Zugriffskontrollierte Abschnitte - Denkfehler?

[wickie]

Hallo zusammen,

seit zwei Tagen schlage ich mich jetzt mit den Zugriffskontrollierten Abschnitten herum, und ich komme einfach nicht zum Ziel...

Meine grundsätzliche Aufgabenstellung ist folgende:

Die Dokumente in einer Datenbank dürfen von Otto Normaluser nur gelesen werden, nicht editiert.
In einigen Dokumenten sollen festgelegte User aber das Recht haben, bestimmte Abschnitte zu verändern.

Mein aktueller Weg sieht so aus:

Per Definition in der ACL sind die User nur Leser. In den Dokumenten habe ich zugriffskontrollierte Abschnitte erzeugt. Hier wird der Zugriff per Formel berechnet. Wenn ich nun so ein Dokument als Leser öffne und auf den Abschnitt klicke, kommt die Meldung, dass nur ich den Abschnitt bearbeiten dürfte, aber ich darf es eben nicht  Selbst wenn ich als User Editorenrechte habe darf ich den Abschnitt nicht bearbeiten. Statt den Zugriff zu erlauben, wird er sogar noch eingeschränkt! Erst wenn ich das Dokument einmal gespeichert habe und dann wieder öffne kann ich plötzlich den Abschnitt bearbeiten...

Habe ich was falsch gemacht, oder ist da grundsätzlich ein Denkfehler drin? Funktioniert es am Ende nur umgekehrt, also wenn ich alle zu Autoren mache und den Zugriff auf bestimmte Abschnitte beschränke, statt den Lesern Zugriff auf Abschnitte gewähren zu wollen?

Bin für jeden Tipp dankbar, nach zwei Tagen Recherche im Forum und bei IBM habe ich mittlerweile keine große Lust mehr zum Forschen 

[Glombi]

Du solltest die Formel in dem berechneten Abschnitt als "Berechnet zur Anzeige" definieren! Ansonsten speichert es sich nicht in einer Art Feld.

Die User brauchen darüber hinaus auch das Recht, das Dokument zu bearbeiten. Damit scheidet Leser aus. Mindestens also Autorrecht und der User muss namentlich, per Gruppe, Rolle oder Wildcard in einem Autorfeld stehen. Oder Editor und höher.

Andreas

[wickie]

Hallo Andreas,

'Berechnet zur Anzeige' habe ich schon gesetzt, immerhin eine Sache stimmt schonmal 

Aber das Rechtekonzept habe ich noch nicht ganz durchblickt...

Wenn jemand das Dokument bearbeiten darf, also Autor oder höher, dann kann er doch alles bearbeiten, oder nicht? Wozu dann noch der 'Zugriffskontrollierte Abschnitt'? Ich verstehe das nicht....

Damit ich mich so langsam dem Ziel nähere, fasse ich nochmal zusammen:
User muss in der ACL mindestens Autor sein (aber darf vermutlich nicht das Recht zum erstellen von Dokumenten haben), in dem Dokument muss der User in einem Autorenfeld auftauchen, und dann?

Ich probier's einfach mal

[wickie]

Ich hab's jetzt mal getestet. Es ist tatsächlich so, wie ich vermutet habe. Mit dem Autorenfeld im Dokument kann der User zwar nur 'seine' Dokumente bearbeiten, dafür diese komplett.

Bis dahin, dass er seinen Namen aus dem Autorenfeld löschen oder andere darin aufnehmen kann.
Wie beschränke ich denn nun wirkungsvoll den Zugriff auf den speziellen Abschnitt, für den die Bearbeitung durch den User erlaubt sein soll?

Mittlerweile verstehe ich das eher so, dass das mit den zugriffskontrollierten Abschnitten der Zugriff auf einzelne Bereich 'eingeschränkt' werden kann, nicht auf spezielle Bereiche 'erlaubt'.

