Rollen

[notesnewbie]

Hallo allemiteinander,

ich hab ein kleines Problem  

ich möchte die rollenzugehörigkeit des aktuellen Users auslesen wenn er ein dokument erstellt um die rechte festzulegen.

soweit so gut. das ist ja auch mit @userroles sehr einfach zu realisieren. wenn aber nun der user per namen z.b. fritz meier eine rolle hat und innerhalb einer gruppe z.b. org_vk die rolle vk wird nur die rolle angezeigt welche er mit seinem namen hat.

Was muss ich tun das er alle rollen anzeigt  ??


Vielen Dank für die Hilfe

NotesNewbie

[koehlerbv]

@UserNamesList ?

Das mit @UserRoles und "namentlich und in Gruppe aufgeführt" muss ich direkt nochmal abchecken - eigentlich sollte nämlich auch das funktionuggeln - AFAIK und so auf die Schnelle.

Bernhard

[notesnewbie]

@koehlerbv,

danke für deine schnelle Antwort. Leider passiert das bei @usernameslist ebenfalls.


NotesNewbie

[Glombi]

Andere Frage: Warum stehen User namentlich in der ACL?

Andreas

[notesnewbie]

Hallo @glombi,

dieses läßt sich stellenweise z.b. bei abteilungsübergreifenden zugriffsberechtigungen nicht umgehen. Wenn ich jedesmal ne neue gruppe anlege für jeden fall dann habe ich nachher unendlich viele gruppen (jede db kann andere zugriffsrechte haben) oder aber ich habe eine rolle für die abteilung (vk) diese können das dokument bearbeiten (ich füge rolle vk als bearbeiter des z.b. abschnittes hinzu) der vk-leiter und sagen wir mal der lagerleiter können aber innerhalb des abschnittes noch mehr z.b. dok signieren (lagerleiter soll aber nicht doc bearbeiten können). die haben dann die rolle sigvk für diesen fall. ich würde dann lagerleiter und vk leiter mit namen reinsetzen und die rolle verpassen.  

Habe ich dort einen Denkfehler ? Manchmal sehe ich den Wald vor lauter Bäumen nicht  

Gruß

NotesNewbie
 

[Gandhi]

Ich kann nur jedem dringend empfehlen keine Personen in ACLs direkt einzutragen, sondern dieses immer über Gruppen zu tun. Ausnahme: Mailfiles der User.
Grund: verbesserte Wartbarkeit, finden aller Datenbanken auf die ein User Rechte hat,.....
Das kostet am Anfang ein wenig Zeit/Überwindung - dafür ist dann zu einem späteren Zeitpunkt wenigstens die Domäne noch administrierbar.
Also mein Rat:
Für jede Datenbank explizite Gruppen verwenden mit Aussagekräftigen Namen, z.B. Teamroom_meineAbteilung_Editoren

[Glombi]

Wenn Du beides willst
- User namentlich in der ACL und
- auslesen ALLER Rollen (namentlich + Gruppen)
dann wirst Du wohl an einer Orga-Datenbank nicht herumkommen. Das ganze erinnert vom Prinzip an eine Workflow-Anwendung.
In der Orga.-Datenbank musst Du dann pro Person ein Dokuement erstellen und dort dann alle Rollen hinterlegen, die gesetzt werden sollen.

Andreas

[notesnewbie]

@glombi,
@gandhi,

danke für eure Antworten.

@glombi:

ich denke das mit der OrgaDatenbank ist ein Weg. Werd ich mir mal anschauen.

@gandhi:
hmm, wird es dann aber nicht etwas unübersichtlich ? Ich meine wenn ich viele DB's habe und ich habe für jede DB x verschiedene Gruppen dann habe ich doch nachher ein Chaos bei den Gruppen. Im Prinzip ist das was du sagst allerdings wahr. Ich versuche mal eine Mischung aus beidem: Orgadatenbank und mehr Disziplin bei den Gruppen.



NotesNewbie

[koehlerbv]

Jetzt habe ich endlich Zeit genommen, mir das Problem mal richtig anzuschauen. Das Ganze funktioniert bei Dir doch "as designed" und vollkommen richtig: Person überschreibt Gruppe. Damit kannst Du ja einer Nase aus einer Gruppe auch mindere Rechte geben oder erweiterte- eine prima Sache, wenn man sowas mal braucht.
Du musst halt eben nur der Person ALLE Rollen geben, die sie "verdient", und schon haut's hin.

Alles, was man aber über Gruppen abfackeln kann, sollte man auch darüber erledigen, wie meine Prescriptoren schon geschrieben haben ;-)

HTH,
Bernhard

[Gandhi]

Nein. Es ist nicht unübersichtlicher.
War lange Zeit bei einer Organisation mit >6000 Clients und ca 2000 Applikationen.
Und Du hast in so einer Organisation nur dann eine Chance, wenn Du die Rechte streng organisiert vergibst.
OK. Du hast dann vielleicht tausende von Gruppen. Da diese aber mit Aussagekräftigen Namen versehen sind ist das erst mal kein Problem. Weiterhin kannst Du die Gruppen auch in einem secondary/kaskadiertem Adressbuch pflegen - oder pflegen lassen. Das kommt dann Deiner Idee von einer Orga-DB nahe.

Um die Vorteile noch einmal darzustellen:
-Versuche mal alle Zugriffsrechte eines Users zu ermitteln. In dem System mit Gruppen machst Du dann einfach eine Volltextsuche über die Gruppen-Ansicht im NAB. Ohne die Gruppen musst Du einen Agenten schreiben, der alle Datenbanken durchforstet.....
-Der AdminP arbeitet nicht unbedingt sauber. Bzw muss extrem korrekt eingestellt werden, damit er funktioniert. Ist er nun an einer Namensänderung gescheitert - was machst Du, wenn die Rechte nicht über Gruppen organisiert sind?

Der Beispiele könnte ich noch viele schreiben. Meiner Meinung nach ist es ab einer gewissen Größe einer Umgebung zwingend notwendig ein Administrationskonzept zu haben und Rechte ausschließlich über Gruppen zu vergeben.

[Glombi]

Ein weiterer Vorteil von Gruppen gegenüber Personen in der ACL: Gruppen können vom DB-Verantwortlichen gepflegt werden, ohne dass dieser Managerrecht an der Datenbank haben muss.
Ich habe schon die tollsten Dinge erlebt, was User mit Managerrecht so alles in die ACL reingeknallt haben.
Im NAB brauchen die user lediglich Autorrecht, die Rolle [GroupModifier] und den Eintrag im Feld Owner der Gruppe.

Andreas

[notesnewbie]

@glombi,
@gandhi,
@koehlerbv,

ok, das ist einleuchtend. Ihr habt mich überzeugt.
Ich werde mein Konzept noch mal überarbeiten und versuchen es ausschließlich auf Gruppenberechtigungen umzustellen.

Danke für die Tipps.


NotesNewbie