Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: mmcbrown am 24.04.02 - 14:48:33
-
Hallo
gibt es eine möglichkeit das löschen der maildatenbank zu verhindern?
Neulich hatte ein user seine maildb gelöscht, nun frag ich mich ob es eine möglichkeit gibt diese funktion im client ausserkraft zu setzen.
Mark
-
Sieht schecht aus, er hat ja das Recht des Managers,
somit darf er auf dem Server seine DB löschen.
Vielleicht kannst du ja den Server so einrichten, das 1 x am Tag eine Sicherung von allen Mailfiles erstellt wird.
Wäre besser.
Gruss
Andy
-
Hi,
die Löschfunktion für eine Datenbank ist an den Rechten des Users auf die Datenbank festgemacht.
Axel
-
Du kannst auch Ihm Autor-Rechte auf seine Maildatei geben. Ab Version 5-7-a ist möglich. irgendjemand muss aber Manager-rechte haben fuer Notsfall.
wobei verhindert das Löschen über Notes. Uebr betriebsystem kann er alles löschen egal welche rechte
-
Wie kann er denn als Author Rechte vergeben ???
z.B :
Unter Werkzeug \ Vorgaben ....
Wer darf auf meinen Kalender schauen?
wer kann in meinem Namen Mails verschicken?
Unter Werkzeug \ Vorgaben ....
Geht das wirklich ab der Version R 5.07 ?
Gruss
Andy
-
Sicher geht das. Ueber ACL. Aber Bitte nich Lokal die rechte ändern. es kommt sofort zu ACL-Konflik. nur auf dem Server.
-
Ich habe immer gedacht das nur der Manager und der Entwickler eine Rechtevergabe vornehmen kann.
Es ist ja eine Rechtevergabe wenn jemand auf meine Kalender sprich auf mein Mailfile darf.
....
Ach einfach mal testen.
Gruss
Andy
-
Wow, so schnell hätt ich nicht mit antworten gerechnet,
danke an euch alle.
Noch was zu dem thema: ein admin-kit, ähnlich policy in windows, gibt es für notes wohl nicht, oder? Ich dachte es ist wohl die einfachste variante wenn man diese option ausblenden könnte.
Mark
-
Du kannst mit Adminrechte. Jede Maildatenbank Lokal auf dem Server offnen und die rechte ändern. nur wenn Adminworkstation und Server auf einem Rechner vorhanden sind. Ansonsten es lebe PCanywehrer.
er pfeift auf jede Notessicherheit
-
@taheri ... die Idee hat bloss einen Hacken. Der Admin will doch nicht dauernd die Delegations der User anpassen gehen nur weil diese hier und da ihre Datenbanken löschen.
Da mach ich lieber, wie der Andysun geschireben hat, ein gescheites Backup oder einen Cluster.
@Andysun ... AFAIK können nur Leute mit Managerrechten die ACL anpassen, Designer nicht.
Gruzz
kloeti
-
Na dann pack ich auch noch meinen Senf dazu:
Bei uns haben die User nur Rechte als "Editor" auf die Mail-Datenbank. Gleichzeitig haben wir eine Gruppe in der ACL für den Admin.
Und schon war Ruhe.
Löschen im Filesystem ? Da muß der User erst einmal draufkommen.
Reicht ja völlig aus, wenn er eine TCPIP Verbindung hat.
Soweit ich weiß mußte der User nur in der 4.6 Version Managerrechte auf seine MailDB haben, da sonst die Delegierung nicht funktionierte. Da hat der User über die Delegierung die ACL seiner MailDB geändert.
InR5 passiert das über den AdminP.
Ich glaube, man kann den Zugriff sogar auf Autor herabsetzen.
eknori
-
Nope... geht ned über den AdminP, sondern direkt in die ACL.
Mmmh, aber das bringt mich gerade auf eine Idee. Man könnte dem User Editorenrechte geben, die Maildelegation so anpassen, dass ein Requestmail an eine xy Datenbank geht und dort ein Agent mit Managerrechten auf allen Maildatenbanken die Aenderung in der ACL vornimmt...
Das wär dann was für die Entwickler zum Tüfteln, nicht für mich :-X
kloeti
-
@Kloeti: Da muss ich dir leider widersprechen; Wenn der User seine Mail, Kalender und Aufgaben über "Werkzeuge - Vorgaben" delegiert, erzeugt er einen Eintrag in der Admin4.nsf ( daher muss dort der DEFAULT aus Depositor (Einlieferer ) rechte haben.
Der Server nimmt dann die Änderungen an der Mail DB vor.
Habs heute erst wieder gesehen auf unserem Server.
eknori
-
Habs hier noch gefunden
What ACL Access Is Required To Modify your Delegation Profile?
Problem:
What ACL (Access Control List) access must you have to your mail file in order to modify your Mail and Calendar Delegation Profiles?
Solution:
In Notes 4.5x and 4.6x, you must have Manager access to your mail file. The reason you need Manager access is because changing the profile changes the ACL of your mail file, and the only level access that allows you to change the ACL is 'Manager'.
In Notes 5.x, you only need at least Editor access to your mail file because AdminP performs the ACL change. An AdminP request called "Delegate mail file" is triggered when the mail file owner makes changes via Tools, Preferences, Delegation, Mail or Calendar Delegation. This requires that an Administrative Server be defined in the mail file's ACL Advanced options.
Supporting Information:
Note: Designer access to the mail file is required in order to enable/disable the Out of Office agent.
-
Hi
Das mit den editor rechten funzt soweit, nur, wie kann
ich bei 350+ usern die acl einträge ändern ?
Mark
-
Guten Morgen
Kloeti hat natürlich Recht,
nur der Manager darf Rechte vergeben.
Es war kurz vor dem verdienten Feierabend.
Tschuldigung für diesen Blödsinn.
Gruss
Andy
-
@Mark,
du kannst die ACL von mehreren Datenbanken über den Admin-Client anpassen.
Gehe dazu auf den Tab Dateien, markiere die entsprechenden DBs, klicke die Markierung rechts an und wähle Zugriff-Verwalten.
Natürlich brauchst du Managerrechte bei den Datenbanken um die ACL zu ändern.
Axel
-
na ja bei 350+User brauchst du eine wocheende.
Das kann schlimmeres vor kommen. das ist doch garnicht,
stellt dir vor, wenn ein von deinem User 150 MB große Anhang per Email wegschicken würde. was machst du dann?
-
an der Konsole "tell router quir" eingeben und in der Mail.box die Mail löschen.
Danach ganz entspannt "load router" eingeben.
Anschliessend den User in mein Büro zitieren und ihm die Kosten für den Transfer via Satellit präsentieren. Danach Abmahnung, weil er gegen das verstossen hat, was er bei dienstantritt unterschrieben hat.
;D ;D ;D ;D ;D
-
;D
-
Ich nochmal ;D
Wie schon erwähnt, dem user editor rechte verpassen
klappt. Nur, jetzt hat er nicht mehr das recht den ausserhaus-agent zu starten ??? wat nun ?
MArk
-
was meinst du mit auserhaus?
-
Beitrag von @eknori
schau unter :
http://www.atnotes.de/cgi-bin/yabb/YaBB.pl?board=002-1;action=display;num=1019715715
Gruss
Andy
-
okay,okay,okay
wer lesen kann ist klar im vorteil :-X
Mark
-
HMM, kommt mir noch so eine Idee:
Möglicherweise reicht auch Editor Access und mein Tool zum Starten von periodischen Agenten.
http://www.atnotes.de/cgi-bin/yabb/YaBB.pl?board=Downloads;action=display;num=1014057312
Denn eigentlich braucht man den Designer Access doch nur, um die Gestaltung zu sehen.
eknori
-
@Kloeti: Da muss ich dir leider widersprechen; Wenn der User seine Mail, Kalender und Aufgaben über "Werkzeuge - Vorgaben" delegiert, erzeugt er einen Eintrag in der Admin4.nsf ( daher muss dort der DEFAULT aus Depositor (Einlieferer ) rechte haben.
Der Server nimmt dann die Änderungen an der Mail DB vor.
Habs heute erst wieder gesehen auf unserem Server.
Dann hab ich nur noch eine Frage ... wenn ich bei mir auf einer lokalen Replik meiner Mail DB eine Delegation mache und zwar ohne Netzwerkverbindung, wieso wird dann die ACL sofort angepasst? Reden wir vom gleichen?
Gruzz
kloeti
-
ja, wir reden vom gleichen. Warum das aber so ist, kann ich dir leider (noch) nicht sagen.
Möglicherweise ist das noch ein Codefragment aus der R4 Version.
Aber, was nützt dir eine Delegierung lokal ?? und wenn du replizierst, werden die Änderungen doch auch nicht auf den Server übernommen, wenn du keine Managerrechte hast (oder ??)
Ulrich
-
??? ja eben... darum muss der User doch Managerrechte haben auf seiner Mailbox, sonst gait dat ned.
Ich raff's nimmer :'(
Gruzz
confused kloeti
-
Ich denke, dass 'ACL Management' ein Script in der Script Libary, nimmt die erforderlichen Aenderungen in den Benutzerrechten der mail-db vor.
Gruss
Smajli
-
Irgend so etwas wird es sein; hatte noch keine Lust das zu testen; war eine harte Woche >:(
eknori
-
Hi,
muss diesen Thread nochmal hochholen, da ich mich mit dem gleichen Problem befasse.
Unsere User sind auch Manager auf Ihrer DB. Aber die spielen halt gerne mal in der ACL rum. (Wozu braucht ein Server schon Rechte auf MEINER Maildatenbank usw.) >:(
Aber als Editor können die echt keine Delegierung machen. Es wird zwar bei der Eingabe nicht gemeckert aber ein Eintrag in der Admin4.nsf erstellt.
Bei mir mit folgendem Fehler:
Dateiname: mail\mmuster.nsf; Fehler: Diese Anforderung muß entweder auf dem im Domino Verzeichnis festgelegten Mail-Server des Benutzers oder auf dem Administrationsserver für die Mail-Datei ausgeführt werden.
Aber das lief auf dem Mail-Server.
Hat jemand da eine Ahnung oder weiß, was die User noch so alles nicht dürfen als Editor?
Danke Euch.
cu
Sebastian
-
Mail-User mit Editor-Rechten ist in R5 tatsächlich schlecht, da für das Aktivieren des OOO Designer-Rechte notwendig sind. A-Bär: in der Regel kann man die User problemlos als Designer/Entwickler laufen lassen, so kommen sie nämlich auch nicht mehr an die ACL und der Zweck ist erfüllt.
Ansonsten: ND6 hat da einen Fortschritt erreicht: der OOO kann auch bedient werden, wenn der Besitzer des Mail-Files "nur" Editor-Access hat. Darunter geht es aber auch dort nicht.
-
Das ist aber nicht mein Problem.
Wenn ein User Mail oder Kalender delegiert (Vorgaben) dann wird der oben genannte Eintrag erzeugt. Damit ist die Delegierung nicht durchgeführt sondern der AdminP macht das normalerweise.
Da kriege ich aber die Fehlermeldung.
cu
Sebastian
-
Und hast Dus mal schon mit Designer-Rechten probiert? Sollte zwar keinen Unterschied machen, aber man weiss ja nicht.
Andere Frage: ist denn ein Admin-Server in der ACL eingetragen? Vor allem wenn die Mail-Files von R4 her kommen, ist es durchaus möglich, dass keiner drin steht.
-
User ist Entwickler und AdminServer steht in der ACL.
Ist mein Testuser, den ich erst angelegt habe.
cu
Sebastian
-
Dann verstehe ich das auch nicht.
