ACL und Rollen

[killinspree]

 :oGuten Morgen,

ich habe eine Ansicht, "FAQ" in der sollte jeder dokumente lesen können.
dazu habe ich in der zugehörigen maske eine rolle faqlesen eingebaut und dem defaultuser der datenbank diese rolle zugeteilt.

hab ich da irgendwas missverstanden?
warum sehen die user in der Datenbank keine einträge?

[ghost]

Hallo killinspree,

wie hast Du die Rolle in die Maske eingebaut? Sie muss in einem Leserfeld in den Dokumenten stehen.  

Viele Grüße
ghost

[klaussal]

... würde es nicht reichen, in der acl dem default-eintrag nur das recht "leser" zu geben ?

[killinspree]

nein das die rolle leser darf ich dem default user nicht geben,
sonst könnte der userx auch die zeitdaten von usery lesen.

bisher habe ich noch keine lösung.

es gibt wie gesagt eine rolle leserfaq die gibts in der maske FAQ und der default User ist mitglied leserfaq. Leider funkts trotzdem nicht.

vieleicht weis jemand woran es liegt.

[koehlerbv]

"In der Maske gibt es eine Rolle leserfaq":
Also bestimmt nicht.
Kannst Du uns erläutern, was Du genau meinst ? Wo hast Du in Deiner Maske (und vor allem: Damit in Deinen Dokumenten) einen Bezug auf die Rolle "[leserfaq]" ?

Sonst wird das nämlich nix ... Wir wissen schlicht nicht, was Du uns mit Deinen Worten sagen willst.

Bis nach Deiner Rückantwort,
Bernhard

[killinspree]

hi bernhard,

ich habe in der maske FAQ ein feld "leser" eingebaut
das hab ich der rolle leserfaq zugeordne "[leserfaq]" und das wiederum
habe ich den Usern zugeordnet in der ACL.

habe ich da einen denkfehler?

ich habe also mehrere ansichten in denen die user nur unterschiedliche leserechte haben sollen. zum beispiel habe ich eine ansicht erfassungTAG
da findet man datum,arbeitsbeginn,arbeitsende,arbeitsstunden. in erfassungTAG darf der user nur seine eingenen Zeiten sehen.
in der ansicht FAQ soll er aber alle dokumente lesen können.

wie kann ich da richtig differenzieren?

[koehlerbv]

Wenn das Feld ein Leserfeld ist, hast Du das vollkommen richtig gemacht.
Kann es sein, daß es schon n Dokumente gibt, und dann hast Du nachträglich das Leserfeld in die Maske eingebaut ? Rückwirkend gilt das nämlich nicht, denn das Leserfeld muß im Dokument gespeichert sein - es ist vollkommen unabhängig von der Maske.

Bernhard

[Semeaphoros]

Bernhard, das stimmt zwar, was Du sagst (und könnte auch ein Problem sein), aber sein ursprüngliches Problem war, dass er KEINE Dokumente in der DB sieht. Wenn das Leserfeld nicht im Dokument drin ist, ist es auch nicht geschützt. Also die n alten Dokumente würden in dem Falle trotzdem erscheinen.

Frage ist, ob wir das richtige Problem suchen. Wenn da keine Dokumente angezeigt werden, dann ist entweder die Ansichen-Selektion falsch oder bei der Rolle oder im Leserfeld oder sonst wo ist was falsch. Sieht mir fast so aus wie der Effekt, wenn man einen Verschreiber drin hat.

[Manfred Dillmann]

Hallo killinspree,

Deine Aussagen sind leider nicht "sauber genug" formuliert - da kann man nicht richtig gut helfen. Ich versuch´s mal:

>>ich habe in der maske FAQ ein feld "leser" eingebaut das hab ich der rolle leserfaq zugeordne "[leserfaq]"<<

Du hast also in der Maske ein neues Feld erstellt, hast den Typ "Leserfeld" gewählt und dieses Feld mit der Formel: "[leserfaq]" als z.B. "Berechnet beim Anlegen" festgelegt?

Danach hast Du ein paar Testdokumente erstellt und den Zugriff geprüft?

>>und das wiederum habe ich den Usern zugeordnet in der ACL.<<

In Deiner Orignal-Frage schreibst Du aber "...und dem defaultuser der datenbank diese rolle zugeteilt." Was denn nun?

Grundsätzlich gilt:
1. Wenn ein User mit seinem Namen (Hans Mustermann/Vertrieb/Firma) in der ACL steht, gelten die Rechte für diesen Eintrag.

2. Wenn 1. nicht zutrifft und der Benutzer ist Mitglied einer in der ACL benannten Gruppe, dann gelten die Rechte der Gruppe für diesen User.

3. Nur wenn 1. und 2. NICHT zutrifft, gelten für den Benutzer die Rechte, die Du dem "-Default-" Eintrag zuordnest.

Könnte hier schon Dein Fehler liegen?

Ansonsten steuerst Du durch ein Leserfeld den Zugriff auf das gesamte Dokument. Das wird dann angezeigt oder nicht. Du kannst aber auf keinen Fall das Dokument in bestimmten Ansichten anzeigen und in anderen nicht.

Grundsätzlich habe ich das Gefühl, das Du für die Lösung Deiner Aufgabe noch nicht das Verständnis für die vielen Möglichkeiten zur Zugriffsteuerung/Sicherheitsaspekte in Notes hast. Vielleicht schnappst Du dir ein Buch und liest mal was es alles für Möglichkeiten gibt.

Oder Du musst Dein Problem und was Du gemacht hast und was Du erreichen willst haarklein hier aufschreiben (also quasi für Blöde wie mich ), dann können wir Dir ggf. helfen...

Gruss
Manfred

[Semeaphoros]

Ja, so isses

[killinspree]

hi leute,

vielen dank für eure hilfe. sorry das ich´s nicht so ausführlich beschrieben habe, bin hald ein notesnewbie.

manfred ich habe in der ACL nur die AdminUser die die Datenbank verwalten als explizite User eingetragen (hans muster/firma). Die anderen User wollte ich alle über diese Default User Gruppe abbilden.

______________________________________________________________________

>>Ansonsten steuerst Du durch ein Leserfeld den Zugriff auf das gesamte Dokument. Das wird dann angezeigt oder nicht. Du kannst aber auf keinen Fall das Dokument in bestimmten Ansichten anzeigen und in anderen nicht.

Ich denke das mein Ansatz schon falsch ist, ich bin davon ausgegangen, dass wenn ich, für verschiedene Dokumente verschiedene Leser - Felder (Felder des Typs "Leser" + mit der Formel "[leserFAQ]" berechnet beim Anlegen) anlege, kann ich den einzelnen Dokumenten dann User zuordnen.

z.B. LeserFaq (=Rolle) >>Zuordnung in ACL>> DefaultUser (=Usergruppe)
damit wollte ich erreichen dass alle User die Dokumente für LeserFaq lesen können.

>>Grundsätzlich habe ich das Gefühl, das Du für die Lösung Deiner Aufgabe noch nicht das Verständnis für die vielen Möglichkeiten zur Zugriffsteuerung/Sicherheitsaspekte in Notes hast. Vielleicht schnappst Du dir ein Buch und liest mal was es alles für Möglichkeiten gibt.

Da muss ich Dir voll Recht geben. Das ist mein erstes Notes Enwicklungsprojekt.

_______________________________________________________________

Nun da wir auf langen Umwegen (mein Felher) geklärt haben das mein Ansatz schon falsch ist. Wie kann ich denn das Problem lösen....

gebt mir mal einen Anstoß..., bitte.

[Semeaphoros]

Das ist nicht ein Problem des Zugriffes, sondern ein Problem der Auswahl:

Mach mal in Deinen Dokumente ein Feld "Ansichten" oder so.

Dann schreibst Du in das Feld "FAQ", wenn Dus in der FAQ Ansicht zeigen willst.

In der FAQ-Ansicht gibst Du als Ansichtsauswahl an:

Ansichten contains "FAQ"

... und die Ansicht selbst zeigt nur noch die FAQ-Dokumente.

Die Ansicht selbst lässt sich dann von diversen Usern verbergen, indem man in den Ansichtseigenschaften angibt, wer diese Ansicht brauchen kann. Achtung: das ist aber nicht wirklich ein Schutz vor unberechtigtem Zugriff.

[killinspree]

Hi Semeaphoros,

kann ich damit nicht steuern ob die User die Doc´s nur lesen oder auch ändern dürfen.

Eigendlich wollte ich das die Dokumente für FAQ nur lesbar sind aber nicht änderbar. Dies darf auch ruhig fest hinterlegt sein, da FAQ Dokumente nur von mir erstellt werden sollen, bzw geändert.

Danke
MfG
Killinspree

----------------
domino 6
nt5 server sp4

[Manfred Dillmann]

Hallo killinspree!

>>Eigendlich wollte ich das die Dokumente für FAQ nur lesbar sind aber nicht änderbar.<<

Hupps, das ist ja nun wieder ganz was anderes - schau Dir mal Deine Original-Fragestellung an.

Sorry, ich werde mich an dieser Stelle "ausklinken" - das führt zu nichts...

Ich hatte Dir schon mal geschrieben, dass Du dir zuerst mal einen Überblick über die Grundlagen der Programmierung und Möglichkeiten in Notes verschaffen MUSST. Das kann eine Schulung, ein Buch, die Online-Hilfe oder ein netter Kollege sein. Dann kannst Du anfangen, konkrete Anforderungen in der Programmierung umzusetzen.

