Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Diese Best Practices spiegeln die Empfehlungen eines interdisziplinären Teams erfahrener Looker wider. Diese Erkenntnisse basieren auf jahrelanger Erfahrung in der Zusammenarbeit mit Looker-Kunden – von der Implementierung bis hin zum langfristigen Erfolg. Die Best Practices sind so konzipiert, dass sie für die meisten Nutzer und Situationen funktionieren. Bei der Implementierung sollten Sie jedoch nach bestem Wissen und Gewissen vorgehen.
Eine ordnungsgemäße Nutzerverwaltung ist wichtig, damit nur die richtigen Personen Zugriff auf bestimmte Daten, Funktionen und Inhalte in Looker haben. Sofern Sie kein vollständig offenes System haben, ist es wichtig, eine Strategie zur Verwaltung von Nutzern zu implementieren, die dafür sorgt, dass alle Daten und Inhalte geschützt sind. Die Verwendung von Gruppen kann dabei helfen, den Nutzerzugriff auf individueller Ebene hinzuzufügen, zu verwalten und zu aktualisieren.
Berechtigungen zuordnen
Erstellen Sie zuerst einen groben Plan und legen Sie die Berechtigungen und den Zugriff fest, die für Ihre gesamte Nutzerbasis erforderlich sind.
Identifizieren Sie die verschiedenen Datasets in Looker und die Kombinationen dieser, die für verschiedene Nutzergruppen verfügbar sein sollten. Wenn Ihre Organisation nur ein Modell hat, ist das ganz einfach. Wenn Ihre Organisation mehrere Modelle hat, müssen möglicherweise mehrere verschiedene Kombinationen von Modellen (Modellsätze) erstellt werden.
Identifizieren Sie die verschiedenen Nutzertypen, die Sie haben. Zu den gängigen Nutzern gehören Personen, die Dashboards aufrufen, aber keine Daten analysieren können, Personen, die Daten analysieren, aber keine LookML-Code schreiben können, Personen, die LookML-Code schreiben können, und Administratoren. Die Funktionen, die für jeden dieser Nutzertypen verfügbar sein sollen, sollten mithilfe von Berechtigungsgruppen eingerichtet werden.
Überlegen Sie, wie sich der Datenzugriff (Modellsätze) und der Funktionszugriff (Berechtigungssätze) überschneiden. Es kann beispielsweise eine große Anzahl von Nutzern geben, deren Datenzugriff auf ein einzelnes Modell und deren Funktionszugriff auf Dashboards beschränkt ist. Dieser Daten- und Funktionszugriff wird kombiniert, um eine Rolle zu erstellen.
Gruppen zuordnen
Überlegen Sie sich als Nächstes, welche funktionalen Gruppen zu Ihrer Nutzerbasis gehören, z. B. Vertrieb oder Finanzen. Diese funktionalen Gruppen sollten in den Gruppen widergespiegelt sein, die Sie Nutzern in Looker zuweisen können. Mit Gruppen können Inhalte (Dashboards und Looks) gesichert werden.
Angenommen, Sie haben in Ihrer Organisation eine Vertriebsabteilung, in der es neben einem kleinen Vertriebsteam mehrere Account Manager gibt. Sie könnten in Looker eine Vertriebsgruppe erstellen und dann innerhalb der Vertriebsgruppe eine Untergruppe für Account Executives und eine weitere für Sales Ops erstellen. Die Gruppe „Account Executives“ könnte einer Rolle mit Betrachterberechtigungen zugeordnet werden und die Gruppe „Sales Ops“ einer Rolle mit Explorer-Berechtigungen.
Der Zugriff auf Ordner und damit auf Inhalte kann über diese Gruppen verwaltet werden. Sie könnten beispielsweise im Ordner Gemeinsam den Ordner Vertrieb erstellen, der nur für die Vertriebsabteilung sichtbar ist. Mitgliedern der Gruppe „Account Executives“ könnte Lesezugriff auf diesen Ordner gewährt werden, während das Vertriebsteam den Zugriff auf diesen Ordner verwalten und die darin enthaltenen Inhalte bearbeiten kann.
Änderungen am Zugriff oder an den Berechtigungen für die gesamte Vertriebsabteilung können über die Gruppe „Vertrieb“ verwaltet werden.
Änderungen am Zugriff oder an den Berechtigungen für Account Executives oder das Sales Ops-Team können auf Ebene der Untergruppe verwaltet werden.
Neue Nutzer können der entsprechenden Gruppe hinzugefügt werden und erhalten automatisch die entsprechenden Berechtigungen.
Einstellungen auf Gruppenebene anwenden
Beachten Sie beim Anwenden von Einstellungen auf Gruppenebene die folgenden Tipps:
Weisen Sie Nutzern beim Einrichten keine Rollen direkt zu. Weisen Sie einfach jedem Nutzer eine Gruppe zu. Nutzern, die individuelle Rollen und Rollen basierend auf der Gruppenmitgliedschaft zugewiesen wurden, werden alle Rollen aus den individuellen und Gruppenzuweisungen vererbt.
Achten Sie darauf, Nutzer nicht in mehreren Gruppen zu platzieren. Nutzer in mehreren Gruppen erhalten die Summe aller Berechtigungen aller Gruppen, zu denen sie gehören. Achten Sie daher darauf, dass Nutzer in mehreren Gruppen weiterhin auf die entsprechende Zugriffsebene beschränkt sind.
Weisen Sie Nutzerattributwerte nach Möglichkeit auf Gruppenebene zu.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-31 (UTC)."],[],[],null,["# Best practice: Manage users with groups\n\n\u003e *These best practices reflect recommendations shared by a cross-functional team of seasoned Lookers. These insights come from years of experience working with Looker customers from implementation to long-term success. The practices are written to work for most users and situations, but you should use your best judgment when implementing.*\n\n\nManaging users properly is crucial to ensuring that only the appropriate people have access to particular data, features, and content within Looker. Unless you have a completely [open system](/looker/docs/access-levels#configuring_a_completely_open_system), it will be important to implement a strategy for managing users that ensures that all data and content is secured. Using groups will help with this and can prevent the need to add, manage, and update user access at the individual user level.\n\nMap out permissions\n-------------------\n\n\nBegin by making a high-level plan and mapping out the permissions and access that will be required across your user base.\n\n- Identify the different datasets available within Looker and the combinations of these that should be available to different user groups. If your organization has only one model, this is easy. If your organization has several models, there may be a few different combinations of models ([model sets](/looker/docs/admin-panel-users-roles#model_sets)) that need to be created.\n- Identify the different user types that you have. Common users include people who can view dashboards but not explore data, people who can explore data but not write LookML, people who can write LookML, and administrators. The features that each of these user types will be able to use should be set up using [permission sets](/looker/docs/admin-panel-users-roles#permission_sets).\n- Think about how the data access (model sets) and feature access (permission sets) intersect. For example, there may be a large number of users whose data access is restricted to a single model and whose feature access is restricted to dashboards. This data and feature access would be combined to create a role.\n\nMap out groups\n--------------\n\n\nNext, think about the functional groups within your user base, such as Sales, Finance, etc. These functional groups should be reflected in the [groups](/looker/docs/admin-panel-users-groups) you can assign users to within Looker. Groups can be used to secure content (dashboards and Looks).\n\n- For example, you might have a Sales department in your organization, and inside of that department there may be several account executives alongside a small Sales Operations team. You could create a Sales group in Looker, and then inside of the Sales group create one subgroup for Account Executives and another subgroup for Sales Ops. The Account Executives group might map to a role with viewer permissions, and the Sales Ops group might map to a role with explorer permissions.\n- Access to folders --- and therefore to content --- can be [managed using these groups](/looker/docs/organizing-spaces#viewing_and_managing_folder_access_levels). For example, within the **Shared** folder you could create a **Sales** folder that only the Sales department can see. Members of the Account Executives group could be given View access to that folder, while the Sales Ops team might have the ability to manage access to that folder and edit content within it.\n- Changes to access or permissions for the entire Sales department can be managed using the Sales group.\n- Changes to access or permissions for either the Account Executives or the Sales Ops team can be managed at the subgroup level.\n- New users can be added to the appropriate group and will automatically inherit the appropriate permissions.\n\nApply controls at the group level\n---------------------------------\n\nAs you begin to apply controls at the group level, keep the following tips in mind:\n\n\u003cbr /\u003e\n\n- When setting up users, do not give any roles directly to the user. Simply assign each user to a group. Users given individual roles and roles based on group membership will *inherit all roles from both the individual and group assignments*.\n- Take care when placing users in multiple groups. Users in multiple groups get the sum of *all* privileges of all the groups they're in, so ensure that users in multiple groups are still limited to the appropriate level of access.\n- When possible, assign user attribute values at the group level.\n\n\nTo see these practices applied, refer to the Best Practices page on setting up secure content access --- [Best practice: Secure your spaces! A content access walk-through](/looker/docs/best-practices/how-to-secure-your-folders)."]]
