Person in Hierarchie verschieben ...

[TimDom]

Früh am morgen habe ich mal wieder ein kleines Problemchen.

Und zwar wollen wir eventuell unsere Organisationseinheiten vereinheitlichen.
Dazu müssten die User zwischen bestehenden Einheiten bzw der eigentlich OU umziehen.
Testweise habe ich gestern mal einen User aus einer OU2 direkt in die Ebene der Organisation also O verschoben.
Daraufhin kommt auch brav in der Admin4.nsf ein Request "Personennamen in der Hierarchie verschieben". Diesen Request muss man dann ja unter "Anforderungen \ Anforderungen zur Namensverschiebung" noch nach Auswahl des Zielcertifizieres bestätigen. Habe ich auch gemacht.
Damit wurde der ursprüngliche Request erfolgreich abgearbeitet. Nun kommt der nächste Request "Umbenennen im Domino-Verzeichnis veranlassen". Auch der wurde vom Adminp abgearbeitet und grün markiert. Der User steht nun auch mit dem neuen Fullname im Personendokument im DD.

Nur irgendwie hat sich das seit gestern noch nicht auf die ID des Users bzw auf die ID in der Vault ausgewirkt. Muss man da einfach noch ein wenig warten, bis der Client das irgendwie in die ID pumpt?

[Pfefferminz-T]

Ja, nachzulesen in der Lotus Domino Administrator Hilfe unter dem Punkt "Information -> Administrationsanforderungen -> Person umbenennen".

In diesem Kapitel wird für jede Administrationsanforderung beschrieben, wer wann was durchführt. Lesen lohnt sich, eine Schulung auch. Nichts gegen Dich aber ich kann Unternehmen nicht verstehen, die Mitarbeiter ohne Schulung zur Administration von Systemen "einteilen".

Grüsse,
Thorsten

[TimDom]

Ist ja nett gemeint der Hinweis und ich gebe zu, dies nicht gelesen zu haben.

Wenn ich mir aber in der Hilfe nun das Schaubild anschaue, scheint das entweder doch irgendwo zu klemmen oder aber das Bild passt nicht auf die Verschiebung in der Hierarchie.

Im Schaubild steht oben rechts "Wechsel zu neume Zertifizierer anfordern."
Danach erfolgt die Umbenennung im Domino Adressbuch. Soweit alles gut bei mir.
Laut Schaubild ist der nächste Step, dass der Benutzer die Änderung akzeptieren muss. Und genau so etwas passiert bislang nicht. Gestern Mittag habe ich das ganze initiiert und der User bekommt keine Frage o.ä. und die ID verharrt in der alten Hierarchie.

Darum meine Frage, ob hier noch etwas getan werden muss. Denn laut Schaubild ja nicht.

[Driri]

Hat der User denn seitdem definitiv mit seiner ID auf den Server zugegriffen ? Ein Zugriff via Replikation reicht nicht aus, um so eine Änderung zu aktivieren.

[TimDom]

Das hat er.
Kurz noch zu unserer Topologie.
Wir haben einen Hub, der Adminserver ist und diverse Spokes.
Der User ist auf einem solchen Spokeserver.

Den Request habe ich auf dem Adminserver initiiert, dort bestätigt und auch mal manuell die names.nsf als auch admin4.nsf zwischen Hub und Spoke repliziert.
Und mit dem Testuser habe ich auch fleissig gemailt. Er greift also auch zu mit seiner ID.

Ich habe gerade mal das Log des Clients geöffnet.
Interessant finde ich da die Meldung:

04.04.2013 09:48:22   Server 'spoke2/org' meldete folgende Probleme, die für das Fehlschlagen der Authentifizierung verantwortlich sind: Eintrag im Index nicht gefunden

Wobei spoke2/org ein anderer Dominoserver ist und nicht der Dominoserver des Benutzers, den ich umbenannt habe.
Nur ob die Meldung was mit dem Problem zu tun hat?

Ist die Frage, ob solch eine Meldung auch in einer Schulung aufgetreten wäre 

[Pfefferminz-T]

Seit Domino 6.5 ist die Standardeinstellung, dass der Benutzer nicht mehr gefragt wird, ob er den neuen Namen akzeptiert oder nicht (aus der Domino Admin Hilfe: "Hinweis  Standardmäßig wird der neue Name bei der nächsten Serverauthentifizierung automatisch bestätigt"). Das lässt sich aber vom Benutzer über die Benutzersicherheit ändern.

Wenn der AdminP-Request auf dem Home-Server des Nutzers angekommen ist und der Nutzer seinen Notes Client neu gestartet hat und dann auf eine Datenbank auf dem Server zugegriffen hat, dann sollte die nächste Stufe im AdminP ausgelöst werden. Diese Stufe wird (laut Technote 1514569) in der admin4 aber erst nach der vault synchronisation angezeigt.

Ist das nicht der Fall dann solltest Du überprüfen, ob die Änderung in der ID des Nutzers angekommen ist. Ist das nicht der Fall, dann überprüfe, ob die public keys in der ID-Datei dem public key im Personendokument des Nutzers entspricht.

Edit sagt: Ich nehme an, dass ihr für die neue Hierarchie auch eine entsprechende Policy für die Zuordnung des Vaults zu den Usern erstellt habt? Ansonsten führt der Vault keine Synchronisation durch und der AdminP geht nicht weiter.

Grüsse,
Thorsten

P.S. In Schulungen gibt es meistens mehr Problemsituationen als gewünscht...

[TimDom]

Okay, dann sind wir schon mal ein Stückchen weiter. Denn da scheint der berühmte Hase im Pfeffer begraben zu sein.

Wir haben eine Policy für die ID Vault, die auf einer OU/O wirksam wird. Ich habe den User allerdings direkt in die Organisation verschieben wollen.
Somit erklärt es sich auch, dass es nicht weitergeht.

Stellt sich jetzt die Frage, ob es sinnig ist, die Policy in der OU zu lassen oder direkt auf die O zu biegen und wenn ja, wie?
Da werde ich wohl noch ein wenig lesen müssen.

Vielen Dank auf jeden Fall für Eure schnellen Tips.