Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: Daniel am 11.08.03 - 11:38:28
-
Hallo Zusammen!
Gibt es eine Möglichkeit, die ACL einer Maildb Administrativ zu ändern?
Als berechtigte sind nur der User, DomainServers und der Server eingetragen.
Danke, Daniel
-
Was meinst du mit administrativ ändern?
Meinst du über den Administrator ändern?
Wenn ja dann brauhst du auch auf dieser Weise Adminrechte auf den Mail-DB´s damit du über dem Admin-Client die ACL´s ändern kannst
-
Die hab ich aber nicht auf die DB!
Gibts da irgendwas anderes?
-
Die hab ich aber nicht auf die DB!
Gibts da irgendwas anderes?
-
Dann auf dem Server direkt. Öffne die nlnotes.exe und höl dir die Kachel der Mail-DB auf dem Arbeitsbereich dann kannst du über dem Server die ACL verändern
-
Das setzt natürlich einen Windows-Server vorraus. Wenn Du z.B. ne AS/400 als Server hast, dann kannst du dir nur nen Agent bauen, der in die ACL z.B. die Admingruppe einträgt und mit Managerrechten versieht.
Der Agent muß dann mit der Server-ID signiert werden und los gehts.
-
Ist windows.
Wenn ich die Exe öffne, kommt die Meldung, dass das Administrationsprogramm nicht verfügbar ist, während der Server läuft?!
-
Dazu brauchst Du den Administrationsclient nicht. Einfach die nlnotes.exe ausführen (auf dem Server), die Kachel in den Arbeitsbereich holen und dann über rechte Maustaste die ACL öffnen und bearbeiten.
Gruß Henning
-
oder Du versuchst es mal mit Eknoris Tool:
http://www.atnotes.de/index.php?board=8;action=display;threadid=9906 (http://www.atnotes.de/index.php?board=8;action=display;threadid=9906)
Ciao,
Christian
-
Wichtig ist der lokale Zugriff. Lokal heißt für Notes, dass man eine DB über einen Laufwerksbuchstaben erreicht. Also kann man auch sich das Laufwerk des Servers verbinden und die Datenbank über ein gemapptes Laufwerk öffnen. Damit hat man die gleichen Rechte, als wenn man am Server nlnotes.exe aufruft.
-
Hallo Madmetzger,
das ist ein guter Tipp. Danke, kannte ich noch nicht...
Gruß Henning
-
Hallo,
wir nutzen hier nsetacl.exe
Die läuft ähnlich der naladin.exe von Eknori.
Ich glaube, das haben wir im ;D "Sandkasten" ;D gefunden.
Grüße von
Zimmi
-
Hi!
Das Naladin Tool wäre ja schon recht, allerdings funzt das bei mir nicht so ganz.
Ich habs schon im Toolbereich gepostet.
es kommt die FM
no action und was wegen konsistenter ACL
???
Daniel
-
Hi Daniel,
bei konsistenter ACL wirst du um einen lokalen Zugriff nicht herumkommen.Du mußt entweder über nlnotes.exe am Server dran oder über das von madmetzger beschriebene Verfahren.
Andere Chancen hast du nicht.
Gruß Henning
-
Hi!
Ich hab das versucht, hat aber keine Auswirkung.
Muss ich da noch zusätzlich etwas beachten?
Ich hab ganz normal das Datenverz. des Servers gemapped und die Mail DB geöffnet. Darf aber noch immer nicht an die ACL ran.
Das Tool von Eknori müsste ja Konsistente ACL "knacken" können, geht aber auch nicht.
Was kann da sein?
Daniel
-
Du musst die Datenbank auch wirklich lokal öffnen! Also über Datenbank öffnen, dann auf durchsuchen und die Datenbankdatei auswählen und öffnen. Wenn du mit Kacheln arbeitest sollte "Name der DB auf Lokal" auf dem Symbol stehen. Dann arbeitest du mit Managerzugriff und kommst an die ACL ran.
-
"Besorgt" euch AdminACL. Dem Tool ist selbst eine konsistente ACL völlig egal... ;)
-
@jovel
wo gibts das??
