Lesserfelder - Gruppen - lokal Adressbuch nötig?

[Felix Ziegler]

Hallo zusammen,

da die Rollen in der ACL auf 75 begrenzt sind, möchte ich gerne Gruppen verwenden um den Zugriff auf Dokumente mittels Leserfelder zu steuern. Ich hab einges jetzt durchprobiert und blick nicht so ganz durch, wie der Client intern arbeitet. Manchmal habe ich das Gefühl das der Cache ein ganz gewaltiges Stück beiträgt ;-)

Folgede Ausgangssituation im DD des Servers:

Gruppe      Mitglieder
Alle            A;B
A               Hans
B               Franz
C               Hans

In der ACL der Datenbank ist nur die Gruppe "Alle" als Manager eingetragen.
Die 4 in der Datenbank bestehenden Dokumente haben im Leserfeld jeweils eine Gruppe eingetragen.

Wenn die beiden Personen "Hans" und "Franz" die Datenbank am Server aufmachen, dann sehen sie auch wirklich ihre zugeordneten Dokumente. Wenn die Datenbank lokal repliziert wird (konsistente ACL ist an) funktioniert auch alles noch.

Erst wenn sich etwas in der Struktur der Gruppen ändert. Z.B. "Hans" aus Gruppe "C" entfernt wird. Dann kommt es zu Problemen.

Was muss ich beachten, dass sowohl auf dem Server als auch auf dem Client die gleichen Dokumente vorliegen (nach Replikation).
Brauche ich das DD lokal als Replik (und evtl. eingetragen als weiteres Adressbuch in der Notes.ini)?
Müssen die Gruppen alle in der ACL aufgeführt werden? Bisher steht ja nur die Gruppe "Alle" drin. (Tests ergaben unterschiedliche Reaktionen wenn die Gruppen in der ACL eingetragen sind. Manchmal hats funktioniert. Manchmal nicht... cache?!)

Danke für eure Hilfe
Felix

[m3]

Bist Du Dir sicher, dass Managerrechte auf die Gruppe "Alle" in diesem Zusammenhang wirklich das macht, was Du willst?

Aus der Admin-Hilfe:

It should be noted that local replicas with "Enforce a consistent access control list" enabled attempt to honor the information in the ACL and determine who can do what accordingly. However, they have some limitations. One limitation is that group information is generated on the server, not at the local replica. When a database is replicated locally, information about the group membership of the person doing the replication is stored in the database for use in ACL checking. If a person/identity other than the one doing the replication accesses the local replica, there will be no group membership information available for that person, and the ACL can use only the person's identity, not group membership, to check access.

[Felix Ziegler]

Die Gruppe "Alle" hat in meinem Test Managerrechte, dass ich die ACL wieder verändern kann. Im Live Betrieb wird die Gruppe allerhöchstens Editoren Rechte bekommen. Aber damit hängt das ganze ja nicht zusammen.

Sehe ich es richtig, dass bei jeder Replikation der Datenbank, die komplette Gruppenzugehörigkeit der Person, welche die Replikation anstößt, in der Datenbank mit abgespeichert wird? Unabhängig welche Gruppen in der ACL hinterlegt sind...? Oder werden bei der Replikation nur die in der ACL hinterlegten Gruppenzugehörigkeiten überprüft und lokal mit abgespeichert?

[koehlerbv]

Es werden die effektiven personenbezogenen Rechte in der kACL festgehalten. Die Gruppeneinträge spielen lokal keinerlei Rolle.

Bernhard

[Felix Ziegler]

Sorry wenn ich dumm nachfrage... aber was bedeutet "die effektiven personenbezogenen" Rechte? Die Personen stehen ja nicht namentlich in der ACL drin. Und die Leserfelder in den Dokumenten funktionieren ja lokal auch (manchmal)

Werden alle Gruppen (die in der ACL stehen) beim replizieren durchlaufen und geschaut ob die Person darin enthalten ist?
oder
Werden einfach alle Gruppen der Person "mit weg geschrieben"?

[m3]

Wenn eine Person eine lokale Replik anlegt oder repliziert, werden deren tatsächlichen Rechte (nach Auflösung aller Gruppen, ....) in der DB für den Offline-Zugriff hinterlegt.
Aber für die lokale Replik und nur für den User, der repliziert, nicht für alle Mitglieder der in der ACL hinterlegten Gruppe(n).

[Felix Ziegler]

Danke euch!