Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: Tarantalus am 25.05.05 - 09:11:10
-
Moinsen
Ich hab mich mal ein wenig im Forum umgeschaut, aber leider keine Lösung fuer mein Problem gefunden.
Wir haben bei uns diverse Non Personal Mailboxen und Ressourcendatenbanken. Hierbei haben wir immer wieder das Probelm das Anwender sowohl in der Editoren wie auch in der Authorengruppe sind und dadurch kommt es dann zu Rechteproblemen.
Ich hab jetzt schon mehrere Buecher durchgeschaut aber leider keine Loesung gefunden.
Jetzt die Frage dazu:
Wenn ein Anwender sowohl in Authoren als auch in der Editorengruppe ist, welche Rechte werden dann genommen? die höheren oder die niederen?
Schon mal herzlich Dank in voraus
Jens
-
Willkommen im Forum
Ein Notes-User bekommt immer die höchstmöglichen Gruppenrechte, wenn er in mehreren Gruppen eingetragen ist, das wird nur anders, wenn der User mit eigenem Namen auch noch in der ACL drin steht, dann zieht der persönliche Eintrag.
-
Wie sieht es dann aus, wenn der User in einer Editoren-Gruppe ohne Rollen und in einer Leser-Gruppe mit Rollen drin ist?
Ist er dann Editor und hat diese Rollen?
-
Erstmal danke fuer die schnelle Antwort.
Die ganzen gruppen sind ohne Rollen, es wird lediglich ueber die Gruppen administriert wer Editoren oder Authorenrechte hat. Ich habe leider auch nicht die Rechte die Rollen zu aendern.
In welcher Reihenfolge werden denn die Rechte gesetzt???
-
Die Reihenfolge von oben nach unten:
1. Hierarchischer Name: Max Mustermann/OU/Org
2. Common Name (CN): Max Mustermann
3. Gruppe(n)-Namen: GruppeXYZ
4. Wildcard-Namen: */OU/Org
5. -Default-
Wenn der Benutzer mehrfach auftaucht (z.B. 1x als Name(1) und 1x als Wildcard(4) gilt als Zugriffsebene (No Access...Manager) der höherwertige Eintrag, also 1. gilt über 2. gilt über 3. usw.
Unabhängig von der Ebene (No Access...Manager) erhält der Benutzer noch die Summe aller Flags und Rollen, unabhängig davon ob die Rolle z.B. über eine niederwertigere Gruppe zugeteilt wurde. Allerdings wirken nur die der Zugriffsebene zuordenbaren Flags, so kann also das Flag "Dokumente erstellen" aus einem Gruppenrecht nicht wirken wenn der Nutzer zusätzlich als Name mit Leserzugriff aufgeführt ist.
-
Kleiner Kommentar zu Carsten:
Der Benutzer erhält die Summe aller Rollen der selben ebene.
Ist ein User in einer Gruppe mit Manager und RolleX und ausserdem als Person als Leser ohne Rolle, dann hat er das Recht: Leser ohne Rolle.
Ist ein User in einer Gruppe Editor mit RolleX und in einer anderen Gruppe Author mit RolleY dann hat er das Recht: Editor mit RolleX und RolleY.
Gruß
Tode
-
d.h. ich kann mir eine Gruppe Editor, eine Gruppe Autor und eine Gruppe Leser anlegen ohne Rollen und dann für jede Rolle eine Lesergruppe.
z.B.
Gruppen:
DB.Leser
DB.Autor
DB.Editor
DB.Leser.Rolle1
DB.Leser.Rolle2
Will ich jetzt einem User Autorenrechjte und Rolle1 geben landet der in den Gruppen "DB.Autor" und "DB.Leser.Rolle1".
Wenn dem so ist, dürfen unsere Admins ;D gleich mal Gruppen aufräumen.
-
Verdammt guter Ansatz... Das spart einem tatsächlich das Verwalten von X verschiedenen Gruppen... oder sogar das hinzufügen einzelner Personen in ACLs...
Dass ich selbst noch nicht auf diese Idee gekommen bin...
RESPEKT !!! :D
Tode