IBM MIB MBI ??? ??? ???
-
Gibt`s in der Sandbox bei notes.net
-
Mittlerweile heisst das Teil "AdminACL2" und damit bin ich bisher an alle DB's gekommen. Hat ein Israeli programmiert; die sind eben gut die Israelis................
-
Hi Daniel,
wo ist denn die Schwierigkeit beim Öffnen mit der nlnotes.exe??
Kommst du an den Server nicht ran?
Dann brauchst du keinerlei Tools und änderst die ACL, fertig.
Gruß Henning
-
Hi HRaq!
Also das mit der NLNOTES.exe war mein Fehler. Ich bin mit einem Terminaldiensteclient rauf, dann gehts nicht. Hab mich nun über Remote direkt auf den Server geschalten, dann kann ich die EXE öffnen.
Jedoch kommt komischerweise, wenn ich die Mail DB des Users öffnen will, dass ich keinen Zugriff habe!?!
Weiters, wenn die DB Lokal wie vorher beschrieben geöffnet werden, hab ich auch keinen Zugiff!?!
Für mich klingt das ganze nicht gut!
Daniel
-
Hi Daniel,
dann ist vermutlich dein Server in der ACL explizit als "Server" und nicht als "unbestimmt" eingetragen.
Eigentlich bleibt jetzt nur eines:
Neue Datenbank anlegen (gleicxhe Gestaltung), Docs rüberkopieren, ACL anpassen - fertig...
Oder versuchen, eine (lokale) Replik oder Kope auf deinem PC anzulegen und die ACL dann zu verändern. Da sehe ich allerdings keine große Chancen.....
Gruß Henning
-
Oje, liegt es auch daran, dass die ganzen Tools bei mir nicht greifen?
Danke, für deine Info!
-
Hi Daniel,
kannst du mir evtl. mal erklären, warum du das ändern mußt? Warum kann der User nicht selbst zugreifen? Das würde das ganz wesentlich vereinfachen...
Gruß Henning
-
Der ist im Urlaub und jem sollte seinen Agenten aktivieren.
Ich dachte, wenn unter Vorgaben Mail die Maximale berechtigung (löschen usw.) erteilt wurde, dann funzt das, aber dem war nicht so.
Deshalb
-
Hast du keine Sicherungskopie der ID-Datei?
-
Doch, das hab ich alles.
Aber es wäre wesentlich einfacher sich so Zugriff zu schaffen.
Aber es wird wohl nichts anderes übrig bleiben.
Aber dennoch, kann man das irgendwie umstellen, dass man auch mit dem nlnotes.exe auf m Server da rein kommt?
Der Server muss ja sowieso reinschreiben können... Frag ich mich, wieso er dann nicht öffnen kann? Ist das nur wegen der Bestimmung in der ACL?
Daniel
-
Das Problem ist, daß der Server in der ACL als Typ "Server" eingetragen ist. Unter R4.x war das nicht wirklich nen Problem, unter Notes R5 merkt der Server aber, daß du dann versuchst die DB über nen Client zu öffnen und blockt das ab.
Das würde also nur funktionieren, wenn der Server in der ACL als "Unbestimmt" eingetragen ist.
Ansonsten kannst du dir aber nen Agent schreiben, der dir auf die Datenbank Rechte verschafft. Wenn du den Agent mit der Server-ID signierst und periodisch startest, kannst du z.B. die Admin-Gruppe in die ACL setzen lassen.
Anbei nen kleines Script, das das erledigen kann :
Dim session As New notessession
Dim db As NotesDatabase
Set db = session.GetDatabase("NOTESSRV","mail\\user.nsf")
If db.IsOpen Then
Call db.GrantAccess( "ADMIN",ACLLEVEL_MANAGER )
Else
Call db.Open( "", "" )
Call db.GrantAccess( "ADMIN",ACLLEVEL_MANAGER )
End If
-
Hi Daniel,
wenn du die Kopie hast, erspar dir den ganzen Ärger:
Schnapp dir die ID, steig mit Standardpasswort ein (vorausgesetzt, Ihr habt sowas), geh auf die Datenbank, aktivier deinen Agenten, änder bei der Gelegenheit die ACL - und gut is.
