Domino 9 und frühere Versionen > Entwicklung

Rollen

<< < (2/3) > >>

Gandhi:
Ich kann nur jedem dringend empfehlen keine Personen in ACLs direkt einzutragen, sondern dieses immer über Gruppen zu tun. Ausnahme: Mailfiles der User.
Grund: verbesserte Wartbarkeit, finden aller Datenbanken auf die ein User Rechte hat,.....
Das kostet am Anfang ein wenig Zeit/Überwindung - dafür ist dann zu einem späteren Zeitpunkt wenigstens die Domäne noch administrierbar.
Also mein Rat:
Für jede Datenbank explizite Gruppen verwenden mit Aussagekräftigen Namen, z.B. Teamroom_meineAbteilung_Editoren

Glombi:
Wenn Du beides willst
- User namentlich in der ACL und
- auslesen ALLER Rollen (namentlich + Gruppen)
dann wirst Du wohl an einer Orga-Datenbank nicht herumkommen. Das ganze erinnert vom Prinzip an eine Workflow-Anwendung.
In der Orga.-Datenbank musst Du dann pro Person ein Dokuement erstellen und dort dann alle Rollen hinterlegen, die gesetzt werden sollen.

Andreas

notesnewbie:
@glombi,
@gandhi,

danke für eure Antworten.

@glombi:

ich denke das mit der OrgaDatenbank ist ein Weg. Werd ich mir mal anschauen.

@gandhi:
hmm, wird es dann aber nicht etwas unübersichtlich ? Ich meine wenn ich viele DB's habe und ich habe für jede DB x verschiedene Gruppen dann habe ich doch nachher ein Chaos bei den Gruppen. Im Prinzip ist das was du sagst allerdings wahr. Ich versuche mal eine Mischung aus beidem: Orgadatenbank und mehr Disziplin bei den Gruppen.



NotesNewbie

koehlerbv:
Jetzt habe ich endlich Zeit genommen, mir das Problem mal richtig anzuschauen. Das Ganze funktioniert bei Dir doch "as designed" und vollkommen richtig: Person überschreibt Gruppe. Damit kannst Du ja einer Nase aus einer Gruppe auch mindere Rechte geben oder erweiterte- eine prima Sache, wenn man sowas mal braucht.
Du musst halt eben nur der Person ALLE Rollen geben, die sie "verdient", und schon haut's hin.

Alles, was man aber über Gruppen abfackeln kann, sollte man auch darüber erledigen, wie meine Prescriptoren schon geschrieben haben ;-)

HTH,
Bernhard

Gandhi:
Nein. Es ist nicht unübersichtlicher.
War lange Zeit bei einer Organisation mit >6000 Clients und ca 2000 Applikationen.
Und Du hast in so einer Organisation nur dann eine Chance, wenn Du die Rechte streng organisiert vergibst.
OK. Du hast dann vielleicht tausende von Gruppen. Da diese aber mit Aussagekräftigen Namen versehen sind ist das erst mal kein Problem. Weiterhin kannst Du die Gruppen auch in einem secondary/kaskadiertem Adressbuch pflegen - oder pflegen lassen. Das kommt dann Deiner Idee von einer Orga-DB nahe.

Um die Vorteile noch einmal darzustellen:
-Versuche mal alle Zugriffsrechte eines Users zu ermitteln. In dem System mit Gruppen machst Du dann einfach eine Volltextsuche über die Gruppen-Ansicht im NAB. Ohne die Gruppen musst Du einen Agenten schreiben, der alle Datenbanken durchforstet.....
-Der AdminP arbeitet nicht unbedingt sauber. Bzw muss extrem korrekt eingestellt werden, damit er funktioniert. Ist er nun an einer Namensänderung gescheitert - was machst Du, wenn die Rechte nicht über Gruppen organisiert sind?

Der Beispiele könnte ich noch viele schreiben. Meiner Meinung nach ist es ab einer gewissen Größe einer Umgebung zwingend notwendig ein Administrationskonzept zu haben und Rechte ausschließlich über Gruppen zu vergeben.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete