Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Database ACL - Person in mehrere Gruppen - welches Recht greift im Web ?

(1/2) > >>

MaMaRo17:
Hallo zusammen,

ich ging seit langem davon aus, dass bei einer Datenbank ACL das niedrigste Recht im Web zuletzt greift - jedoch ist dieses anscheinend nicht mehr so  ???


* Person A ist in der Gruppe "Admins"
* Person B ist in der Gruppe "Admins" und in der Gruppe "NoAccess"
Datenbank Scenario A:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Gruppe "NoAccess"
Person A und Person B können eine XPage öffnen...
Dieses Scenario verstehe ich nicht, weil Person B doch in der Gruppe "NoAccess" ist, welche keinen Zugriff hat  ???

Datenbank Scenario B:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff


Hat jemand ähnliche Erfahrungen gemacht oder habe ich einen Denkfehler ?
Bei uns sind alle Personen in Gruppen und keiner wird explizit als Person erwähnt.

Vielen Dank für eure Feedback

Klafu:
Hilft dir das?
https://www.ibm.com/support/knowledgecenter/en/SSKTWP_8.5.3/com.ibm.notes85.client.doc/sec_acl_maxnandpass_c.html

--- Zitat ---Users who access a Notes database over the Internet, either anonymously or by using name-and-password authentication, never have an access level higher than what is specified as the "Maximum Internet name & password" level. The "Maximum" setting overrides the ACL only if its access setting is less than the access defined in the ACL.
--- Ende Zitat ---

MaMaRo17:
nicht direkt, denn ich will über eine Gruppe "NoAccess" allen User den Zugriff entziehen, egal in welcher Gruppe Sie sind.

Tode:
So funktioniert das aber in ACLs nicht, weder im Web noch im Client: ACLs sind immer additiv: Du hast immer die HÖCHSTEN bzw. kummulierten Rechte. Hat z.B. eine Gruppe "Leser" mit Rolle "[RolleA]" und eine andere Gruppe "Autor" mit Rolle "[RolleB]" ohne löschrechte und eine dritte Autor mit Löschrechten und Rolle "[RolleC]", dann hat ein Benutzer, der in allen drei Gruppen ist die Rechte:

Autor mit Löschrechten, Rollen [RolleA], [RolleB], [RolleC].

Das ist so, so lange ich denken kann (geht zurück bis Notes 4.5, vorher hatte ich nichts damit zu tun).

MaMaRo17:
Die additiven ACLs wiedersprechen aber meinem Datenbank Scenario B  :-X

--- Zitat ---Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff
--- Ende Zitat ---

Oder meinst du, dass Gruppenrechte immer additiv sind und Benutzerrechte immer die höchste Wirkung haben ?

Sonst verstehe ich mein Scenario nicht  :-:

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln