Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
Richtlinien für Zugriffsgruppen (Namen)
Wolfgang:
--- Zitat von: machineslave am 28.07.06 - 11:35:16 ---Wir haben uns gestern nochmal ein paar Beispiele hervorgenommen und sind dann darauf gekommen, dass das über Gruppen nicht wirklich Sinn macht.
Alleine eine Anwendung davon hat 20 Rollen. Und das macht dann nicht wirklich Sinn, da es natürlich einfacher ist, eine Person direkt in eine ACL einzutragen, als in 20 Gruppen (wenn er alle Rollen bekommt)
--- Ende Zitat ---
... Du könntest stattdessen auch eine Gruppe in die ACL eintragen, die alle Rollen bekommt.
Gruppen in der ACL bieten einige Vorteile, z.B. können sie über einen Agenten aus anderen Anwendungen automatisch erstellt und aktualisiert werden.
Viele Gruppen kann man in der gleichen Zusammensetzung u.U. in etlichen Datenbanken verwenden, wenn z.B. der Zugriff von der Zugehörigkeit zu einer Abteilung X abhängt. Einmal die Gruppe korrigiert und schon klappt der Zugriff auf 20 Datenbanken.
Zugriffe auf Datenbanken können auch von Mitarbeitern verwaltet werden, die selbst gar keinen Zugriff auf die entsprechende DB haben (wenn die Gruppe erstmal in der ACL ist). Es reicht dann das Recht, Gruppen in der names.nsf ändern zu dürfen.
Wenn Du alle betroffenen Mitarbeiter über eine Änderung innerhalb einer Anwendung informieren willst, kannst Du die Gruppe per Mail addressieren statt 150 Leute einzeln rauszusuchen.
Namensänderungen (z.B. Heirat) wirken sich nur in der names.nsf aus und werden von AdminP erledigt. Stehen die Personen einzeln in den ACLs, muß man genau drauf achten, daß der korrekte Administrationsserver eingetragen ist, sonst kann man die Änderungen manuell nachziehen.
Bei häufigen Änderungen von Anwendungen ist vielleicht plötzlich Editorrecht statt Autor erforderlich oder es kommen neue Rollen hinzu. Stehen die Leute einzeln in der ACL, klickst Du 150 mal 'ne neue Rolle dazu statt nur einmal.
Das solltest Du alles mal überdenken und natürlich hängts von der konkreten Umgebung ab, wofür Du dich dann entscheidest. Ich wäre ohne die Verwendung von Gruppen schon längst wahnsinnig geworden ...
Gruß
Wolfgang
smoki:
Man sollte immer Gruppen nehmen.
Eine Gruppe kann natürlich mehrere Rolllen gleichzeitig haben.
Zum Beispiel:
Eine Gruppe Mitarbeiter die Rolle "[Mitarbeiter]".
Eine Gruppe Vorgesetzter die Rolle "[Mitarbeiter]" und "[Vorgesetzter]".
Oder komplexer ja nach Konstellation. Es macht auf jedenfall meistens keinen Sinn 20 Gruppen wegen 20 Rollen anzulegen. (Natürlich kann eine komplexe Anwendung 20 Gruppen haben, aber das ist selten... Meist reichen 4 bis 5 Gruppen. Plus eine Admingruppe und Servergruppe, aber das ist ja logisch...)
Gruss
Chris
Peter S.:
Eine Aussage wie "Man sollte immer Gruppen nehmen" ist mindestens diskussionswürdig.
Unser sehr ausgefeilter Workflow funktioniert mit gruppen NICHT, aber mit Einzelnamen ganz hervorragend.
Also bitte nicht solche merkwürdigen unreflektierten statements abgeben.
smoki:
Ok, ich nehme es zurück.
In der Regel ist das Verwenden von Gruppen vorzuziehen. Natürlich gibt es Anwendungen, bei denen andere Lösungen besser sind. (Wenn die Anwendung beispielsweise, die ACL selbst Pflegt.)
Klassisches Beispiel: Die Mailschablone, hier mit Gruppen zu handieren, ist in den meisten Fällen nicht zielführend.
Ich hoffe das diese Aussage besser ist? :)
Gruss
Chris
koehlerbv:
--- Zitat von: Peter S. am 31.07.06 - 13:28:43 ---Eine Aussage wie "Man sollte immer Gruppen nehmen" ist mindestens diskussionswürdig.
Unser sehr ausgefeilter Workflow funktioniert mit gruppen NICHT, aber mit Einzelnamen ganz hervorragend.
....
--- Ende Zitat ---
Zu ersterem: Ich denke, hier ist keinerlei Verallgemeinerung möglich: Gruppen können Sinn- und Unsinn machen, für einzelne Namen gilt gleiches.
Zu zweitem: Sooo ausgefeilt scheint Euer Workflow dann aber nicht zu sein. Mein Workflow-Kernel ist es egal, ob er mit einzelnen Namen, mit Gruppen oder gar mit Rollen der DB gefüttert wird ... Selbst im Anlassfall zu versendende Mails können mit Rollen konfrontiert werden - das wird einfach aufgelöst.
Bernhard
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln