Full Access per LotusScript abfragen

[Riccardo Virzi]

Ich möchte in einem LotusScript abfragen, ob der Benutzer Full Access aktiviert hat, bevor ich mit meiner Funktion starte. Falls nein, soll die Funktion mit einer Meldung abbrechen.

In den Script Klassen habe ich nichts gefunden. Habe ich das übersehen oder geht das nicht?

[CarstenH]

Ich würde simpel einen Zugriff versuchen, der nur mit Full Access möglich ist und den zu erwartenden Fehler mit der von dir gewünschten Meldung abfangen.

HTH
Carsten

[Richard Eder]

Vielleicht ist das brauchbar? @ServerAccess([FULLACCESS];@UserName)

Mit einem Evaluate sollte das dann auch in LS gehen:

Sub Initialize
   
   Const FORMULA= |@ServerAccess([FULLACCESS];@UserName)|
   
   Dim vRet As Variant
   
   vRet = Evaluate(FORMULA)
      
End Sub

[FrankLU]

Hallo Ricardo,

beim Prüfen der Zugriffsrechte wird die ALC der Datenbank herangezogen. Infos findest dazu in der Hilfe unter "NotesACL", "NotesACLEntry" und "Level (NotesACLEntry)"

Dabei macht es einen Unterschied, ob eine Person oder auch Gruppe explizit in der ALC genannt ist oder implizit (User ist nur Mitglied in einer Zugriffsgruppe, die evtl. Mitglied einer Zugriffsgruppe ist).

Für explizit genannte Benutzer und Gruppen kannst Du das Folgende verwenden:

Code

	Dim nss As New NotesSession
	Dim db As NotesDatabase
	Dim acl As NotesACL
	Dim aclEntry As NotesACLEntry
	Dim UName As NotesName
	Dim Rolle As String
	
	Set db = nss.CurrentDatabase
	Set acl = db.acl
	
	Rolle = "[Admin]"
	
	'+++ Prüfen einer explizit genannten Person
	Set UName = nss.CreateName(nss.UserName)	' aktueller Benutzer
	Set aclEntry = acl.GetEntry(UName.Canonical)
oder
	'+++ Prüfen einer explizit genannten Gruppe
	Set UName = New NotesName("Admin/ACME/DE")
	Set aclEntry = acl.GetEntry(UName.Common)
	
	'Prüfen auf generelle Zugriffsrechte
	If aclEntry.Level = acllevel_manager Then
		Messagebox"Ist Manager"
	Else
		Messagebox"Ist nicht Manager"
	End If
	
	'Prüfen auf Mitgliedschaft in einer bestimmten Rolle
	If aclEntry.IsRoleEnabled(Rolle) Then
		Messagebox"Ist in Rolle " + Rolle
	Else
		Messagebox"Ist nicht in Rolle " + Rolle
	End If

Je nachdem, wie in der Zugriffskontrolliste der Datenbank die Gruppen benannt sind, ist zu beachten, dass bei einer Person der canonische Name verwendet werden muss (hier: Max Mustermann/ACME/DE), bei einer Gruppe der "einfache" (common) Name (hier: Admin).

Bei impliziten Abfragen muss man nicht direkt auf die ACL zugreifen.

Code

	Dim ss As New NotesSession
	Dim db As NotesDatabase
	Dim UName As NotesName
	Dim Rolle As String
	Dim Rollen As Variant
	
	Set db = ss.CurrentDatabase

	'+++ Prüfen einer implizit genannten Person
	Set UName = nss.CreateName(nss.UserName)	' aktueller Benutzer
oder
	'+++ Prüfen einer implizit genannten Gruppe
	Set UName = New NotesName("Admin/ACME/DE")
	
	Rolle = "[Admin]"
	
	'+++ Prüfen einer Person in einer Gruppe der ACL
	'Prüfen auf generelle Zugriffsrechte
	If db.QueryAccess(UName.Canonical) = acllevel_manager Then
		Messagebox"Ist Manager"
	Else
		Messagebox"Ist nicht Manager"
	End If
	
	'Prüfen auf Mitgliedschaft in einer bestimmten Rolle
	Rollen = db.QueryAccessRoles(UName.Canonical)
	If Isnull(Arraygetindex(Rollen, Rolle)) Then
		Messagebox"Ist nicht in Rolle " + Rolle
	Else
		Messagebox"Ist in Rolle " + Rolle
	End If

[eknori]

Vielleicht ist das brauchbar? @ServerAccess([FULLACCESS];@UserName)

Das prüft aber nur, ob der User generell FULLACCESS Rechte hat, nicht aber, ob er auch mit den Rechten unterwegs ist.

