Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Notes Rezertifizierung alle 2 Jahre?

<< < (2/2)

tschroeder:
Noch interessanter dürfte es werden, wenn es Vertrauensstellungen zu anderen Domänen gibt. Auch in dieser müßten entsprechenden DenyAccesslisten gepflegt werden bzw. die ACL der DB'n bzw. die Gruppen immer aktuell sein.

Stell dir mal eine Notes/Dominostruktur vor, die nicht wie ein Baum sondern wie ein Wald (kein gemeinsamer Stamm, sondern alle hübsch fein nebeneinander). Selbige soll dann aber wiederum von einer Gruppe von Admins administriert werden. Und auf dauer wird es auf jedem dieser Dominoserver DB'n geben, auf die jemand aus einer anderen Domäne zugreifen wird. Da ist man irgendwann ganz schön am DenyAccesslisten pflegen.

Gruß Thorsten

BTW: das ist bei uns wirklich so. Alle Tochterfirmen des Konzerns sind eine große Familie, aber nirgendwo wird so doll gestritten wie zw. Geschwistern....  :'(

machineslave:

--- Zitat von: Speedy am 21.07.05 - 14:37:10 ---Hallo zusammen,

Mit abgelaufenem Zertifikat kann der Anwender sich nicht mehr an einer Domain anmelden!

Sind in einer Domain mehr als ein Server, so müßten immer auf allen Servern die Deny Access Groups gepflegt werden.
Nachteil 1) Evtl. hat man keine Berechtigung auf die anderen Server in der Domain
Nachteil 2) Es ist immer manueller Pflegeaufwand erforderlich!

Daher der Tipp: Einmal kurz überlegen, wie lange das Zertifikat gültig sein soll (Manager 2 Jahre; Mitarbeiter in der Probezeit 6 Monate; ...)
Die Zertifikate können ja Problemlos verlängert werden!

Solong
Speedy


--- Ende Zitat ---

Hmm...
also zu Nachteil 1:  Bei uns gibt es nur eine Domäne und die Admins haben die Berechtigung für alle Server. Ausserdem wird ja eh das Directory mit allen Servern repliziert, von daher ist die DenyAccessGroup immer aktuell.
zu 2: Wieso manueller Aufwand?

Also: bei uns gibt es drei Admins, welche Zugriff auf alle Domino Server innerhalb der Domain haben (und die sitzen sogar noch zusammen, sodass sie sich untereinander austauschen können.)

Stefan

Peter S.:
Wenn sichergestellt ist das die Server-Access Listen gepflegt sind (ihr habt sowas doch :-) ) spricht nichts dagegen.

Navigation

[0] Themen-Index

[*] Vorherige Sete

Zur normalen Ansicht wechseln