Das Notes Forum

Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: Myron am 18.05.04 - 12:01:18

Titel: Security Frage
Beitrag von: Myron am 18.05.04 - 12:01:18

Hallo

Vielleicht steh ich ja auf der Leitung oder es ist wirklich eine Berechtigte Frage...

Wenn ich eine Datenbank vom ServerA nach ServerB einer anderen Organisation repliziere, haben die Leute (LocalDomainAdmins) vom ServerB zugriff weil diese Gruppe in der ACL drin steht. Wenn die Admins vom ServerB auch eine Gruppe erstellen, die ebenfalls so lautet wie eine vom ServerA haben sie ebenfalls Zugriff (mit entsprechenden Rechten der Gruppe) falls ich LocalDomainAdmins entfernen würde.
Wie schafft man das, dass alle Leute vom ServerB, egal was sie machen, nur Lesezugriff haben? Geht das?

Grüße

Titel: Re:Security Frage
Beitrag von: MartinG am 18.05.04 - 13:06:44

So spontan würde ich sagen das man die Gruppe einfach rauswirft aus der ACL - oder Ihr halt nur Rechte fürs lesen gibt...

Gruss
Martin

Titel: Re:Security Frage
Beitrag von: MartinG am 18.05.04 - 13:10:32

So spontan würde ich sagen das man die Gruppe einfach rauswirft aus der ACL - oder Ihr halt nur Rechte fürs lesen gibt...

Gruss
Martin

Titel: Re:Security Frage
Beitrag von: Myron am 18.05.04 - 13:24:07

Hallo

Schon, aber dann haben die Datenbankbesitzer vom ServerA auch nur mehr Lesezugriff. Oder meinst du, dass man die Personen direkt in die ACL schreibt ohne Gruppen?

Grüße

Titel: Re:Security Frage
Beitrag von: MartinG am 18.05.04 - 13:26:37

Du kannst doch auch eigene Gruppen machen und über diese die Berechtigungen regeln.... - so mache ich das immer.

Man kann das sicherlich verschieden regeln - bei uns fangen alle Berechtigungsgruppen mit ... an und stehen deshalb ganz hinten. Mit Einzelrechten würde ich wenn irgendwie möglich nie arbeiten...

Gruss
Martin

Titel: Re:Security Frage
Beitrag von: Myron am 18.05.04 - 13:32:57

Hallo

Ja schon.. aber wenn die vom ServerB auch eine Gruppe in ihrem DominoDirecory erstellen die auch so heißt wie die vom ServerA, bekommen sie ebenfalls Zugriff auf diese Datenbank. Das möchte ich eigentlich verhindern.

Grüße

Titel: Re:Security Frage
Beitrag von: max.power am 18.05.04 - 14:49:08

hi,

ich würde bei den replizierparametern die replizierung der ACL abschalten.
beim zielserver muss dann der admin dafür sorgen, dass "seine" leute halt nur leserecht haben.

lg,
max

Titel: Re:Security Frage
Beitrag von: Lossa am 18.05.04 - 15:48:00

Hi,

warum hast du ein Problem damit, das die anderen mehr Rechte haben als Leser. Wenn die sich eine Gruppe erstellen, die dann eben die Managerrechte deiner DB hat, bedeutet das doch noch lange nicht, das Dokumentänderungen auch zurück repliziert werden.
Da die ACL Einträge nur Textstrings sind kann ich immer eine Gruppe anlegen und habe automtisch die Rechte dieser Gruppe. Du kannst nur eine ACL so setzen, das nur du Sie pflegen kannst (Konsitente ACL). Sollte dann die Gegenstelle die ACL ändern wird die DB nicht mehr Repliziert!

Titel: Re:Security Frage
Beitrag von: Myron am 18.05.04 - 17:45:43

Hallo

Stimmt, ich werde das so einstellen, dass wir nur in eine Richtung replizieren und dem anderen server nur leserechte gebe.

Vielen Dank für die Hilfe

Grüße

Titel: Re:Security Frage
Beitrag von: koehlerbv am 18.05.04 - 17:48:13

Genau so ist das ja auch gedacht  ;)

Bernhard