[eknori]

Ich möchte in einem LotusScript abfragen, ob der Benutzer Full Access aktiviert ha

Was ist denn überhaupt dein use-case?

Welche Aktion erfordert FullAccess? ACL ändern ? Warum kann der Admin das nicht mit seinen normalen Rechten?

Und wenn es darum geht, dann hat CarstenH Dir schon eine Lösung gegeben.

[ronka]

Erstellt einen Datenbank (z.B. \Admin\NoAccess.nsf ) wo der Default kein Zugriff hat, und sonnst nichts in der ACL steht.

Versuche den DB zu öffnen. Mit Full Access gelingt es, sonnst nicht.

[Flachmann]

Diesen Use-case hatte ich auch schon: einfach im Agent feststellen, ob der aktuelle User aktuell FullAdmin-Rechte hat. Wenn nicht, wollte ich mit passender Meldung abbrechen.

Leider fand ich bislang auch keine Lösung.

Wenn die Rechte fehlen läuft mein Agent irgendwann in einen Fehler und man muss ihn dann mit passenden Rechten neu starten. Vorher biete ich noch die Möglichkeit zum manuellen Abbruch an. Nicht wirklich schön, geht aber, da der Agent ja sowieso nur von Admins ausgeführt werden kann. Denen kann man das zumuten.   

[Werner Götz]

Ich denke, der Vorschlag von Rudi (ronka) ist total einfach umzusetzen und sollte die Problemstellung lösen.
-Werner

[Richard Eder]

Das klingt doch gut..

https://atnotes.de/index.php/topic,62426.msg398903.html#msg398903

Auch wenn's Java ist -> Damit könnte man doch beim Start ein Profil befüllen und in LS nutzen.

http://hasselba.ch/blog/?p=1345

WICHTIG: These files can be found in <Notes>\osgi\shared\eclipse\plugins.

[Riccardo Virzi]

Danke für die Ideen und sorry für die späte Rückmeldung, war leider beschäftigt die letzten Tage.

Zum use case: die Admins sollen unregelmäßig per LotusScript Datenbank Einstellungen auslesen, welche ich dann in einer separaten Datenbank zur besseren Übersicht speichere. Unter anderem benötigen wir Einstellungen aus den Maildatenbanken, auf welche die Admins kein Zugriff haben. Deswegen muß zuerst FullAccess aktiviert und dann die Funktion aufgerufen werden. Eine Idee war, daß das Script einen Background Agent mit FullAccess aufruft, was leider nicht gewünscht ist. Deswegen wollte ich beim Start des Scripts prüfen, ob der Benutzer FullAccess aktiviert hat um eine entsprechende Meldung auszugeben, falls nicht.

Ich denke, daß ich die Lösung mit einer Datenbank noaccess.nsf umsetzen werde.

Danke

[eknori]

Unter anderem benötigen wir Einstellungen aus den Maildatenbanken, auf welche die Admins kein Zugriff haben.

OK.

Deswegen muß zuerst FullAccess aktiviert.

Was denn nun . Die Admins haben keinen Zugriff, können sich den aber leicht verschaffen. Die Spuren kann man dann ebenso leicht verwischen. Das ist aus meiner Sicht grob fahrlässig.

Eine Idee war, daß das Script einen Background Agent mit FullAccess aufruft, was leider nicht gewünscht ist.

Der Agent läuft dann im Serverkontext signiert mit der ServerID, oder einer entsprechenden ID. FULLACCESS muss nicht aktiviert sein, da der Server ja sowieso auf die Datenbanken zugreifen kann.

Verstehe nicht, warum das so nicht gewünscht ist. Denn genau so sollte es umgesetzt werden. dann brauchen die Admins auch keinen FULLACCESS. 
Hinzu kommt noch, dass die Admin dann immer schön auf einen Button klicken müssen, wenn Änderungen an den Maildatenbanken erfolgt sind, um die neuen Werte einzulesen. Klingt für mich nach Steinzeit-Administration und Arbeitsbeschaffung.

[Werner Götz]

Zuerst ist mir die Antwort von Ulrich als "scharf" bzw. "hart" vorgekommen, aber nachdem ich mir das nochmals durchgelesen habe, muss ich sagen, dass er aus meiner Sicht vollkommen Recht hat:

a) Wenn die Admins schon keinen Zugriff auf die Mail-DBs haben sollen, dann sollten sie dies auch nicht über eine solche Hintertür haben.
Man sollte Full Access Admin nicht konzeptionell für Standardtätigkeiten brauchen.

b) Besser ist sicherlich ein periodischer Agent, der die entsprechenden Einstellungen jederzeit "up to date" hält.

-Werner