Das Notes Forum
Domino 9 und frühere Versionen => Entwicklung => Thema gestartet von: Noman am 31.10.03 - 13:45:05
-
Hallo zusammen,
ich habe ein RIESEN PROBLEM!!
Und zwar folgendes:
Ich habe mehrere Repliken auf einigen Notebooks. Ich habe in der Stammdatenbank den Usern die Rechte entzogen. Die haben repliziert. Und jetzt können sie die Datenbank nicht mehr öffnen, weil sie keine Zugriffsberechtigung mehr haben. Ich habe den Usern in der Stammdatenbank die Berechtigungen wieder gegeben. Nur da sie jetzt keinen Zugriff vom Notebook aus auf ihre Replik haben, können sie auch nicht replizieren.
HIIIIIIILLLLLLLFFFFFFFEEEEEEE!!!!!!!!!!!!!!!!!!!
Vielen Dank schonmal.
Gruß,
Noman
-
Ich gehe jetzt mal davon aus, daß die DB eine konsistente ACL hat, sonst hätten die Leute ja kein Problem, oder ?
Wenn dem so ist, wird es m.E. das einfachste sein, die Leute ziehen sich neue Repliken vom Server. Irgendwo habe ich vielleicht einen Patch zum Knacken der ACL rumzuliegen, aber da müssten Deine User mit 'nem Hex-Editor ran.
Oder jemand hier im Forum hat sowas als Programm.
Bernhard
-
Hi,
die User können sich auf ihren lokalen Repliken den Zugriff wieder geben. Da wird die ACL doch nicht kontrolliert.
Falls das nicht geht, müssen sie sich halt ne neue Replik ziehen, da der Zugriff auf dem Server wieder vorhanden ist, sollte das kein Problem sein.
Gruß Henning
-
Hi,
was ist, wenn die User auf die Serverdatenbank zugreifen und von dort aus die Replikation anwerfen ? Also DB auf Server öffnen, Menü Datei-Replizierung-Replizieren..
Dann Replizieren mit Optionen und als Ziel "Lokal" eintragen.
-
@Bernhard
54 sec Differenz - das enn ich schnell!!
Gruß Henning
-
Korrigiert mich bitte, wenn ich mich jetzt verrenne :
Wenn man am Server die Berechtigung für einen User in der ACL abklemmt, wie kann er dann noch mit der Datenbank replizieren ?
Er müßte doch beim Versuch abgewiesen weden, oder ?
-
@Henning:
Ich sach ja - das Forum ist Spitze, möge es so bleiben !
Ich habe mich in den Jahren aus einem Forum nach dem anderen ausgeklinkt und dann leider erst in diesem Juli AtNotes gefunden.
Die Frage kann ich aber nicht beantworten: Warum ist dieses Forum so
- umfangreich (Teilnehmer)
- kompetent (Teilnehmer)
- schnell (engagierte Teilnehmer)
und die anderen schaffen das nicht ? An der Technik alleine kann es ja nicht liegen (was Arne's Leistungen aber bitte, bitte in keiner Weise schmälern soll !!!)
Ciao,
Bernhard
-
@Driri:
Zu Deinem ersten Posting "Replizieren ohne Rechte auf Server-DB": Das klingt vernünftig, eigentlich sollte das abgewiesen werden. Aber gerade bei konsistenter ACL (wie gesagt: Sonst können die ja lokal gar keine Probleme haben) könnte genau noch das ACL-Update passieren, und erst dann ist Schluss mit lustig. Aber ich bin nur ein Programmierer und kein Berufs-Admin ;-)
Zum zweiten Posting: Wie soll denn das gehen: Server repliziert in Richtung lokal. Da reichen meine Basis-Admin-Kenntnisse - glaibe ich - aus, um zu sagen: Das wird nix, das ist auch nicht vorgesehen.
@All: Ich würde mal sagen, wir warten jetzt erstmal ab, was KeinMann zu unseren ersten Vorschlägen sagt, alles andere ist Kaffeesatzleserei.
Bernhard
-
Jo, ich kenn mich auch nicht so wirklich mit den Repliziergeschichten aus, war nur ne Idee.
Warten wirs also ab.
-
@Driri:
war nur ne Idee
Das "nur" würde ich weglassen - dafür ist das Forum doch da ;-)
Und Du hast Dir Gedanken gemacht - Freitagnachmittag, wo halb Deutschland schon im Wochenende ist.
Jo, warten wir ab, wie dringend Noman's Problem wirklich ist. Vielleicht erwartet er ja gar nicht, das einem hier so schnell geholfen wird ;-) Sein Posting ist ja gerade erst 45 Minuten alt ...
Bernhard
-
Um die konsistente ACL für lokale Datenbanken zu "umgehen", kann man folgendes machen - sofern die User nicht namentlich in der ACL stehen.
Eine Gruppe, welche Zugriff auf die Datenbank hat, aus dem Domino Directory des Servers kopieren und in das lokale Adressbuch einfügen. Danach
<Strg><Shift><F9> gleichzeitig klicken. Dadurch werden die Ansichten im persönlichen Adressbuch aktualisiert.
Anschließend mal <F5> klicken und die Datenbank öffnen.
Andreas
-
...vielen Dank für die vielen Antworten. Ich habs wieder geschafft, dank eurer Hilfe!
Schönes Wochenende,
Noman ;D
-
Hi,
kläre uns bitte noch kurz auf, wie Du es geschafft hast und setze diesen Thread auf erledigt.
Schönes Wochenende (das sollte ja jetzt gesichert sein!)
Andreas
-
Jo, ich würde auch sagen: Dieser Thread ist erst erledigt (und kann damit anderen weiter helfen), wenn wir Deinen Lösungsweg kennen. Der würde mich auch sehr interessieren.
Auch ich wünsche ein schönes Wochenende,
Bernhard
-
Hi@all,
ich muß Bernhard in allen Punkten bezüglich der Qualität dieses Forums Recht geben, das nur mal vorweg.
Zur Sache:
Vom gesunden Menschenverstand her -der in einigen Fällen sogar auf Notes anwendbar ist ;D- dürfte eine konsistente ACL auf einem lokalen Rechner nichts ausmachen. Wenn ich mich lokal anmelde, und dann auf eine lokale DB zugreife, ist die ACL zunächst mal egal, weil davon ausgegangen wird, das der lokale Nutzer auch zum Zugriff befugt ist.
Abär - anders sieht es aus, wenn ich die DB lokal verschlüsselt habe. In diesem Fall wird die ACL -und nicht nur die, sondern auch der Schlüssel- abgecheckt. Nur über die lokale Verschlüsselung kann ich Manipulationen durch Unbefugte an der ACL einer lokalen DB verhindern.
Dies nurmal als Hinweis.... ;D
Gruß und schönes WE
Henning
-
@Glombi (Andreas),
wieso eigentlich F 5 (fällt mir jetzt erst auf)? Dadurch werden die persönlichen Benutzerinformationen gelöscht ??? ??? ???
Gruß Henning
-
Norman hat von lokalen Datenbanken geredet, an die die User nicht mehr herankommen, seitdem er denen die Rechte entzogen hat.
Das kann nur bedeuten, dass die Datenbank konsistente ACL hat. Nur wenn das aktiviert ist, kann es sein, dass ein User die Datenbank lokal nicht öffnen kann.
Falls die DB lokal verschlüsselt ist, gilt das ebenfalls. Aber das hat Norman ja nicht gemacht (jedenfalls hat er es nicht geschrieben).
Es wäre interessant zu wissen, wie er den Usern die Rechte entzogen hat: Standen die namentlich in der ACL und hat er die dann gelöscht oder auf Kein Zugriff gesetzt?
Wegen <F5>: Das erzwingt eine erneute Passworteingabe. Das war bei mir schon mal nötig, nachdem ich im persönlichen NAB eine Gruppe erstellt habe, die in der ACL einer DB, in der die konsistente ACL aktiviert ist, eingetragen ist.
"Gelöscht" wird eigentlich nichts...
Andreas
-
Zur konsistenten ACL hatte ich mich oben bereits "ausgelassen". Ich bin da anderer Meinung als du, werde es aber Montag testen, da ich hier zuhause keine Möglichkeit habe.
Zu F 5: Wenn du dir die untere Zeile ansiehst, nachdem du F 5 gedrückt hast, steht dort zu lesen: "Persönliche Benutzerinformation gelöscht.
Ich weiß, das in dem Sinne nichts gelöscht wird, aber es steht nunmal so da. Und nur darauf bezog sich mein Statement.
Gruß Henning
-
Weils angesprochen wurde zwecks Zugriff auf DB trotz konsistenter ACL:
Hier eine Sandbox-nsf:
Sandbox Admin ACL (http://www-10.lotus.com/ldd/sandbox.nsf/ecc552f1ab6e46e4852568a90055c4cd/f51807e42918e33e00256c090044738f?OpenDocument&Highlight=0,adminacl)
Und hier ein Komandozeilen-Tool und Hex-Tipps:
AtNotes: Konsistente ACL knacken (http://www.atnotes.de/index.php?board=8;action=display;threadid=9642)
TMC
-
Hi Henning,
wenn für eine Datenbank "Konsistente ACL" eingestellt ist, gilt die ACL auch lokal. Du hast also die Rechte, die Du per ACL hast.
Oftmals ist es so, dass Gruppen in der ACL sind. Wenn die Datenbank lokal ist, sucht Notes in Deinem persönlichen Adreßbuch nach der Gruppe. Falls es die dort nicht gibt, und das ist ja meistens der Fall, hast Du entweder keinen Zugriff auf die Datenbank oder Du hast den Zugriff, den Du zuletzt auf die Replik des Servers hattest. Notes "merkt" sich das wohl irgendwie und repliziert das auch mit. So ganz astrein ist das aber wohl nicht, ich hab schon die dollsten Dinge erlebt.
