Das Notes Forum

Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: Driri am 28.10.04 - 15:11:43

Titel: Berechtigung über Gruppen in lokalen Repliken
Beitrag von: Driri am 28.10.04 - 15:11:43

Hallo,

wir haben hin und wieder das Problem, daß MItarbeiter, die im Außendienst mit lokalen Repliken auf ihrem Notebook arbeiten, plötzlich Berechtigungsprobleme beim Zugriff auf Datenbanken bzw. Dokumente haben.

Wir verwenden auf den Notebooks das Directory als "Minimales Adreßbuch" (d.h. die Option ist in den Replizierparametern eingestellt). Dadurch werden meines Wissens nur die Personendokumente übertragen, Gruppendokumente jedoch nicht.

Wie genau wird denn in einer lokalen Replik der Zugriff gesteuert, wenn die Berechtigungen über Gruppen vergeben werden ?

Wird die Information beim Erstellen der Replik gecached ? Die Gruppe kann ja lokal nicht aufgelöst werden ?

Titel: Re: Berechtigung über Gruppen in lokalen Repliken
Beitrag von: Semeaphoros am 29.10.04 - 11:22:06

Das ist genauso. Beim Erstellen der Replik wird ein Schnappschuss von den Berechtigungen auf dem Server gezogen und diese Berechtigungen werden dann in Zukunft lokal verwendet, vorausgesetzt, konsistente ACL ist angehakelt.

Titel: Re: Berechtigung über Gruppen in lokalen Repliken
Beitrag von: Driri am 29.10.04 - 11:58:00

Danke Jens.

Konsistente ACL ist aktiviert, dann trifft das genau zu.

Heißt das denn, daß die Berechtigungen nur einmal, also beim Erstellen der Replik, gezogen werden ?
Wie geht man denn dann am besten mit Berechtigungsänderungen auf Gruppenebene um ?

Titel: Re: Berechtigung über Gruppen in lokalen Repliken
Beitrag von: Glombi am 29.10.04 - 12:04:19

Gruppen und lokale Datenbank mit konsistenter ACL sind schwer zu handhaben.
Wenn es nicht zuviele User sind oder es eine sicherheitsrelevante Datenbank ist, sollten die User namentlich eingetragen werden.

Wenn Gruppen verwendet werden, so ist es so wie Jens sagte. In der Theorie, praktischerweise habe ich aber auch schon erlebt, dass User keinen Zugriff haben.
Man kann aber auf jeden Fall es so machen: Im lokalen Adressbuch des Users die Gruppe eintragen und dann <Ctrl>+<Shift>+<F9> drücken, damit die Ansichten neu berechnet werden.

Man kann sich natürlich auch in eine andere Gruppe im pers. NAB eintragen - die bspw. Managerrechte hat  ;D

Bei der Replikation zählt dann aber natürlich wieder das Recht auf dem Server.

Die konsistente ACL ist um übrigen KEIN Sicherheitsfeature.

Andreas

Titel: Re: Berechtigung über Gruppen in lokalen Repliken
Beitrag von: Driri am 29.10.04 - 12:08:54

Hi,

bei der Anwendung verbietet es sich leider, alle User in die ACL direkt einzutragen.

Danke für die Infos erstmal. Ich denke, da werden wir uns mal überlegen müssen, wie wir mit der Problematik umgehen.

Lokale Adreßbücher mit Gruppen ausstatten bin ich kein Freund von.