ACL der Mailfiles per Script ändern

[Unwissender 0815]

Hallo zusammen,
ich habe leider keinen Plan daher folgende Frage. In der ACL der Mailfiles steht der Besitzer als Editor mit Löschrecht. Bei vielen stehen weitere Personen drin als Vertreter etc. Die sollen alle raus so das am Ende nur noch der Besitzer selbst, die Servergruppen, der Mailserver und eine Notes Admin Gruppe steht. Hat jemand ein Script welches sowas macht. Ich will den Usern eine Schaltfläche zusenden und dort das Script hinterlegen.
Danke und Grüße vom Unwissendem 0815

[it898ur]

Hallo,

wenn die Benutzer nur Editorrechte auf ihr Mailfile haben, können sie nicht per LS an der ACL herumschrauben. Das Script muss dann schon von einem Admin gestartet werden oder im Kontext eines Servers laufen.

In der Hilfe zur Klasse NotesACL findet man auch die notwendigen Teile - ist gar nicht schwer!

Viele Grüße

André

[eknori]

Wenn es für alle Mailfiles gelten soll, dann sollte man das um Gottes Willen nicht dem User überlassen. Es geht hier um geschäftsrelevante Eingriffe in das System.

Hier kann ein agent helfen, der im Kontext des Servers läuft.

Wir bieten so etwas im Rahmen einer Dienstleistung gegen Einwurf von Münzen an. Oder aber, die Hilfe lesen und selber bauen.

[Tode]

100% Zustimmung: Ohne Ahnung an der ACL der Usermailfiles rumschrauben ist ein absolutes NoGo... Wenn ihr sowas machen wollte, dann könnt ihr entweder jemanden beauftragen, der sich damit auskennt (Ulrich bzw. eknori ist da sicher eine der besten Adressen überhaupt), oder ihr kauft Euch ein Tool, was das (und vieles mehr) kann, nämlich aclEZ von der Firma Ytria.

Ein Hexenwerk ist das alles nicht, aber man muss jede Menge Eventualitäten beachten. Hier ein "Kochbuch":

- Kalenderprofil über NotesDatabase.GetProfileDocument holen
- Owner auslesen
- ACL mittels NotesDatabase.ACL holen
- Owner- Eintrag aus ACL mittels NotesACL.GetEntry holen
- wenn der Owner nicht in der ACL steht: doof kucken bzw. Plan überlegen
- Alle Einträge der NotesACL mittels NotesACL.GetFirstEntry und NotesACL.GetNextEntry durchlaufen und die NotesACLEntry- Objekte mittels ihrer Name- Property identifizierung und entweder löschen oder den Level anpassen

Kann ja kaum was schief gehen:

Du kannst nur die User aussperren, dass sie keinen Zugriff mehr haben.
Oder die Server aussperren, so dass keine Mails mehr ankommen (oder Traveler nicht mehr funktioniert)
Oder die Admins, so dass Du Deinen Fehler nicht mehr korrigieren kannst.
Du kannst vergessen, dass es auch Mailin- Datenbanken gibt, wo es gar keinen Owner in der ACL gibt, so dass nach Deiner Aktion niemand mehr Zugriff hat...

Und wenn Du dann alles geschafft hast, ohne was kaputt zu machen, dann wirst Du von einem Mitarbeiter verklagt (oder vom Betriebsrat), weil Du illegalerweise gegen das Briefgeheimnis verstossen hast, indem Du unberechtigterweise auf die Mailfiles der Benutzer zugegriffen hast...

Wie gesagt: kann eigentlich kaum was schiefgehen, wenn Du das selbst machst...

[Unwissender 0815]

Hallo und Danke für eure Antworten.
ups, sorry, gefühlte 90 % haben doch Managerrechte.

"Und wenn Du dann alles geschafft hast, ohne was kaputt zu machen, dann wirst Du von einem Mitarbeiter verklagt (oder vom Betriebsrat), weil Du illegalerweise gegen das Briefgeheimnis verstossen hast, indem Du unberechtigterweise auf die Mailfiles der Benutzer zugegriffen hast..."

Genau aus dem Grund finde ich es besser wenn wir uns ein wenig hinter der DSGVO verstecken und die ACl durch die User selbst bereinigen lassen im Delegierungsprofil.

Danke und Grüße vom Unwissendem 0815

[jBubbleBoy]

Zwischen Briefgeheimnis und DSGVO gibt es aber einen kleinen Unterschied.
Denn im Gegensatz zum Briefgeheimnis, welches gerade  EU-weit aufgehoben wird, wurde die DSGVO erst kürzlich eingeführt

https://www.patrick-breyer.de/beitraege/nachrichtendurchleuchtung/