Mocha BSM产品亮点：Mocha BSM分级管理

　　大、中型企业拥有很多不同的分支机构，并且位于不同的区域，如何做到各分公司之间权限的相对独立，又体现总公司的权限相对集中的管理模式呢。

　　业务需求与挑战

　　一个中大型企业拥有很多不同的分支机构，并且位于不同的区域，如果使用了其他监控软件，也经常会遇到下列场景：

　　• 企业往往要求监控软件的管理员和系统或网络的管理员是两个角色，其权限要分开，即前者只负责监控业务的管理，后者只负责系统或网络的管理。

　　•企业需要各部门只能监控自己部门的资源，不能监控其他部门的资源，但是做不到。

　　•不支持集团与分公司要有上下级关系(用于支持报警升级等)。

　　我们给客户带来什么

　　 监控业务与系统管理分开，管理员各司其职，避免一人身兼数职

　　系统管理员专注于资源发现与管理(例如更换资源密码等)，而监控管理员只负责创建用户、角色，设置被监控资源的监控频度、阈值、事件、报警等。两者各司其职，避免了一人身兼数职，减轻了各管理员的负担。

　　 严格的权限控制，用户只能看到自己有权限的资源，避免不必要的信息泄露

　　管理员可设置每个用户有权限看到的资源、系统模块，而没有任何额外信息。

　　 支持中大型企业的分级管理，支持报警升级等功能。例如，集团公司与分公司可设置

　　上下级关系，当分公司某资源宕机超过24小时没有恢复，则自动升级报警至集团公司相关人员。

　　关键功能与亮点

　　支持分级管理：

　　 资源域与用户域：引入资源域与用户域的概念

　　- 资源域：

　　一个资源域就是一个或几个分布式服务器(用于发现资源)的组合，这些分布式服务器所发现的资源均属于当前资源域。资源域管理员只负责发现与维护被监控资源。例如，可创建一个“主机”资源域，由系统管理员发现各类主机，再创建一个“网络设备”资源域，由网络管理员发现各类交换机、路由器、防火墙。

　　- 用户域：

　　用户域用于定义企业的各组织单位，可在各用户域创建用户，并将资源域发现的资源赋予各用户域，以建立用户与被监控资源的关联，实现严谨的权限控制。同时，用户域支持上下级关系定义。例如，可创建“集团公司”、“天津分公司”、“上海分公司”三个用户域，各用户域下可创建自己的用户，并将在各资源域发现资源赋予各用户域。同时根据组织架构将“天津分公司”与“上海分公司”的上级用户域设为“集团公司”。各用户域管理员只负责创建自己用户域中的用户与角色，设置权限、监控频度、阈值、报警等监控业务。

　　- 例子

　　某集团公司总部位于北京，其两个分公司分别位于天津与上海。总部拥有主机A与交换机A，天津分公司拥有主机B与交换机B，上海分公司拥有主机C与交换机C。如下图所示，可创建两个资源域“主机”与“网络设备”，分别由系统管理员与网络管理员发现主机与交换机。再创建三个用户域“集团公司”、“天津分公司”、“上海分公司”，将在资源域发现的资源赋予各用户域，并由用户域管理员在各用户域创建用户，以实现每个用户只对自己用户域的资源有权限。同时，还可将“天津分公司”、“上海分公司”的上级用户域设为“集团公司”，以实现报警升级等功能。

　　分开资源和用户管理，增加企业监控系统的安全。

　　 资源权限管理：

　　- 被监控资源可以通过策略批量分配给不同用户域(不同组或部门)

　　- 各用户域管理员只能管理和监控自己用户域拥有的资源

　　用户域分级管理：用户域支持上下级关系定义，可以实现以下几点

　　资源权限管理

　　报警升级

　　- 对被监控资源业务管理的分级;

　　- 支持大型企业机构分级管理，支持总部与分支机构的上下级关系;

　　- 支持报警升级，可以把下级用户域的报警升级到上级用户域。