-
Hi,
ist der Servername in der Arbeitsumgebung im hierarchischen Format eingetragen?
Ansonsten, vielleicht findest du hier noch Hinweise:
http://www-1.ibm.com/support/search.wss?q=delegation+adminp&tc=SSKTMJ+&dc=D100&dc=D600&dc=D700&dc=D800&dc=D900&dc=DA800&dc=DA900&rs=463 (http://www-1.ibm.com/support/search.wss?q=delegation+adminp&tc=SSKTMJ+&dc=D100&dc=D600&dc=D700&dc=D800&dc=D900&dc=DA800&dc=DA900&rs=463)
-
Ah, guter Hinweis, auch der Name im Profile der MailDB (Der Owner/Besitzer) muss korrekt hierarchisch eingetragen werden, auch das sollte überprüft werden.
-
Danke für den Link. Hilft aber alles nichts.
Im Domino Verzeichnis steht der hierarchische Servername, ebenso in der Arbeitsumgebung.
Ein Agent, der den Namen des Mail-Servers ausliest (vom IBM-Support) gibt den richtigen Namen zurück.
Der Request wird korrekt im AdminP angezeigt aber mit folgendem Fehler nicht bearbeitet:
Dateiname: mail\mmuster.nsf; Fehler: Diese Anforderung muß entweder auf dem im Domino Verzeichnis festgelegten Mail-Server des Benutzers oder auf dem Administrationsserver für die Mail-Datei ausgeführt werden.
Das versteh ich nicht. Der Server, der die Anforderung bearbeitet ist auch der Mail-Server.
Andere Mängel aus dem Support beziehen sich auf 5.05 oder 5.07 und sind bereits addressiert.
Ich versteh das nicht. Hat jemand noch einen Plan?
cu
Sebastian
-
Du hast noch nicht gesagt, ob Du das Profil in der Maildatenbank überprüft hast? Was steht da als Besitzer der Mail-DB drin?
-
Moin,
also das Kalenderprofil stimmt natürlich auch. Hatte ich vergessen. Sorry.
cu
Sebastian
-
Wenn Du den Server neu startest 2 Fragen:
a) gibt es Fehlermeldungen darüber, dass gewisse Mailbesitzer nicht im Adressbuch gefunden werden (Mailfiles, die keinen AB-Eintrag haben)?
b) könnte es nach einem Neustart funktionieren?
----
und gerade fällt mir noch ein: ist der Datenbanktyp (steht in den DB-Eigenschaften auf dem ersten Tab) auch als Mailfile eingestellt?
-
a) gibt es Fehlermeldungen darüber, dass gewisse Mailbesitzer nicht im Adressbuch gefunden werden (Mailfiles, die keinen AB-Eintrag haben)?
AB-Eintrag?? Versteh' nicht, was gemeint ist.
Fehler gibt es von 2 DB, die MailIn-DB sind aber im Mail-Verzeichnis liegen.
Typ ist Mail-Datei in Eigenschaften. Neustart bringt nichts.
cu
Sebastian
-
AB = Adress Buch
.. tja, im Moment keine weiteren Ideen ..... :(
-
Stimmt alles.
Hat diese Auswahl des DB-Typs eigentlich weitere Auswirkungen?
cu
Sebastian
-
Nichts genaues weiss ich nicht, aber so ein paar Schnippelchen ...... Einfluss hat der DB-Typ schon.
Mail-DBs haben Einfluss auf eben Mail-Funktionen (ach, wie originell :-), so zum Beispiel eben das Identifizieren von Mail-Einträgen zwischen AB und den Datenbanken und der C&S-Task (Kalender/Freetime etc.) stützt sich auf diese Datenbankidentifikation (daher auch die Meldung, wenn man eine Mail-DB auf dem Server hat, für welche kein Eintrag im NAB ist).
Weiter: Adressbuch-Datenbanken haben bei gewissen Feldern eingebaute Schutzmechanismen.
... und ich bin sicher, da gibt es noch mehr ....