des Verzeichnisses erstellen und bearbeiten. Benutzer aus dem Verzeichnis entfernen (Benutzer kehren zu Global zurück) oder Benutzer deaktivieren. Benutzer können nicht gelöscht oder dauerhaft entfernt werden. |
| **Command-Benutzer-Anzeige**    | Verzeichnis       | Benutzer und Gruppen innerhalb des relevanten Verzeichnisses anzeigen                                                                                                                                                                                    |
| **Access-User-Admin**           | Verzeichnis       | Benutzer und Command-Gruppen innerhalb des Verzeichnisses erstellen, bearbeiten und löschen                                                                                                                                                              |
| **Access-Benutzer-Manager**     | Verzeichnis       | <p>Benutzer und Zugangsdaten erstellen</p><p>Gruppenmitgliedschaften innerhalb des Verzeichnisses verwalten</p>                                                                                                                                          |
| **Access-Zugangsdaten-Manager** | Verzeichnis       | Benutzerzugangsdaten innerhalb des Verzeichnisses erstellen und bearbeiten                                                                                                                                                                               |

Bei rollenbasierten Verzeichnissen können Administratoren nur Benutzer, Gruppen und Zugangsdaten innerhalb ihres zugewiesenen Verzeichnisses anzeigen und verwalten. Der Zugriff und die Sichtbarkeit außerhalb des Verzeichnisses sind vollständig eingeschränkt.

{% hint style="warning" %}
**\*** Die Rolle „Command-Benutzer-Anzeige“ kann Benutzern nur zugewiesen werden, wenn „Benutzersichtbarkeit einschränken“ aktiviert ist.
{% endhint %}

***

## Konfiguration

### Verzeichnisse aktivieren

Alle Verzeichnisfunktionen sind standardmäßig deaktiviert. Verzeichnisse können im Feature Manager aktiviert werden. Nach der Aktivierung können Verzeichnisse von der **Admin >** **Benutzerverwaltung** Seite in Command erstellt und verwaltet werden.

{% stepper %}
{% step %}
**Gehen Sie in Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Wählen Sie unter Org-Einstellungen den Feature Manager aus.**
{% endstep %}

{% step %}
**Wählen Sie unter Command neben Verzeichnisse „Aktivieren“ aus.**
{% endstep %}
{% endstepper %}

Nach der Aktivierung von Verzeichnissen:

* Alle vorhandenen Benutzer, Gruppen und Rollenzuweisungen bleiben in der Global-Ansicht sichtbar.
* Sie können Verzeichnisse erstellen, um Benutzer und Gruppen innerhalb abgegrenzter Bereiche zu verwalten.
* Um Benutzer und Gruppen außerhalb des Bereichs für Administratoren mit Verzeichnisumfang vollständig auszublenden, aktivieren Sie **Eingeschränkte Benutzersichtbarkeit für Standortrollen** im Feature Manager.

{% hint style="danger" %}
Sie können Verzeichnisse nicht aktivieren, wenn Ihrer Organisation Benutzer zugewiesen sind, die Legacy-Access-Control-Rollen haben. Siehe [Legacy-Access-Control-Rollen](https://app.gitbook.com/s/aaHs5RfKqv9Z49mi02cC/users-and-credentials/add-and-modify-access-groups/legacy-access-control-roles) für weitere Informationen.
{% endhint %}

### Ein Verzeichnis erstellen

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Wählen Sie in der linken Navigation Benutzerverwaltung aus.**
{% endstep %}

{% step %}
**Klicken Sie oben links auf Global.**

a. Neben **Verzeichnisse,** klicken Sie auf <i class="fa-plus">:plus:</i>.\
b. Wählen Sie **Neues Verzeichnis**.\
c. Geben Sie einen weltweit eindeutigen Namen ein.\
d. Drücken Sie die Eingabetaste auf Ihrer Tastatur, um zu speichern.
{% endstep %}
{% endstepper %}

{% hint style="warning" %}
Beim automatischen Erstellen eines Verzeichnisses aus einem Standort wird während der Verzeichniserstellung nur der Name des Standorts übernommen. Verzeichnis- und Standortnamen werden nach der Erstellung nicht synchron gehalten.
{% endhint %}

Nach dem Erstellen von Verzeichnissen:

* Verschieben Sie vorhandene Benutzer und Gruppen von Global in die gewünschten Verzeichnisse.
* Erstellen Sie neue Benutzer oder Gruppen direkt innerhalb eines Verzeichnisses.
* Füllen Sie Verzeichnisse automatisch mithilfe von SCIM-synchronisierten Gruppen oder vorhandenen Command-/Zugriffskontrollgruppen als Zuweisungsquellen.
* Wenn **Eingeschränkte Benutzersichtbarkeit für Standortrollen** im Feature Manager aktiviert ist, können Administratoren mit Verzeichnisumfang nur Benutzer und Gruppen innerhalb ihres zugewiesenen Verzeichnisses sehen.

### Benutzer zu einem Verzeichnis hinzufügen

### Vorhandener Benutzer

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Gehen Sie zu Benutzerverwaltung > Benutzer** oder wählen Sie Benutzer & Berechtigungen und klicken Sie auf Benutzer.
{% endstep %}

{% step %}
**Wählen Sie einen oder mehrere Benutzer aus und klicken Sie auf Zu Verzeichnis hinzufügen.**

a. Wählen Sie die benötigten Verzeichnisse aus.\
b. Klicken Sie auf **Fertig.**
{% endstep %}
{% endstepper %}

### Neuer Benutzer

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Gehen Sie zu Benutzerverwaltung > Benutzer** oder wählen Sie Benutzer & Berechtigungen und klicken Sie auf Benutzer.
{% endstep %}

{% step %}
**Klicken Sie oben rechts auf Benutzer hinzufügen.**

a. Befolgen Sie die Anweisungen auf dem Bildschirm, um einen neuen Benutzer zu erstellen.\
b. Unter **Verzeichnisse**:

1. Wählen Sie die benötigten Verzeichnisse aus.
2. Klicken Sie auf **Fertig.**

e. Fahren Sie mit den Schritten der erweiterten Verifizierung fort.\
f. Klicken Sie auf **Neuen Benutzer erstellen.**
{% endstep %}
{% endstepper %}

### Gruppen zu einem Verzeichnis hinzufügen

### Vorhandene Gruppen

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Gehen Sie zu Benutzerverwaltung > Gruppen** oder wählen Sie Benutzer & Berechtigungen und klicken Sie auf Gruppen.
{% endstep %}

{% step %}
**Wählen Sie eine oder mehrere Gruppen aus und klicken Sie auf Zu Verzeichnis hinzufügen > In Verzeichnis verschieben.**
{% endstep %}

{% step %}
**Wählen Sie ein einzelnes Verzeichnis aus und klicken Sie auf Fertig.**
{% endstep %}
{% endstepper %}

{% hint style="danger" %}
Wenn Sie eine Gruppe in ein Verzeichnis verschieben, werden alle ihre Benutzer diesem Verzeichnis hinzugefügt, sofern sie noch keine Mitglieder sind. Das spätere Entfernen der Gruppe entfernt ihre Benutzer nicht aus dem Verzeichnis.
{% endhint %}

### Neue Gruppen

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Gehen Sie zu Benutzerverwaltung > Gruppen** oder wählen Sie Benutzer & Berechtigungen und klicken Sie auf Gruppen.
{% endstep %}

{% step %}
**Klicken Sie oben rechts auf Erstellen.**
{% endstep %}

{% step %}
**Wählen Sie Command-Gruppe oder Zugriffsgruppe aus.**

a. Befolgen Sie die Anweisungen auf dem Bildschirm, um eine neue Gruppe zu erstellen.\
b. Unter **Verzeichnisstandort**wählen Sie ein bestimmtes Verzeichnis aus.\
c. Fahren Sie mit den Schritten der erweiterten Verifizierung fort.\
d. Klicken Sie auf **Gruppe erstellen.**
{% endstep %}
{% endstepper %}

### Verzeichnisbezogene Rollen einem Benutzer oder einer Gruppe zuweisen

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Gehen Sie zu Benutzerverwaltung > Gruppen** oder wählen Sie Benutzer & Berechtigungen und klicken Sie auf Gruppen.
{% endstep %}

{% step %}
**Wählen Sie den Benutzer oder die Gruppe aus, dem bzw. der Verzeichnisrollen zugewiesen werden sollen.**
{% endstep %}

{% step %}
**Klicken Sie unter Benutzerverwaltungsrolle auf Verwalten.**
{% endstep %}

{% step %}
**Suchen Sie das gewünschte Verzeichnis und wählen Sie die entsprechende Access-User-Rolle aus.**
{% endstep %}
{% endstepper %}

***

## Benutzer mit einem Verzeichnis synchronisieren

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Admin.**
{% endstep %}

{% step %}
**Wählen Sie in der linken Navigation Benutzer & Berechtigungen > Verzeichnisse aus.**
{% endstep %}

{% step %}
**Wählen Sie oben links Gruppen aus.**
{% endstep %}

{% step %}
**Aktivieren Sie das Kontrollkästchen neben den Gruppen in der Liste, die als Zuweisungsquelle für ein Verzeichnis verwendet werden sollen.**
{% endstep %}

{% step %}
**Klicken Sie oben rechts auf Zu Verzeichnis hinzufügen > Mit Verzeichnis synchronisieren.**

a. Wählen Sie das Verzeichnis aus, mit dem Benutzer aus dieser Gruppe synchronisiert werden sollen.\
b. Klicken Sie auf **Bestätigen.**\
c. Alternativ können Sie zur Seite einer einzelnen Gruppe gehen und auswählen, dass ihre Mitglieder mit einem Verzeichnis synchronisiert werden sollen.
{% endstep %}
{% endstepper %}

{% hint style="danger" %}

* SCIM-Gruppen können nicht wie lokal verwaltete Command- oder Access-Gruppen zu einem Verzeichnis hinzugefügt werden. Sie können ihre Mitglieder nur mit einem Verzeichnis synchronisieren.
* Eine Gruppe kann entweder zu einem Verzeichnis hinzugefügt oder so eingestellt werden, dass ihre Mitglieder synchronisiert werden. Beides gleichzeitig ist nicht möglich.
  {% endhint %}

***

## Benutzersichtbarkeit einschränken

Wenn Verzeichnisse aktiviert sind, können Org-Admins die **Benutzersichtbarkeit einschränken** Einstellung im Feature Manager aktivieren. Diese Einstellung beschränkt, welche Benutzer und Gruppen in Command und bei der Zugriffskontrolle sichtbar sind, basierend auf der zugewiesenen Rolle des Benutzers.

Wenn „Benutzersichtbarkeit einschränken“ aktiviert ist, sehen Benutzer mit den folgenden Rollen nur Benutzer und Gruppen, die mit ihren zugewiesenen Standorten verbunden sind:

* Standort-Admin
* Standort-Anzeige
* Access-System-Manager
* Access-Standort-Admin
* Access-Standort-Manager
* Access-Standort-Anzeige
* Arbeitsplatz-Standort-Admin

Dadurch wird sichergestellt, dass Standort- und Systemmanager keine Benutzer außerhalb ihrer zugewiesenen Standorte anzeigen können, was die Privatsphäre verbessert und die ordnungsgemäßen Zugriffsgrenzen wahrt.