Das würde dann bedeuten, dass ich mein gesamtes Dokument in einen 'beschränkten' Abschnitt verpacke und nur den zur Bearbeitung vorgesehenen für den User 'offen lasse'?
Aber das kann es ja irgendwie auch nicht sein...

[Tode]

doch, genau so ist es...

Kontrollierte Abschnitte sind dafür gedacht, den Zugriff des Benutzers aus der ACL EINZUSCHRÄNKEN, nicht zu erweitern.

Du musst also - wie Du richtig erkannt hast- alles das in einen Abschnitt packen, von dem Du NICHT willst, dass es der User bearbeitet. Das kann man auch so machen, dass der Abschnitt für den User komplett unsichtbar ist, also auch nicht zum zuklappen.

Will man für einzelne Felder den Zugriff verbieten, geht das -im speziellen Einzelfall- auch darüber, dass man in den Feld- Eigenschaften sagt, dass der Benutzer mindestens Editor- Rechte- braucht, um das Feld zu bearbeiten.

Aber das muss genau auf die Anforderung passen, weil man es nicht weiter "customizen" kann.

Das hiesse dann: Editoren können das Feld bearbeiten, Autoren nicht.
Allerdings will man in den wenigstens Fällen Benutzern tatsächlich Editor- Rechte geben...

Tode

[wickie]

Na supi 

Vielleicht bin ich ja auch komplett auf dem Holzweg, und es gibt noch eine viel bessere Lösung.

Ich schildere hier einfach mal, was ich vorhabe:

Wir haben ein Mitarbeiterverzeichnis, in dem diverse Infos drin sind (Von Name und Telefon über Zuständigkeiten bis zum Hobby).

Ich möchte erreichen, dass der User einige Dinge (wie z.B. Hobby und spezielle Kenntnisse) selbst anpassen kann, den Rest aber nicht.

Irgend eine Idee dazu?

[DAU-in]

bearbeitbare Felder und Felder zur Anzeige.
Angezeigt nach Rolle des Benutzers?

Wobei das mit dem ganzen Abschnitt sicherlich einfacher wäre, wenn es viele Felder sind.

Oder berechnete Teilmasken, mit den jeweiligen editierbaren Feldern

[wickie]

Das mit der Teilmaske habe ich nicht hinbekommen. Da war dann plötzlich wieder das Gesamte Dokument editierbar, wenn ich dem User das editieren der Teilmaske gestattet hatte...

Und mit den Feldern zur Anzeige scheint mir auch problematisch zu sein, da müsste ich vermutlich alle Felder doppelt vorhalten...

[HH]

Die Problemstellung mit der Mitarbeiterdatenbank, ist die gleiche wie im Domino Verzeichnis. Dort haben alle User Autor-Rechte und stehen als Autor in einem Feld vom Typ Autor. Für die Felder, die nicht bearbeitet werden dürfen, ist die Eigenschaft "Mindestens Editor-Rechte zur Bearbeitung" eingestellt ist. Ein sehr überschaubarer Kreis von Benutzers hat dann diese Rechte bzw. es wird mit der Rolle UserModifier gearbeitet.

Hubert

[wickie]

Den Ansatz finde ich ganz gut, das gucke ich mir mal an. Ich habe es jetzt mit Abschnitten hinbekommen, aber das ist - alleine schon optisch - eher problematisch. Und wenn man vergisst ein Feld in einen Abschnitt mit aufzunehmen (was dank der unübersichtlichkeit der Abschnitte schnell passiert), kann kann der User das ungewollter Weise doch bearbeiten...

[wickie]

Hat super geklappt. Alle Felder, die der User nicht bearbeiten soll auf "mindestens Editorrechte" angehoben, allen Usern in der DB Autorenrechte (ohne das Recht zum Erstellen von Dokumenten) gegeben und in die Dokumente ein verstecktes Autorenfeld mit dem entsprechenden Inhalt eingebettet.

Hat jetzt mit eigentlich wenig Aufwand genau das gewünschte Ergebnis gebracht

Gewusst wie! Vielen Dank nochmal