Wozu der Aufstand dann mit Tools, Scriptlösungen und der ganze Heckmaeck?
Gruß Henning
-
Um ehrlich zu sein, wenn bei mir ne Anfrage käme, daß ich den Out-of-Office-Agent von nem User aktivieren soll, weil der im Urlaub weilt und das vergessen hat, würd ich das ablehnen mit dem Hinweis, daß ich keinen Zugriff auf die Mail-Datenbank hätte.
Das erspart einem jede Menge Ärger. ;)
-
@Hraq
Stimmt eigentlich... Aber man fängt meistens ganz hinten an.
Standartpasswort haben wir natürlich. Damit kann man dann eh alles Managen.
@Diri
Man muss diferenzieren, für welchen User (übrigens bin ich ein verfechter von zu viel Hirarchie).
Wenns in den Bereich Verkaufsleitung kommt, dann ists doch wichtig, dass Kunden eine Antwort bekommen.
Allgemein:
Ich war fest der Meinung, dass wenn ein User das max vom Delegationsrecht besitzt, dass er dann den Abwesenheitsagent aktivieren kann?!
-
Hi Daniel,
wäre zwar schön, aber auch nicht ganz ungefährlich. Nein, diese Rechte bekommt man nur über die entsprechenden ACL Einträge.
Meine Empfehlung, dir einfach die ID zu schnappen, ist zwar rechtlich nicht ganz unbedenklich, da du dann ja mit dieser Identität auch mailen könntest, aber die gleichen Rechte hast du direkt am Server auch. Da ist dann nur der Unterschied, dass du Mail ggf. mit der Identität des Servers sendest.
Gruß Henning
-
Hallo HRaq!
Der rechtliche Aspekt, den du angesprochen hast ist sehr interessant. Ich hab damit nicht viel Erfahrung (bin ja noch so jung 8)) aber was könnte im schlimmsten Falle geschehen.
Ohne Grund wird sowieso niemals irgendwo reingeschaut, aber wie kann man sich da Absichern?
Daniel
-
Hi Daniel,
die genauen Konsequenzen kann ich dir jetzt auch nicht sagen. Ich mache das immer so, das ich solche Aktionen nie allein mache, sondern mir einen Kollegen mit dabeihole, der überwacht, was ich tue. Besser ist natürlich immer ein Vorgesetzter, der damit auch sein ok gibt.
Dann stehst du im Bedarfsfall nicht allein im Regen.... ;D
Gruß Henning
-
Ich glaub ich lass mir das mal von der Geshäftleitung beeidigen, dass wenn jem. das will, schriftlich Anfragen muss und dann gehts.
Wäre vielleicht gut.
Ist schon heikel. Allerdings gibt es im Unternehmen als solches keine Privatsphäre.
Und als Admin darf man ja so manches.
Mal schauen, vielleicht weiß jemand mehr
-
Also wenn ich mich nicht ganz täusche, dann unterliegt auch Mail dem Briefgeheimnis.
Von daher ist der "Einbruch" in eine fremde Mail-DB nicht ganz ohne.
Wenn wir hier bei uns so was machen, dann nur mit direkter Anweisung durch Personalchef (steht bei uns kurz unterm Vorstand).
-
@all
Soweit ich weiß, fällt es nur dann unters Postgeheimnis, wenn private Mail ausdrücklich erlaubt ist. Sonst wird unterstellt, daß alles, was an Mail anfällt, für die Firma bestimmt ist - und innerhalb der Firma gibt es kein Briefgeheimnis.
Schriftliche Erlaubnis einholen ist in jedem Fall nicht verkehrt.
Grundsätzlich:
Mit einer "gekleuten" (archivierten) ID einzusteigen ist sicherlich nicht schlimmer als über den Server oder gar irgendwelche Tools die ACL zu "hacken".... ::)
Gruß Henning
-
@Daniel:
naladin.exe kann konsistente ACL bearbeiten. Ich hatte das vor meinem Urlaub noch eingebaut.