Domino Berechtigungen

[TWI]

Hallo,

Ich habe ein Netzwerk übernommen und dort läuft auch Notes 9.0.1. Leider gab es nie eine richtige Übergabe und scheinbar wurden auch schon vorher die Berechtigungen nicht ordentlich übergeben.

Jetzt habe ich Probleme z.B. auf den ID-Vault zuzugreifen und vermutlich damit auch verbunden, kann ich keine Benutzer löschen.

Ich kann auch bei älteren Benutzer nicht auf deren nsf-Datei auf dem Server zugreifen, damit ich dort die entsprechenden Berechtigungen nachtragen kann (vermutlich sind dort nur persönlich die damaligen Admins eingetragen).

Ein weiteres Probleme mit Berechtigungen habe ich, wenn ich eine neue Person registriere und dort bei "Zugriff für Besitzer der Maildatei" "Manager" auswähle, was scheinbar die jeweilige Person ist, habe ich später auch keinen zugriff mehr auf deren Mail-Datei habe, selbst wenn ich bei lokaler Admin die Admin-Gruppe angebe (Ich habe noch nicht ausprobiert, ob es was ändert, wenn ich mich selbst dort eintrage, weil ich Personen nicht vollständig löschen kann und ich nicht einen ganzen haufen "Leichen" erstellen will). Wenn ich allerdings bei der Zugriffsberechtigung "Editor" eintrage, und obwohl ich das "Manager der Maildatei" freilasse, habe ich danach Zugriff auf die Maildatei.

Ich hätte auch noch ein paar Fragen, was die "Verebung" von Berechtigungen angeht.
Die Idee war wohl mal, dass es eine Gruppe gibt, wo man jeweils den neuen Admin hinzufügt und der dann automatisch alle anderen Berechtigungen erhält. Dieses System scheint aber seit etlichen Jahren schon nicht mehr gepflegt worden zu sein.
Auch ist es so, dass diese Gruppe in so ziemlich jeder Stufe der Hierachie eingetragen ist.
Bringt das das ganze System vielleicht durcheinander, da es sich ja ständig auf sich selbst verweist?
Ich weiß auch nicht, ob diese Gruppe richtig angelegt ist. Ich möchte da allerdings nicht wild daran rumspielen nicht, dass ich sämtlichen Zugriff verliere.
Das wäre auch gleich meine nächste Frage quasi als "fail safe". Wie würde ich denn ohne Adminrecht einen neuen Admin anlegen. Ich habe natürlich die Passwörter der Zertifizierungs IDs.

Vielen Dank für jegliche Hilfe und viele Grüße

[ascabg]

Hallo,

Ehrlich gesagt, so wie du es hier gerade beschreibst, ist das ganze System anscheinend richtig schön "verbogen".

Hier jetzt alles zu beschreiben bzw. eine Erklärung zu liefern, würde glaube ich den Rahmen hier sprengen.

Ohne das "geerbte" System etwas genauer zu kennen, wird es alles nur ein Stückwerk werden.

Am besten, aus meiner Sicht wäre, wenn deine Firma ein wenig Geld in die Hand nimmt, sich einen Dienstleister
für ein paar Tage ins Haus holt der das System richtig "durchleuchtet" und korrigiert und gleichzeitig noch
eine einigermaßen vernünftige Dokumentation hinterläßt.


Andreas

[Tode]

Für mich sieht die Beschreibung gar nicht so aus, als wäre was verbogen, sondern eher so, als ob Du schlicht keine Ahnung von Domino hast (nicht böse gemeint). Einige Berechtigungen lassen sich schlicht nicht durch Gruppenmitgliedschaften erteilen, sondern nur durch bestimmte Schritte (Vault- Berechtigungen sind Personenbezogen, Ca- Berechtigungen auch, und müssen manuell für den neuen Admin eingerichtet werden).

Hol Dir Einen guten Dienstleister, der Dir Deine Domäne analysiert und erklärt und Dir gleich noch eine Domino Grundlagen Adminschulung verpasst. Du wirst sehen: dann wird das alles ganz einfach...

[TWI]

Hallo,

Tode hat da ganz recht. Ich hab recht wenig Ahnung von dem System. Ich bin auch mehr eine Übergangslösung, da der vorherige Admin nicht im Guten gegangen ist und noch kein neuer gefunden wurde.
Geld will natürlich keiner ausgeben, gerade weil das System eigentlich auf Exchange umgestellt werden soll, allerdings kümmert sich darum auch niemand.
Hätte ja sein können, dass einer Lust gehabt hätte mir diverses zu erklären. Ich verstehe natürlich, dass es sehr umfangreich ist.

Viele Grüße

[ronka]

Das erklären ist weniger das problem, sondern der vielfalt in welches erklärt werden sollte.

Einen Dienstleister wie Tode oder mich würde auch mittels Remote Session schnell einiges hinbekommen, aber das erklären und Dokumentieren ist halt einen zeiträubende Sache.

Wenn ein neuer kommen sollte, und das system zusätzlich abgeschafft werden sollte, ist es sehr wahrscheinlich das der neue nicht mit den richtige kenntnisse gesucht wird, und eher mehr unfug als klarheit schaffen würde.

Ich rate dir dein Chef nahe zu legen das dieses system einfach und relativ schnell gepflegt und zurecht gebogen werden kann, aber nicht ohne den entsprechenden Sachkenntnisse.

Es gibt sicherlich einen fülle von personen die da helfen könnten, aber hier für jeder einzelne punkt hilfe finden wird einfach schwer, wenn die umständen keine möglichkeit zum rund-um-blick erlauben.

z.B.

1) Vorgaben machen für neue Mailfiles geht relativ einfach, durch in den Template einen neuen Eintrag zu erstellen mit [eintrag], der würde bei der erstellung neue mailfiles dann in "eintrag" übersetzt, und damit zugriff gewährt. Dafür muss mann aber zuerst den Template finden und anpassen, und er gilt natürlich nur für neue mailfiles.

2. Alte Mailfiles den Zugriff schaffen geht ebenso "einfach" wenn die entsprechenden einträge im Server dokument (Super Admin) vorhanden sind. Dafür muss also zuerst das Kontrolliert werden, und dann ist es möglich hier schnell und einfach etwas zu machen. Wenn das nicht vorhanden ist (Es IST ein sicherheitsrisiko!) dann könnte mann den erstellen und damit KURZ etwas tun. Aber da ist dann betriebsrat zu befragen und erlaubnis von CEO / CTO / CIO einzuholen.

3) Über gruppen berechtigung erstellen ist schon der Sinnvolle weg, und diesen gruppen können tatsächlich überall unterschiedliche rechten haben. Es ist nicht wie AD wo eine gruppe immer alles kann, in Domino kann es Pro Datenbank bestimmt werden, aber auch der Admin hätte (sehe 2) einen möglichkeit, wenn das vorher geplannt und erlaubt worden ist.

[Tode]

Im Hinblick auf eine Migration ist es DOPPELT wichtig, dass alles sauber ist: Du musst z.B. für die Migration einem Migrationsbenutzer Rechte auf alle Datenbanken geben, Du musst sicherstellen können, dass die Daten in den Datenbanken konsistent sind.

Ein GUTER Dienstleister wird in der Migration die Domino- Daten mit Dir zusammen grade ziehen. Ein SCHLECHTER Dienstleister sagt:

Domino geht mich nichts an, ich bin nur fürs Zielsystem zuständig, sorge bitte als Projektvorraussetzung dafür, dass die Domino- Daten in Ordnung sind (Stichwort verschlüsselte Daten, private Ordner, Kontaktsynchronisation etc.), sonst fange ich nicht an

Insofern: Wenn Ihr jetzt nicht 2-3 Tage investiert, um Euer System in Ordnung zu bringen, dann wird die Migration
a) wesentlich länger dauern
b) min. 5-10 Tage Zusatzaufwand generieren
c) wesentlich weniger Daten korrekt migrieren als technisch möglich wäre
d) in Folge dessen eine massive Unzufriedenheit bei den Benutzern schaffen (und typischerweise sind von Datenverlust / Kalenderunstimmigkeiten immer die oberen Ebenen (Geschäftsführer, Abteilungsleiter) betroffen, weil die einfach naturgemäss viele solcher Daten haben)

Das kannst Du so ruhig Deinem Chef sagen...

[byte]

ohne es wirklich  böse zu  meinen.. oftmals kommt man zu Afugaben, die einem nicht gerecht werden...
Vielleicht wäre das ein kleiner aber guter Einstieg :

https://www.amazon.de/Lotus-Notes-Domino-Administration-Software-Press/dp/3827317932

In eurer Umgebung würde ich mir einen DL  oder neuen Kollegen suchen, der das ganze fachlich korrekt analysiert,  korrigiert und euch bei der Migration zu Exchange o.a. begleitet (fachlich auch Notes/Domino wissend)

LG

[TWI]

Hallo,

Vielen Dank für jegliche Antworten.
Die Situation ist halt doof, aber ihr habt schon mal gute Anregungen gegeben, die ich auch weitergeben werde.

Viele Grüße