Richtlinien - Policies

[Cookie]

Hallo zusammen,

ich sitze hier schon eine Weile an dem folgenden Problem:

Umgebung:
Notes 8.0.2 (Basic)
Domino 8.0.2 FP1
ca. 1200 User über Terminalserver
Notes Data liegen in einem Share (Zugriff durch Admin gewährleistet)
SharedData Variable aktiviert

Problem:
Wir haben u.a. eine Organizational Desktop Policy eingericht. Diese soll nur Servernamen verteilen.
Bei einem Teil der User wird diese Richtlinie umgesetzt, bei einem anderen Teil nicht. Das wiederholte Speichern der Policy/Setting bringt keine Veränderung.

Der Unterschied, den ich bisher herausgefunden habe ist der, dass bei den Usern, bei denen es nicht funktioniert, ein Proxykennwort im aktuellen Arbeitsumgebungsdokument hinterlegt ist. Dieses sorgt entsprechend dem Design der Maske für eine Verschlüsselung des Dokumentes, bzw. der beiden Kennwortfelder (Proxy- + Sametimekennwort). Die Verschlüsselung wird auch bei den Dokumenteigenschaften angezeigt.

Die Fehlermeldung im Log des Clients lautet dazu:
Dynamische Client-Konfiguration: Fehler beim Hinzufügen von Richtlinieninformationen zum Adressbuch: Element des Dokuments nicht gefunden

Mal angenommen, hier hätte Lotus tatsächlich einen Fehler eingebaut.

Hat evtl. jemand eine Idee, wie man einen Workaround für dieses Problem erstellen kann.


Lösungsansätze:

1.) Einerseits kann man natürlich im Design die Verschlüsselung entfernen.
Das führt jedoch zu einer Abbildung der Kennwörter im Klartext (Nur bedingt brauchbar). Mit dieser Variante kann ich außerdem die Verschlüsselung der bereits bestehenden Arbeitsumgebungen nicht aufheben. Somit würde diese Anpassung nur für neue Dokumente wirksam werden.

2.) Die Neuerstellung des persönlichen Adressbuches führt natürlich zu einer kurzfristigen Funktion der Policy. Bis zu dem Punkt, wo der User wieder sein Kennwort für den Proxy einstellt.

3.) Gibt es die Möglichkeit und hat es Aussicht auf Erfolg, das entsprechende Dokument mit weiteren Schlüsseln zu versehen, die dann evtl. die Aktualisierung zulassen. (Ich muss hier vieleicht dazu sagen, dass die Geschichte mit den Schlüsseln nicht so ganz mein Spezialgebiet ist.)


Ich bin für jeden Vorschlag offen, selbst über eine Deaktivierung der Proxykennwörter insgesamt, so dass die Hinterlegung in der Location nicht mehr erforderlich ist, habe ich schon nachgedacht. Scheitert natürlich an den Kontroll- und Sicherheitswahn anderer beteiligter Administratoren.

Gruß

Christian

[Cookie]

Vorgehensweise zur Lösung:

Beliebiges Feld in "allen" Arbeitsumgebungsdokumenten per Script(Formel nicht getestet) ändern.
Ich hab es temporär im Postopen der Maildb eingesetzt.

Dadurch werden die Dokumente entschlüsselt.
Jetzt noch die Desktop Policy neu Speichern und beim nächsten Serverconnect werden die Policies aktiviert und übernommen.

Einziger Wehrmutstropfen: In den Dokumenteigenschaften steht das Proxy - Kennwort dann bis zur nächsten Benutzereingabe im Klartext...


Es handelt sich imho um eine Umstellung der Verschlüsselungsmechanismen zwischen pre Ver. 8 und 8, denn eine Reproduktion des Problems mit neuen Usern oder einem wie oben beschrieben bearbeiteten Addressbuch ist nicht möglich.
Noch zur Info:
Bei lokalen Clients kann man das Abholen der Policies durch das Starten der Replikation anstossen.

Noch Fragen? Dann Fragen!

EDIT: War natürlich alles Quatsch, sorry.  

Nach der weiteren Analyse bin ich zu folgendem Ergebniss gekommen:

In der ID des Benutzers (Datei --> Sicherheit --> Benutzersicherheit --> Notes Daten) kann man einstellen, ob lokale Repliken verschlüsselt werden sollen.

Keine Ahnung warum   , aber wenn ich das bei meinen Usern auf "Nicht lokal verschlüsseln" stelle, zieht er die Desktop - Policies.
Parallel habe ich noch das Feld Profiles im Personendokument im NAB geleert (UI: Setup Profile(s): im Tab Administration)

Gruß

[Cookie]

Achtung Änderung, siehe oben