Leserfeld: kann trotzdem Doks sehen

[TMC]

Hi,

mit folgendem Agenten habe ich das Feld p_Readers gesetzt auf "[All]":
^{Sub Initialize
   Dim session As New NotesSession
   Dim db As NotesDatabase
   Dim dc As NotesDocumentCollection
   Dim doc As NotesDocument
   Dim nextdoc As notesdocument
   Dim feldwert As Variant
   Set db = session.CurrentDatabase
   Set dc = db.AllDocuments
   Set doc = dc.GetFirstDocument
   
   Do Until doc Is Nothing
      Set nextdoc = dc.getnextdocument(doc)
      feldwert = doc.GetItemValue("Form")
      If feldwert(0) = "Person" Then
         doc.p_Readers = "[All]"
         Call doc.save(False, False)
      End If
      Set doc = nextdoc
   Loop
   
   
End Sub}
Die Rolle habe ich selbst nicht, kann aber trotzdem die Doks in sehen (in den Views, kann die Doks auch öffnen etc.). Konsistente ACL is ON.

Ein Rechtsklick auf ein Dok und Feldwert sagt, dass da steht: "[All]".
Es ist auch ein Lesefeld (zumindest steht dort "READ-ACCESS NAMES").
Der Agent an für sich funktioniert also.

Warum kann ich denn die Doks trotzdem sehen?
Irgendwas muss ich übersehen haben....

TMC

[Semeaphoros]

Da gab es mal so einen Spezialfall, wenn Dein Agent Deine Unterschrift trägt, solltest Du doch im $Updates-Feld drin stehen und wenn Du da drin stehst, bekommst Du den Zugriff. Kann aber sein, dass ich mich da jetzt vergriffen habe und das nicht stimmt.

[TMC]

Himmel.....

Na ja, selbst wenn ich manuell ins Dok reingehe, das Lesefeld leere, speichere, wieder reingehe, [All] reinsetze, speichere, dann erscheint das Doc immer noch.

Vielleicht sonst noch ein Tipp? Ich hab schon ziemlich vieles durchprobiert....

TMC

[Semeaphoros]

Also kein Tip mehr, insbesondere weil bei späterem Nachdenken mein erster "Tip" gar keiner ist. das stimmt ganz einfach nicht, was ich da geschrieben habe, zumindest nicht in dieser Form. Es müsste verschwinden, ich hab mich auch schon selber aus einem Dokument ausgesperrt. A-bär: es passiert wohl erst, nachdem die Datenbank geschlossen (vollständig, also sowohl im Client wie auch im Designer) geschlossen wird und dann wieder geöffnet. Aber mehr fällt mir dazu nicht ein.

[Glombi]

Wenn Du das Dokument dennoch lesen kannst, dann gibt es ein anderes Autoren- oder Lesenamensfeld, in dem Du namentlich, per Gruppe oderPer Rolle stehst.
Prüf mal alle Felder in den Dokumenteigenschaften nach, ob dort noch ein anderes Read bzw. Read/Write Access Feld ist.

Andreas

[koehlerbv]

Wenn im Feld p_Readers wirklich READ_ACCESS_NAMES steht, sieht alles erstmal ordentlich aus. Ich würde aber trotzdem den Agent ergänzen, um sicherzustellen, daß der Agent IMMER die ISReaders property setzt:

Code

Dim session As New NotesSession 
   Dim db As NotesDatabase 
   Dim dc As NotesDocumentCollection 
   Dim doc As NotesDocument 
   Dim nextdoc As notesdocument
   Dim feldwert As Variant 
   [b]dim item as NotesItem[/b]
   Set db = session.CurrentDatabase 
   Set dc = db.AllDocuments 
   Set doc = dc.GetFirstDocument 
   
   Do Until doc Is Nothing 
      Set nextdoc = dc.getnextdocument(doc)
      feldwert = doc.GetItemValue("Form") 
      If feldwert(0) = "Person" Then 
         doc.p_Readers = "[All]"
         [b]set item = doc.GetFirstItem ("p_Readers")
         If not (item is nothing) then
             item.Readers = true
         End If[/b]
         Call doc.save(False, False)
      End If 
      Set doc = nextdoc
   Loop 
      
End Sub

Wo hast Du Dir denn die Rolle genommen / gegeben ? Die DB hat ja konsistente ACL, ACL-Änderungen sollten also auf dem Administrationsserver erfolgen.

HTH,
Bernhard

[TMC]

ich danke Euch allen.

Der für mich jetzt entscheidende Tipp kam von Andreas, ich hatte nämlich ein weiteres Autoren Feld (also read / write)  !!

Hatte jetzt schon ewig rumprobiert, aber dabei das Autorenfeld völlig übersehen...

Sorry für die Verwirrung.