Aber: Der "Trick" mit dem Kopieren der Gruppe ins pers. NAB und anschließendem <Strg><Shift><F9> hat bis dato immer funktioniert.
Das mit dem <F5> ist optional.
Falls ein User jedoch namentlich in der ACL steht, geht das mit der Gruppe natürlich nicht. In einem solchen Fall nimmt man sich eben eine andere User-ID (schnell mal per Adminclient erzeugt) und trägt den dann in eine lokale Gruppe, die Zugriff hat, ein.
Was man tunlichst nicht tun sollte: Sich auf o.g. Weise Managerrecht verschaffen und dann die ACL zu manipulieren. Denn dann hat es sich ausrepliziert! Denn das ist ja der eigentliche Sinn der konsistenten ACL. Das mit dem lokalen Zugriff ist eher ein Nebeneffekt.
Andreas
-
Ja die Knacktools kenne ich, ist aber hier nicht nötig denke ich. Insbesondere wird wohl auch ein Akutalisierungsdatum der ACL gesetzt, so dass die Replikation danach u.U. nicht mehr geht!
Andreas
-
Schon klar, Andreas, das das hier nix bringt, hab sie auch nur der Vollständigkeit halber gepostet.
Sollte auch der normale User besser nicht anfassen die Dinger......
Was wäre das für ein Admin, der einfach die aclenforce.exe an alle schickt nach dem Motto "nun schau mal selber, wie Du an Deine Daten kommst...." ;D
Grüße,
TMC
-
Hoffentlich liest hier kein Datenschutzbeauftragter mit ;D
Aber um diese Zeit eher nicht ;D ;D
-
tue ich meinen Senf auch noch dazu:
guckst du http://www.atnotes.de/index.php?board=8;action=display;threadid=9906;start=0
ach ja, Datenschutzbeauftragte ... "was ist die TAB Taste?" ;D
-
Hoffentlich liest hier kein Datenschutzbeauftragter mit ;D
Aber um diese Zeit eher nicht ;D ;D
Sag das nicht.
Man wollte mir den Job andrehen bei uns, sollte ich so nebenher machen.
Cool war: ich wußte denen zuviel. Hab gleich mal gejammert, dass unsere Backup-Situation und Security ziemlich mies sind, und ich den Job nur annehme, wenn in diesem Bereich kräftig investiert wird (Hardware, Mitarbeiter), da ich sonst die Verantwortung nicht tragen kann.
Dann haben sie doch jem. anderen genommen :-)
TMC
@Hackers out there: nein ich verrate Euch nicht in welcher Fa. arbeite ;D
-
Es sollte jemand sein, der völlig unvorbelastet (spricht ohne Sachkenntnis) diesen verantwortungsvollen Job übernimmt, damit er das alles neutral beurteilen kann. ;)
Wo Du arbeitest, lässt sich ja herausfinden... ;D
Grüße
Andreas
-
Wo Du arbeitest, lässt sich ja herausfinden...
Shit, jetzt starten wahrscheinlich schon die Hackversuche bei Dittmeyer Valensina und co., sollte mal schnell mein Bild ändern ;D
-
Ich glaube es ist fast überall dasselbe...
Unser Datenschutzbeauftragter hat auch überhaupt keinen Plan... - und wurde sicherlich auch nur deswegen auserwählt weil er ein gutmütiger Kerl ist der sich hier sicherlich auch nicht zu weit aus dem Fenster lehnt. Vor kurzem hat er mal eine Schulung belegt und hinterher ist er dann zu mir gekommen und hat mir erzählt das er eigentlich die kompletten 2 Tage nur Bahnhof verstanden hat und ob ich Ihm mal erklären könne was sich hinter den Begrifflichkeiten Server, Proxy, Firewall, Standleitung, VPN verbirgt...
Das einzig sinnvolle wäre ein externer Datenschutzbeauftragter - aber das Geld wird heutzutage auch noch gerne eingespart...
-
@MartinG:
stimmt voll und ganz.
Bei uns haben sie jetzt einen Auftragssachbearbeiter eingesetzt, der Mann steht kurz vor der Rente und hat keinen Peil von IT. Siehe Posting von Ulrich "wo ist die Tab-Taste".....
TMC
-
Hi@all,
wohin doch eine "einfache" Frage führen kann, wundert mich hier immer wieder ;)
Besser noch als Datenschutzbeauftragte sind jedoch IT-Sicherheitsbeauftragte, die ja eigentlich das Tun des Admins "überwachen" sollen. Das sind dann häufig Leute, die für andere Funktionen nicht wirklich brauchbar waren....
ups, habe ich was gesagt??
@Glombi
Ok, dann glaub ich dir das mal mit der konsistenten ACL, ich lass mich gerne belehren.
Ich dachte immer, das gilt nur von Server zu Server, dass diese auch lokal wirkt, war mir neu.
Da kann ich nur noch "DANKE" sagen.
Gruß Henning