Gruss
Manfred

[killinspree]

Hallo Manfred,

tut mir ja leid, aber was ist der unterschied zwischen
>>ich habe eine Ansicht, "FAQ" in der sollte jeder dokumente LESEN können.<<
und
>>Eigendlich wollte ich das die Dokumente für FAQ nur lesbar sind aber nicht änderbar.<<

trotzdem danke für deine hilfe
Gruss

[Manfred Dillmann]

Hallo killinspree,

schau mal - anfangs schreibst Du z.B.

"nein das die rolle leser darf ich dem default user nicht geben,
sonst könnte der userx auch die zeitdaten von usery lesen."

Für mich klingt das sehr nach einer "Lese-Zugriffs-Steuerung". Na, und jetzt möchtest Du steuern, wer Dokumente ändern kann. Das sind  doch auch für einen Einsteiger erkennbar zwei vollkommen unterschiedliche Fragestellungen...

Gruss
Manfred

[killinspree]

hallo Manfred,

mit dieser aussage
>>"nein das die rolle leser darf ich dem default user nicht geben,
sonst könnte der userx auch die zeitdaten von usery lesen."<<
wollte ich doch nur sagen das nicht jeder Benutzer der Datenbank auch die Dokumente eines anderen Benutzers lesen darf.
Diese Aussage bezieht sich auf die Ansichten für die tägliche Zeiterfassung und die Erfassung der Tätigkeiten.

Zusätzlich habe ich noch eine Ansicht "FAQ"
In der sollen die User nur alle Dokumente lesen können. Soll so eine Art hilfe für die Zeiterfassungsuser werden.

 ???Ich denke jetzt weis jeder was gemeint ist, tut mir ja leid, dass es soviele missverständnisse gegeben hat!

Es muss doch eine Möglichkeit geben, den Usern die Dokumente anzeigen zu lasse ohne Ihnen die Rolle "Leser" zuordenen zu müssen. Schliesslich sollen die User auch nicht alle Dokumente der Datenbank lesen können sondern nur alle Dokumente der Ansicht "FAQ"

 ;)Ob die User dann ändern können oder nicht, das kann ich ja dann in der Security-Einstellung der Maske regeln.


_______________________________________________________________

ich hoffe ich hab diesesmal alles richtig formuliert.
danke für euer Verständnis

[Semeaphoros]

Killinspree

Manfred hat leider Recht, mit jedem Posting veränderst Du das anvisierte Ziel. Natürlich ist das mit Lesen und Schreiben eine Zugriffsregelung, aber vielleicht müsstest Du mal eine gute Analyse hinter Dich bringen, die Dir überhaupt aufzeigt, welche Anforderungen Du stellen willst. Und dann braucht es einen erfahrenen Entwickler, der dafür ein Realisationskonzept erstellen kann.

Insbesondere funktionierende Zugriffsregelungen sind ohne Erfahrung nicht zu machen, da fliegt man andauernd darauf rein, dass man die falschen Rechte am falschen Ort definiert.

Sorry, aber mit immer wieder ändernden Anforderungen kann ich hier auch nicht mehr weiterhelfen. Das wäre dann schon eine Individualschulung wert, wo man dann face-to-face auch sofort solche Problematiken erkennen und gleich beheben kann.

[Rob Green]

ich hab mir den gesamten Thread angeschaut und kann 2 grundsätzliche Anforderungen erkennen, die an sich nix Besonderes sind.

1. Es ist eine Zeiterfassungs Datenbank, wobei jeder User neben Erstellung nur seine eigenen Zeitdokumente sehen und ändern darf

2. Es gibt zusätzlich eine Hilfsdokumentation in Form mehrerer oder nur eines FAQ Doks. Diese soll natürlich jeder sehen dürfen, aber nur ein Admin anpassen können

zu 1.:
- Default User wird in ACL auf Author eingestellt, Flag auf ändern und löschen evtl. auch
- eine weitere Gruppe am besten, die die Admins repräsentiert und eine Funktionsrolle namens "Admin", Recht mind. Editor
- ein Feld vom Typ AUTHOR ins Zeitdokument, "berechnet beim anlegen", Formel @username
- ein weiteres Feld, Typ LESER ins Zeitdokument, "berechnet beim anlegen", "Mehrfachwerte zulassen", Formel @username:"[admin]"

zu 2.:
- das FAQ Dokument braucht weder ein Leser noch ein Authorenfeld
- Folge: ohne Leserfeld kann das auf dieser Maskenbasis erstellte Dokument jeder sehen. Und ohne Authorenfeld können nur Editoren und aufwärts das Doc ändern. Nicht aber die Authoren = Default User

soweit so gut?

[koehlerbv]

Genau so sehe ich das auch.
[faqleser] wäre doppelt gemoppelt, das hatte ich vor ein paar Tagen auch übersehen.

killingspree's Problem scheint sowieso noch ganz woanders zu liegen: Feldtyp, Rollennotation oder sonstwas. Bei weiteren Fragen sollten wir da mal genau nachhaken.

Bernhard

PS: killinspree - halt uns auf dem Laufenden ;-)