Grüße,
TMC

[Semeaphoros]

Autorenfeld? Das sollte aber ein Leserfeld nicht überschreiben. Puzzled .....

[TMC]

hmm, dachte ich auch ursprünglich....

Abär:

User 1: steht in Leserfeld
User 2: steht in Autorfeld

User 2 kann dann Doks lesen, obwohl er nicht in Leserfelde steht.....

Zumindest jetzt meine Erfahrung (bisher hab ich immer angenommen, User2 müßte auch im Leserfeld stehen um die Doks überhaupt zu sehen....)


TMC

[Semeaphoros]

Das wurde so auch schon dokumentiert, scheint, dass man das mal unter die Lupe nehmen sollte .....

[Glombi]

Wer ein Dokument lesen darf, ergibt sich aus der Gesamtsumme aller Autoren- und Lesenamensfelder.

In den Dok.-Eigenschaften steht daher ja uach Read/Write Access bei Autorennamenfeldern. Wobei das Write ja nur für die Zugriffsebene Autor relevant ist. Editoren und höher dürfen immer bearbeiten, Leser in der Regel nicht (außer mit dem Recht öffentliche Dokumente zu schreiben).

Andreas

[Manfred Dillmann]

@Semeaphoros:

>> Das wurde so auch schon dokumentiert, scheint, dass man das mal unter die Lupe nehmen sollte .....<<

Hast Du da eine konkrete Quelle? Ich habe das schon so oft gelesen/gehört, das IBM/Lotus das so dokumentiert hätte. Auf genaues Nachfragen kam aber dann nie ein konkreter Hinweis auf eine Doku oder Hilfe-DB... wo das so drinn stehen würde.

Es war schon immer so, dass ein Autoren-Feld auch den "read-access" gewährt.

Und unter uns gesagt/geschrieben:
Was würde es für einen Sinn machen, jemandem Autoren-Zugriff auf ein Dokument zu geben, welches er nicht sehen kann? ;-)

Gruss
Manfred

[Semeaphoros]

Bin am Suchen, ist aber schon länger her, und ist durchaus möglich, dass das irgendwo auf Notes-net oder so war und nicht in der wirklich offiziellen Doku. Abgesehen davon, es macht durchaus Sinn, dass der Schreiber sein Dokument nicht mehr sehen kann, dafür gibt es ja zum Bleistift in der ACL den "Depositor". Typischer Fall: das Ausfüllen eines Fragebogens, der dann woanders ausgewertet werden soll, speziell irgendwelche Internet-Formulare haben fast immer die Eigenschaft, dass man sie nach dem Abschicken nicht wieder zu sehen bekommt, also so ganz abwegig ist das gar nicht.

[Manfred Dillmann]

Hallo Semaphoros!

>>Bin am Suchen, ist aber schon länger her, und ist durchaus möglich, dass das irgendwo auf Notes-net oder so war und nicht in der wirklich offiziellen Doku.<<

Dann bin ich ja beruhigt. Das Gerücht taucht eben immer wieder auf... zum Glück kann ja bislang niemand eine Quelle benennen... ;-)

>>Abgesehen davon, es macht durchaus Sinn, dass der Schreiber sein Dokument nicht mehr sehen kann, dafür gibt es ja zum Bleistift in der ACL den "Depositor".<<

Sonderfälle gibt´s natürlich unendlich viele... ich denke, es ging hier aber eher um die "Standard-Nutzung" von Leser-/Autorenfeldern.

Gruss
Manfred

[Semeaphoros]

Na, ich denke auch, mir liegt nicht daran, recht zu bekommen, das nützt niemandem wirklich, sondern auch ich will wissen, was da genau Sache ist. Common Opinion ist ja nun offenbar, dass die Autorenfelder für den Zugriff nicht reichen, es ist aber gut möglich, dass da eine "Schüttelbecherinterpretation" zur "Common Opinion" geworden ist. Problem ist ganz eindeutig, dass die Hilfe in diesem Zusammenhang kaum als Hilfe bezeichnet werden kann, die Infos sind total zerstreut und überall, wo diese Felder erwähnt werden, nicht vollständig.

[Manfred Dillmann]

Hallo Semaphoros!

>>Problem ist ganz eindeutig, dass die Hilfe in diesem Zusammenhang kaum als Hilfe bezeichnet werden kann, die Infos sind total zerstreut und überall, wo diese Felder erwähnt werden, nicht vollständig.<<

Hat man das schon jemals anders erlebt? ;-)
Oft erzählt einem die Hilfe leider nur, was man eh schon wusste oder sich gedacht hat. Aber die Kerninfo fehlt dann leider sooooo oft...

Wenn mir sowas unter kommt, mache ich mir halt schnell eine kleine Test-DB und kläre das so ein für alle mal.

Gruss
Manfred

[Glombi]

Hier die Lösung aus der Knowledge Base (#113202 vom 24.04.2001):

Author Name Fields, Reader Name Fields and Document Security

Problem:

If a document contains an Author Names field and a Reader Names field, which one takes precedence in terms of reader access?

Solution:

Reader Access is cumulative.  If UserA is listed in the Reader Names field and UserB is listed in the Author Names field of a document then both UserA and UserB will be able to read the document.  UserB will also be able to edit the document.

This scenario also holds true for a Reader Access List created at the form level and an Author Names field.


Grüße
Andreas

[Glombi]

Und das ist sicher auch interessant (#113732 vom 21.01.2000):

What is the Difference Between Reader Name and Author Name Fields?

Problem:

What are Reader Names and Author Names Fields and how are they different?

Solution:

Reader Names fields determine who may read a document and Author Names fields determine who may edit a document.  Both types of fields can contain combinations of individual user names, server names, group names, and access roles.  Documents and forms may contain more than one of either kind of these two fields.

You can read a document if any of the following are true:

1.   The database is local to you (i.e. you are not accessing it via a Notes Server).

2.   There is no Reader Access List for the document, and you have at least Reader Access to the database.

3.   There is a Reader Access List, but you are included in the form's Reader Access List (Design>>Form Attributes>>Read Access), or in any of the Reader Names fields in the form, or in the document's Reader Access List (Edit>>Security>>Read Access), or in any of the Author Names fields in the form.  As stated above, you can be included as part of a group or role, in addition to having your name specifically written in.

You can edit a document if any of the following are true:

1.   You can read the document (see above) and you have at least Editor Access to the database.

2.   You have Author Access to the database and you are included in an Author Names field in the form / document.

Notes to Application Developers or Managers:

1.   When creating Reader or Author Names fields, it is wise to check ON the Allow multi-value check box otherwise, you may end up with an invalid list of people, servers, groups, and roles who can access that document.  In such a circumstance, you would need to access the database locally (at the server's client) to fix the problem (presumably by running a macro or performing a Tools>>Refresh Fields after making the appropriate changes to the form).

2.   No one can edit a document which they cannot read.

3.   An Author Names field grants reader's rights as well as author rights.

4.    Failure to include a person/group/role/server from a Reader Names or Author Names field or Reader Access List denies the appropriate access to the person/group/role/server.

5.   Users with Reader Access to a database can never edit any documents.

6.   Running aa agent which places names into a Reader or Author Names field will result in that field being a plain Summary Text field.  To make the field Summary Read-Access Names or Summary Read/Write-Access Names, respectively, you would have to either:

-   manually edit and save the document,
-   in Notes 4.x or 5.x, create an agent which runs @Command(ToolsRefreshSelectedDocs) or @Command(ToolsRefreshAllDocs) to refresh the Data type of those documents.

Lotus Quality Engineering is aware of this issue.

7.   The API can place names into a Reader or Author Names field and preserve the special Summary status of the field.

**   Note:  The LotusScript back-end methods for populating Reader and Author Names fields do not preserve the Summary status unless the New method is used, in combination with the IsReader or IsAuthor property, to create the field.  If this is not the case, the IsSummary flag must be set manually to TRUE.

8.   The creator of a document cannot edit the document after it is saved unless he or she is included in an Authors field or has Editor access to the database.

9.   A document with multiple Reader Names fields or Author Names fields will allow access to the entire list of these fields.  Notes concatenates these fields when determining who may read or edit a document.

[Semeaphoros]

Manfred:
Stimmt, wobei ich das nicht wirklich als ein Problem empfand und deswegen nicht weiter überprüfte. In so eine Situation wie TMC hier geraten ist, bin ich ganz einfach nie reingelaufen, somit ergab sich kein Anlass daran zu zweifeln und somit auch kein Testbedarf.

Andreas:
Das gibt mal eine offizielle Dokumentation, das ist gut so, trotzdem, woher kommt diese Aussage über die Autorenfelder? Diese Aussage ist derart verbreitet, dass sie an "hevorragender Stelle", sprich sehr nah von Lotus/Iris (das ist eindeutig vor der Integration in die IBM Struktur) aufgetaucht sein muss.

[Semeaphoros]

Danke Andreas, Dieses zweite Dokument ist das erste Mal, dass ich die Sache wirklich durchgehend in einem Dokument beschrieben sehe. Das würde doch eigentlich in die Hilfe gehören. Es zeigt übrigens auch, dass das Testen in diesem Bereich recht schwierig ist, da es eine Unzahl von Kombinationen gibt: Dokument selbst, Dokument-Access, Form-Felder, Form-Access und ACL und erst der Coktail von allem zusammen ergibt das Endresultat.