User als Reader bekommt Berechtigungsfehler?

[schroederk]

Hallo,

wir haben ein paar Datenbanken auf dem Server liegen, die als Template das aktuelle Persönliche Adressbuch (pernames.nsf) haben.
Das Template ist Standard und unverändert.
Nun habe ich kürzlich 2 Dinge geändert:
Ich habe ein Adressbuch zusätzlich in der DA aufgenommen.
Und ich habe die Berechtigungen angepasst und die meisten Benutzer nach Anforderung von Manager auf Leser runtergestuft.
Jetzt bekommen einige beim Öffnen die Fehlermeldung "Sie sind zur Durchführung dieser Operation nicht berechtigt", können aber dennoch lesend auf die Adressen und Gruppen zugreifen.

Leider kann ich das Problem bei mir nicht nachstellen. Wenn ich mich als Leser eintrage, dann bekomme ich keine Fehlermeldung.
Hat jemand vielleicht schon eine Idee, woran es liegen könnte, bevor ich einen der User von der Arbeit abhalte um mich per Debugger durchzuhangeln?

[TRO]

Profildokumente, die gelesen werden sollen, aber nicht da sind und so mit GetProfileDocument (odre Script) versucht werden anzulegen? (Was dann als nur Leser scheitert)

Thomas

[schroederk]

Ich kann noch ergänzen:
Wenn der Benutzer versucht die Vorgaben zu öffnen:

Invalid Universal ID
Im Modul: PREF_QUERYOPEN
In Zeile 65:
In Methode: QUERYOPEN

[Tode]

Das Problem: Wenn Du mal eine Berechtigung > Leser HATTEST, dann hast Du bereits ein Profil angelegt (DirectoryProfile, Pickerview, $policyprofile, um nur einige zu nennen).
Wenn Du immer nur leser bist, dann halt nicht... Speziell der Buchstaben- Picker braucht aber ein Profil, und das will er beim öffnen der Datenbank anlegen -> Als Leser geht das nicht... Und Die Vorgaben sind ebenfalls ein Profil, das bearbeitet werden soll -> Geht als Leser nicht...

[schroederk]

Ok, damit die Ursache vermutlich klar, aber Fehlermeldung sind jedenfalls sehr unschön. Das könnte Notes doch abfragen und bei den Vorgaben bspw. nur den Abrechen-Button zeigen.

Wie kann ich das denn jetzt korrigieren?
Kopie erstellen, Original löschen, Neue DB mit erstellen und Inhalt von Kopie kopieren?
Dann muss ich aber auch alle Anwender informieren, da die alte Verknüpfung nicht mehr funktionieren wird, bzw. eine eMail mit einem Link schicken, mit dem die alte Kachel entfernt und die neue hinzugefügt wird.

[Pfefferminz-T]

Mit NotesPeek kannst Du Dir anschauen, welche Profildokumente vorhanden sind und welche Namen die haben. Dann gibt es sogar in Technotes Beispiele für Agenten, wie man Profildokumente löschen kann.

Zweite Möglichkeit (wenn man sich die Programmierung nicht zutraut): Ersetzen der Datenbank, man kann ja neben dem Namen des neu erstellten Adressbuchs auch die Replik-ID ändern.

Dritte Möglichkeit: Ich denke mit Ytria oder ähnlichen Tools kann man die Profildokumente auch entfernen.

[schroederk]

Ich bin mir nicht sicher, was ich löschen kann.
Mit Notespeek sehe ich unter Profiles nur 3 Einträge:
- directoryprifle
- pickerview
- roaminguserid

Aber in allen Feldern finde ich die Namen der Personen, die jetzt nur noch Leser-Rechte haben in den $UpdatedBy-Feldern.
Hier kann ich mir kaum vorstellen, dass dadurch der Fehler auftritt.


Ich habe spaßeshalber ein Ticket aufgemacht und bekam die folgende Antwort:

I have searched to see whether there is such an agent/script to correct this issue, unfortunately I did not find anything. From what I have found there is no fix.

[WildVirus]

Aber in allen Feldern finde ich die Namen der Personen, die jetzt nur noch Leser-Rechte haben in den $UpdatedBy-Feldern.
Hier kann ich mir kaum vorstellen, dass dadurch der Fehler auftritt.

Genau das ist aber die Ursache.

