Domino 9 und frühere Versionen > ND8: Administration & Userprobleme
Benutzerzugriffe sperren Http
tron55:
Hallo
schöne Weihnachten , solange man das noch sagen darf!
Ich habe mal eine Frage zu einem Thema über das ich aus Neugier gestolpert bin aber zu dem ich leider nur alte Informationen gefunden habe
(http://atnotes.de/index.php/board,2/action,display/threadid,14952.html)
Zu der Zeit als dieser Thread aktuell war, hat man Leute die aus einer Firma ausgeschieden waren in die DENY List gesteckt damit diese nicht mehr auf den Server einloggen konnten - nur dummerweise galt das nicht automatisch für den Webzugriff.
Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...
Weiß jemand ob das in der Version immer noch so ist?
Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das in der Active Directory möglich ist?
Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.
Gruß
Axel:
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...
Weiß jemand ob das in der Version immer noch so ist?
--- Ende Zitat ---
Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das in der Active Directory möglich ist?
--- Ende Zitat ---
Nein.
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.
--- Ende Zitat ---
Was meinst du mit "...stärker zu differenzieren"? Wer im DD steht darf prinzipiell, außer er steht in der DenyAccess-Gruppe.
Allerdings kann man über die Sicherheitseinstellungen im Serverdokument das einiges einstellen.
Aber was macht das für einen Sinn jemanden in DD aufzunehmen und ihm dann keine Zugriff auf den Domino zu gewähren. In dem Fall braucht man ihn auch nicht in DD einzufügen.
Axel
tron55:
--- Zitat von: Axel am 26.12.10 - 11:50:48 ---
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...
Weiß jemand ob das in der Version immer noch so ist?
--- Ende Zitat ---
Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.
--- Ende Zitat ---
Das würde mich mal interessieren wie die heißt ,weil wie in dem Thread zu nachzulesen konnte man in 6.5 nur das Internetpasswort wegnehmen.
Wenn ich mir nun einen 5000+ Personenbetrieb vorstelle ist das schon arges Gefrickel davon auszugehen das jeder Admin in den verschiedenen Organisationen auch immer daran denkt das Internetpasswort auszutragen... oder im Nachhinein zu überprüfen ob das auch wirklich überall passiert ist.
Kann man möglicherweise etwas unterbinden indem man im Serverdokument "Check Password" aktiviert?
--- Zitat von: Axel am 26.12.10 - 11:50:48 ---
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das in der Active Directory möglich ist?
--- Ende Zitat ---
Nein.
--- Ende Zitat ---
Das ist irgendwie schwach von Notes..
--- Zitat von: Axel am 26.12.10 - 11:50:48 ---
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.
--- Ende Zitat ---
Was meinst du mit "...stärker zu differenzieren"? Wer im DD steht darf prinzipiell, außer er steht in der DenyAccess-Gruppe.
Allerdings kann man über die Sicherheitseinstellungen im Serverdokument das einiges einstellen.
Aber was macht das für einen Sinn jemanden in DD aufzunehmen und ihm dann keine Zugriff auf den Domino zu gewähren. In dem Fall braucht man ihn auch nicht in DD einzufügen.
Axel
--- Ende Zitat ---
Ok vielleicht habe ich etwas falsch verstanden aber genau das ist doch nicht der Fall.
Wenn jemand in der DenyAccess steht darf er sich nicht mit mit seinem Notes Client im LAN am Server anmelden - aber auf dem HTTP Task darf er es dummerweise, genau das war ja das Problem in dem Thread dessen URL ich gepostet hatte.
Es kann ja außerdem durchaus möglich sein das ich bestimmte User auf den HTTP Task (zb Vorstand und GF) zugreifen lassen will und andere sollen sich nur im Lan anmelden können.
m3:
Policies und "Enforce password expiration" sind Stichwörter für die Suche in der Admin-Hilfe. ;)
Auch gut ist "Enforce server access settings"
--- Zitat ---Domino server access is defined in the Server document in the Domino Directory. If a user is listed in a deny access list or is not listed in an allowed access list, then the user cannot be granted access to the server. In Lotus Domino 5, server access settings in the Server document were not applied to users accessing the server with a Web browser. However, Lotus Domino 6 allows the enforcement of the server permission for Web users
--- Ende Zitat ---
Axel:
--- Zitat von: tron55 am 26.12.10 - 14:17:13 ---
--- Zitat von: Axel am 26.12.10 - 11:50:48 ---
--- Zitat von: tron55 am 26.12.10 - 01:29:32 ---Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...
Weiß jemand ob das in der Version immer noch so ist?
--- Ende Zitat ---
Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.
--- Ende Zitat ---
Das würde mich mal interessieren wie die heißt ,weil wie in dem Thread zu nachzulesen konnte man in 6.5 nur das Internetpasswort wegnehmen.
Wenn ich mir nun einen 5000+ Personenbetrieb vorstelle ist das schon arges Gefrickel davon auszugehen das jeder Admin in den verschiedenen Organisationen auch immer daran denkt das Internetpasswort auszutragen... oder im Nachhinein zu überprüfen ob das auch wirklich überall passiert ist.
Kann man möglicherweise etwas unterbinden indem man im Serverdokument "Check Password" aktiviert?
--- Ende Zitat ---
So ich habe mal in meinem Archiv gekramt.
Im Server Dokument auf dem Reiter "Ports" und dort unter "Internet Ports" muss die Option "Enforce server access settings" auf "Yes" gesetzt sein.
Sonst kann der User, obwohl er in der DenyAccess-Gruppe drin ist, trotzem über HTTP auf den Server zugreifen.
Axel
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln