ACL: Wer darf was?

[TMC]

Hi,

ich entwerfe gerade eine neue DB.
Was mich immer wieder beschäftigt sind die ACL-Einträge.

Hier mal eine Zusammenstellung so wie ich die verstehe:


Bitte prüfen ob so OK.

Was mir noch unklar ist:
- read public
- write public

1) was beudeutet das public ?
1) Trifft das zu wenn z.B. ein Designer keinen Haken in Write Public hat?

Hier habe ich echt noch ein Wissensdefizit....

Danke,
TMC

[TMC]

*Nachtrag*
Leser- und Autorenfelder will ich erstmal nicht hier behandeln, sonsern ersrmal nur grundsätzliches.
Unter "Posten" verstehe ich "Neues Dok erstellen".

TMC

[koehlerbv]

read/write public: Diese Leutchen dürfen auf Masken mit der Eigenschaft "Verfügbarfür benutzer mit öfftl. Zugriff" lesend/schreibend zugreifen.
Schön anzuschauen in den Mai-Files: Wer andere einträgt, dass sie seinen Kalender LESEN dürfen, findet dann in seiner ACL "read public" - obwohl dort für die User "kein Zugriff" steht - DIESE Einträge von DIESER Maske können sie schon lesen.
Manager, Designer, Editoren können immer diese Doks lesen / schreiben - da kannst Du gar keinen Einfluss mehr drauf lesen.

HTH,
Bernhard

[TMC]

read/write public: Diese Leutchen dürfen auf Masken mit der Eigenschaft "Verfügbarfür benutzer mit öfftl. Zugriff" lesend/schreibend zugreifen.
Schön anzuschauen in den Mai-Files: Wer andere einträgt, dass sie seinen Kalender LESEN dürfen, findet dann in seiner ACL "read public" - obwohl dort für die User "kein Zugriff" steht - DIESE Einträge von DIESER Maske können sie schon lesen.

Ein aaaaahaaa schon mal :-)

Bei mir rattern gerade die Zahnräder im Hirn, die jetzt kombinieren :-)
Und nun wird vieles klar :-)

Passt ansonsten meine Aufstellung?

Was definitiv noch nicht stimmt: der Reader darf nicht Dokumente erstellen

Danke,
TMC

[koehlerbv]

Der Leser darf nie schreiben - ausser die schon erwähnten öffentlichen Dokumente, bei denen in den Maskeneigenschaften - na, Du weisst jetzt schon ;-)

Bernhard

[koehlerbv]

Nachtrag:
ggf. darf der Autor auch nicht schreiben - er muss ja zumindest in irgendeinem Autorenfeld stehen. Wenn das verhindert, dann darf er auch seine selbsterstellten Docs nicht mehr bearbeiten. Was durchaus Sinn macht:
Beispiel Antrags-(Workflow-) Datenbank
- Autor erstellt Antrag an Entscheider
- nach Antragstellung darf er nix mehr ändern (ist in keinem Autorfeld mehr)
- Entscheider entscheidet (positiv) - Antragsteller wird wieder Autor (jetzt kommt des Programmierers Feinarbeit - der Autor darf ja keine Felder mehr ändern) , da er ja ggf. den Antrag wieder stornieren können muss.

Oooops - jetzt habe ich dieses Posting ungesandt mehr als eine Stunde stehen lassen, da ich mit Semeaphoros "feletoniert" habe, also erstmal nachguck, ob meine Antwort überhaupt noch gebraucht wird. Ist aber ein posting-lauer Freitagabend, ich darf also noch das alte Ding wegschicken ;-)

Bernhard

[Semeaphoros]

Noch etwas, der Begriff Autor wurde auch von mir lange missverstanden, weil er sich mit dem sprachlichen Begriff "Autor" als "Erfinder" eines Schriftstückes nicht deckt. Wie Bernhard schon gesagt hat, der Autor darf im Prinzip nicht posten, es sei denn er steht in enem Autorenfeld drin. In dem Sinne ist auch der Titel "Eigene Dokumente bearbeiten" falsch, denn Notes kennt eigentlich keinen Dokument-Eigentümer (daher auch die Missinterpretation des Autors, ein Begriff, der ein Besitzverhältnis impliziert, das in dieser Form hier nicht gegeben ist).

[koehlerbv]

Naja, muss doch noch einen Nachtrag machen:
- Der Autor kann *immer* neue Dokumente erstellen ("posten").
- Der Depositor kann *nur* neue Dokumente erstellen.
- Der Autor kann seine Dokumente auch weiterhin bearbeiten, wenn es entweder gar kein Autorfeld gibt oder es eines gibt, und dieses nicht programmatisch belegt wird (dann macht das nämlich Notes selbst) oder dieses programmatisch belegt wird und dabei der Autor = Ersteller eingetragen wird.
Wichtig: Es kann in einem Dokument x Autorenfelder geben. Dabei es es völlig wurscht, in welchem Feld Nase X steht - Nase X ist dann Autor (gleiches gilt für Leserfelder).

HTH,
Bernhard

[Semeaphoros]

Du hast das jetzt klar auf die Reihe gebracht. Punkt ist, jeder, der in einem Autorenfeld drin steht, ist (Notes-)Autor, egal ob das Dokument von ihm stammt oder nicht, das wollte ich vor allem hervorheben.

[Glombi]

Bearbeiten und Eigene Dokumente bearbeiten würde ich nicht trennen.

Stattdessen würde ich das so beschreiben
Autor |....  Bearbeiten (1)

(1) Sofern der Anwender namentlich, durch Gruppen- oder Rollenzugehörigkeit in einem Autorennamenfeld enthalten ist.

Bei Lesen IMMER noch den Zusatz (2)
(2) Sofern kein Lesenamensfeld vorhanden ist oder der Anwender namentlich, durch Gruppen- oder Rollenzugehörigkeit in einem Lesennamenfeld enthalten ist.

Andreas

[Glombi]

"Posten" würde ich durch "Dokumente erstellen" ersetzen (ist "Notes-Sprache").

Bei Autor dann die Einschränkung (3)

(3) Sofern in der ACL die Berechtigung "Dokumente erstellen" aktiviert ist

Bei Reader (4)
(4) Sofern in der ACL "Öffentliche Dokumente schreiben" aktiviert ist.

[TMC]

Danke für Eure Infos!

Hier mal die Aktualisierung:



Was imho noch widersprüchlich ist:

Der Autor kann seine Dokumente auch weiterhin bearbeiten, wenn es entweder gar kein Autorfeld gibt oder es eines gibt, und dieses nicht programmatisch belegt wird (dann macht das nämlich Notes selbst) oder dieses programmatisch belegt wird und dabei der Autor = Ersteller eingetragen wird.

Noch etwas, der Begriff Autor wurde auch von mir lange missverstanden, weil er sich mit dem sprachlichen Begriff "Autor" als "Erfinder" eines Schriftstückes nicht deckt. Wie Bernhard schon gesagt hat, der Autor darf im Prinzip nicht posten, es sei denn er steht in enem Autorenfeld drin. In dem Sinne ist auch der Titel "Eigene Dokumente bearbeiten" falsch, denn Notes kennt eigentlich keinen Dokument-Eigentümer (daher auch die Missinterpretation des Autors, ein Begriff, der ein Besitzverhältnis impliziert, das in dieser Form hier nicht gegeben ist).

Angenommen ich bin lt. ACL Autor.
Ich erstelle ein neues Dokument, speichere dieses ab. Ein Autorenfeld ist in diesem Dokument nicht enthalten.
Dann darf ich doch dieses Dokument auch wieder bearbeiten, weil ich das erstellt habe.
Angenommen ein Kollege ist auch Autor. Der darf doch dann das von mir erstellte Dokument (in dem nach wie vor kein Autorenfeld enthalten ist) nicht bearbeiten.

Oder liege ich hier falsch?

Grüße,
TMC

[Semeaphoros]

Richtig, fallback, wenn die Autoren nicht explizit angegeben werden, wird der Ersteller als Autor angenommen.

Was den Begriff Autor unglücklich macht ist die Tatsache, dass der Ersteller eben auch ausgeschlossen werden kann, was vom sprachlichen Bedeutungsfeld "Autor" nicht gedeckt wird, das war die Schwierigkeit, die ich da etwas unglüklich versucht habe, auszudrücken, unterdessen wurden aber glaube ich alle Klarheiten beseitigt :-)

[koehlerbv]

Antwort (und Korrektur meiner vorigen Aussage):
Ist kein Autorenfeld enthalten, dann kann ein Autor Dokumente erstellen (wenn in ACL erlaubt), diese aber nicht mehr verändern.
Ist ein Autorenfeld vorhanden und wird dieses programmatisch nicht belegt, dann wird der Erstellername automatisch eingetragen. Der Autor kann dann also seine selbst erstellten Dokumente auch wieder bearbeiten. Wird das Autorenfeld natürlich programmatisch belegt, bestimmt das Programm den weiteren Fortgang der Dinge.

Mit Autorenfeld wie oben: Darf der Autor keine öffentlichen Dokumente schreiben, dann kommt er wiederum an seine "eigenen" Doks nicht mehr 'ran.

Man kann da also sehr viele Kombinationen aufbauen. Ebenso natürlich auch "unerwünschte Features" produzieren ;-)

HTH,
Bernhard

[koehlerbv]

@Semeaphoros:
Der Begriff "Autor" ist meines Erachtens aus einer anderen Sicht missweisend:
"Autor" heisst für mich "Ersteller, Erzeuger". In (Notes-)Realität kann aber ein Autor
- unter Umständen gar keine neuen Dokumente erstellen (ACL-Eintrag "Dokumente erstellen" abgeschaltet)
- er kann auch "editieren", und da nicht nur seine eigenerstellten Dokumente (entspr. Eintrag in einem Autorenfeld plus ACL-Eintrag für "öfftl. Dokumente schreiben").

Semantische oder ethymologische Debatten ändern jetzt natürlich nichts an den von Notes geschaffenen Fakten  

Bernhard

[Semeaphoros]

Richtig, das kommt alles noch zur "Grundbedeutung" dazu, wichtig ist, dass man den Begriff innerhalb von Notes ganz sicher nicht auf der sprachlichen Ebene interpretieren darf ... Dein Schlusssatz, völlig einverstanden.

[TMC]

OK, nächstes Update  




Jetzt ist vieles klar geworden, die Autoren-Geschichte hab ich grad selbst nochmal getestet.

Grüße,
TMC

[Semeaphoros]

TMC

Ganz herzlichen Dank für diese Tabelle, das ist eine wirklich sehr nützliche Zusammenfassung und kann bestimmt manchem viel rauchendes Gehirn ersparen.

[TMC]

gern geschehen.
Habs noch in die Tipps aufgenommen, da findet man es dann leichter....
TMC

[Glombi]

Noch eine Korrektur:
Bei Lesen IMMER noch den Zusatz (2)
(2) Sofern kein Lesenamensfeld vorhanden ist oder - falls es ein Lesenamensfeld gibt - der Anwender namentlich, durch Gruppen- oder Rollenzugehörigkeit in einem Lesennamenfeld oder Autorennamenfeld enthalten ist.

Andreas