Ein Leser kann die Dokumente eben nicht ändern. Lösch sie und test weiter

[schroederk]

Ein Leser kann die Dokumente eben nicht ändern. Lösch sie und test weiter

Abgesehen davon, dass ich bisher angenommen hatte, dass diese Feld rein informativ ist und keinen Einfluss auf Funktion(en) hat,
hatte ich ebenso angenommen, dass es ein Feld ist, was weder verändert noch gelöscht werden kann.
Zum Test habe ich einen Agenten geschrieben, der sowohl den Inhalt ändern, als auch das Feld löschen sollte.
Aber wie erwartet, ist das Feld weder verschwunden noch hat sich am Inhalt etwas getan.

Das Löschen der Profildokumente hat zwar funktioniert, aber hatte keine Auswirkung auf die Fehlermeldung der User.

[Pfefferminz-T]

Habe mir mal den Aufwand gemacht und kurz in meiner Umgebung mit der Standardschablone des persönlichen Adressbuchs getestet. Als Leser bekomme ich keine Fehlermeldung... habt ihr an der Schablone der Datenbank Änderungen vorgenommen? Datenbank-Skript oder bei den Masken, Ansichten, ...

Was passiert, wenn Du Dir mit derselben Schablone eine neue Datenbank auf dem Server erstellst, einen anderen Account als Leser einträgst und mit diesem die Datenbank öffnest?

[schroederk]

Das Adressbuch hat die ganz gewöhnliche und unveränderte pernames.nsf. Also einfach die Standardschablone für ein persönliches Adressbuch.
Kein Script, keine Änderungen an Masken oder Ansichten.
Thorsten vermutet, dass das Problem daher kommt, weil die User mal höhere Rechte hatten als Leser.
Das nachträgliche Zurückstufen der User erzeugt wohl das Problem.

Ich habe es bei 2 solcher Datenbanken, aber beide existieren auch schon etwas länger und haben erst kürzlich die Änderungen an den Benutzerrechten erhalten.

Ich werde es auch mal mit einer neuen DB testen, ob ich das Problem reproduzieren kann.

[Pfefferminz-T]

In meinem Test mit einer neuen Datenbank und der Herabstufung der Berechtigungen bekomme ich keine Meldungen... also Benutzer als Editor eingetrage -> Zugriff mit dieser ID -> Benutzer zum Leser herabstufen -> Zugriff mit dieser ID -> Keine Fehlermeldung

[schroederk]

Vielleicht müssen erst Einträge erstellt werden?
Oder es lag daran, dass es bei uns der ehemalige Admin gut gemeint hat und vielen Manager-Rechte gegeben hatte. 

[schroederk]

Ich habe es heute mit einer neuen DB reproduzieren können:
1. Neue DB mit der Schablone pernames.nsf erstellt.
2. Einen Benutzer als Manager berechtigt.
3. Den Benutzer in der DB Änderungen durchführen lassen (Kontakt erstellt, Gruppe bearbeitet)
4. Den benutzer auf Leser zurückgestuft.

Der Benutzer erhält jedesmal die Fehlermeldung, wenn er zwischen Meine Kontakte und Gruppen wechselt.

[Pfefferminz-T]

Da Du im initialen Post geschrieben hast, dass die Fehlermeldung beim Öffnen kommt, habe ich keine weiteren Schritte getestet. Das Öffnen selbst funktioniert aber, nur beim Wechsel bekomme ich die Meldung. Auch bei einer neu angelegten DB bei der die Nutzer als Leser angelegt sind. Wenn man sich das im Designer anschaut, dann ist das auch schnell erklärt... jede Ansicht hat im Postopen ein SetProfileField und dass darf ein Leser halt nicht. Deswegen die Meldung, egal ob der Nutzer mal Manager war oder immer Leser.

Das persönliche Adressbuch ist von der Gestaltung her für den lokalen Gebrauch auf dem Notes Client konzipiert, nicht für den Server-Betrieb. Und lokal hat der Anwender immer die notwendigen Berechtigungen.

Ihr könntet aus diesen Adressbüchern einfach einen Verzeichniskatalog aggregieren und diesen bereitstellen.

[schroederk]

Ich bin wohl nahezu zeitgleich auch auf die Lösung gekommen, nachdem ich im Internet die folgende Seite gefunden hatte:
http://www-01.ibm.com/support/docview.wss?uid=swg21233590

Wir hatten ganz zu Anfang wohl auch die pubnames.ntf verwendet, aber das sorgte wohl bei den Benutzern für Verwirrung, da sie das lokale Adressbuch gewöhnt waren.
Ich habe jetzt aus den beiden Views das Postopen entfernt und bin damit die Fehlermeldungen los.

Lieben Dank für Deine Mühe und Unterstützung.