Database ACL - Person in mehrere Gruppen - welches Recht greift im Web ?

[MaMaRo17]

Hallo zusammen,

ich ging seit langem davon aus, dass bei einer Datenbank ACL das niedrigste Recht im Web zuletzt greift - jedoch ist dieses anscheinend nicht mehr so  

• Person A ist in der Gruppe "Admins"
• Person B ist in der Gruppe "Admins" und in der Gruppe "NoAccess"

Datenbank Scenario A:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Gruppe "NoAccess"
Person A und Person B können eine XPage öffnen...
Dieses Scenario verstehe ich nicht, weil Person B doch in der Gruppe "NoAccess" ist, welche keinen Zugriff hat 

Datenbank Scenario B:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff


Hat jemand ähnliche Erfahrungen gemacht oder habe ich einen Denkfehler ?
Bei uns sind alle Personen in Gruppen und keiner wird explizit als Person erwähnt.

Vielen Dank für eure Feedback

[Klafu]

Hilft dir das?
https://www.ibm.com/support/knowledgecenter/en/SSKTWP_8.5.3/com.ibm.notes85.client.doc/sec_acl_maxnandpass_c.html

Users who access a Notes database over the Internet, either anonymously or by using name-and-password authentication, never have an access level higher than what is specified as the "Maximum Internet name & password" level. The "Maximum" setting overrides the ACL only if its access setting is less than the access defined in the ACL.

[MaMaRo17]

nicht direkt, denn ich will über eine Gruppe "NoAccess" allen User den Zugriff entziehen, egal in welcher Gruppe Sie sind.

[Tode]

So funktioniert das aber in ACLs nicht, weder im Web noch im Client: ACLs sind immer additiv: Du hast immer die HÖCHSTEN bzw. kummulierten Rechte. Hat z.B. eine Gruppe "Leser" mit Rolle "[RolleA]" und eine andere Gruppe "Autor" mit Rolle "[RolleB]" ohne löschrechte und eine dritte Autor mit Löschrechten und Rolle "[RolleC]", dann hat ein Benutzer, der in allen drei Gruppen ist die Rechte:

Autor mit Löschrechten, Rollen [RolleA], [RolleB], [RolleC].

Das ist so, so lange ich denken kann (geht zurück bis Notes 4.5, vorher hatte ich nichts damit zu tun).

[MaMaRo17]

Die additiven ACLs wiedersprechen aber meinem Datenbank Scenario B 

Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff

Oder meinst du, dass Gruppenrechte immer additiv sind und Benutzerrechte immer die höchste Wirkung haben ?

Sonst verstehe ich mein Scenario nicht 

[Tode]

Ja, ich meine Gruppenrechte. Personenrechte "übersteuern" Gruppen immer.

[MaMaRo17]

Danke vielmals  Jetzt muss ich intern umdenken 

[ronka]

Genau, Gruppenrechten addieren sich gegenseitig, damit bekommt jemand die höchste rechten die jeder gruppe ihm zu bieten hat zusammen addiert.

Personen in der ACL überstimmen den Gruppen, und damit zählt dann NUR explizit was im Personen eintrag steht. Dafür muss es auch ACL Typ person sein.

Web zugriff wird zuerst über den ACL geregelt, und danach (eventuell) eingeschränkt über den Maximale webzugriff.
Wer also NICHT in der ACL steht, kann auch nicht zugreifen, egal was in der Maximale zugriff steht.


Was mein "favoriet" zum ACL spielen hier immer war. Der Chef wollte in der Admin Gruppe rein, also rein mit ihm.
Im Names (und noch 4 weitere "wichtige" datenbanken) hat der dann zusätzlich im ACL einen Personen eintrag bekommen, der ihm genau den Rechte gibt die anderen ebenso haben. Überall wäre es dann Admin, ausser in diesen 4 Datenbanken.

Ach ja, SuperAdmin war einen getrennte gruppe, wo er nicht drin war, sonnst hätte er über den weg wieder selber sich ändern können bzw es aushebeln können.