Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: Pavel am 07.11.05 - 15:33:19
-
Hallo,
habe folgendes Problem mit den Gruppenberechtigungen auf einer DB.
Es exisitieren bei uns mehrere Gruppen für einzelne Außenstellen wie z.B.
Aussenstelle1
mit den einzelnen Personen darin.
Dann exisitiert noch ein große Gruppe worin diese einzelnen Außenstellengruppen drin sind.
Folgender Effekt tritt nun beim Zugriff auf bestimmte Datenbanken auf:
Alle Mitglieder in den Außenstellengruppen haben ihren entsprechenden Zugriff, bis auf eine Außenstellengruppe.
Wenn eine Person aus dieser Gruppe auf diese DB zugreifen will, hat sie keine Berechtigung. Das trifft auf alle Personen in dieser einen Gruppe zu.
Wenn ich im Admin-Client mal nachschaue zu welchen Gruppen die einzelnen Personen zugeordnet sind, so wird bei den betreffenden Personen die große Gruppe nicht mitangezeigt, sondern nur die Außenstellengruppe.
Woran kann dieser Effekt liegen?
MfG
R. Pavlik
-
Ist die Alles-Gruppe evtl. am Limit ? Das Mitglieder-Feld faßt ja nur 32k, evtl. stehen da einfach zu viele Einträge drin.
Öffne mal die Gruppe im Edit-Mode und versuch zu speichern. Wenn das Mitglieder-Feld zu groß ist, sollte dann eine entsprechende Fehlermeldung kommen. Du müßtest dann eine zweite Alles-Gruppe anlegen.
-
@Driri
Die "Alles" Gruppe hat nur ca. 15 Einträge, diese Einträge sind diese anderen Gruppen.
-
Hast Du die Gruppe, nicht nicht als Member der Übergruppe anerkennt wird, schon mal aus dem Übergruppen-Dokument gelöscht (dieses dann gespeichert) und erneut eingetragen ?
Bernhard
-
Hallo,
ja die Gruppe habe ich auch schon mal rausgenommen und später wieder rein.
Ebenso habe ich die komplette Außenstellengruppe neuangelegt und die Personen wieder in die Gruppe geholt. Aber es bleibt immer noch das gleiche Problem.
R. Pavlik
-
Was für einen Typ hast Du denn für die Gruppen vergeben ? Sollte entweder "Nur Zugriff" oder "Mehrere Zwecke" sein.
-
mehrere Zwecke ist eingetragen bei den Gruppen
-
Hallo,
bitte mal mit Benutzertyp "unbestimmt" probieren.
Gruss
Siegmar
-
Das ist garantiert nicht das Problem, Siggi - bei den anderen Gruppen funktioniert es ja auch.
@Pavlik: An welcher Position steht denn die Gruppe in der Liste der Mitglieder der Übergruppe ? Hast Du Dir den Wert des Feldes schon mal in den Dokument-Properties angeschaut ? Passt da wirklich alles ?
Bernhard
-
@Bernhard
Ja, alles okay, habe gerade nochmal verglichen.
Die Gruppe steht an erster Stelle in der Übergruppe.
René
-
Jetzt wird es strange ... In der ACL der betreffenden DB steht die Gruppe aber nicht nochmal explizit drin ?
Hast Du schon mal die Gegenprobe gemacht und die Gruppe explizit und mit den gleiche nRechten wie die Übergruppe in die ACL aufgenommen und geschaut, wie es dann mit dem Zugriff aussieht (um den Fehler einzugrenzen) ?
Bernhard
-
@Bernhard
Ja, den Test habe ich auch schon gemacht und dann klappt es auch mit "der" Gruppe.
René
-
Sehr unwahrscheinlich, aber sowas habe ich trotzdem schon erlebt: Eventuell hat das Übergruppen-Dokument einen Schlag weg. Kannst Du das löschen und neu anlegen ? Obwohl das natürlich auch nur ein verzweifelter Versuch ist ...
Bernhard
-
@Bernhard
Okay, werde ich auch mal versuchen.
René
-
@Bernhard
Habe es probiert, klappt auch nicht.
René
-
Ich hebe die Hände (vor allem, wenn man nicht direkt davor sitzt). Hoffentlich hat einer unserer Star-Admins im Forum noch eine Idee.
Bernhard
-
Ist die Alles-Gruppe evtl. am Limit ? Das Mitglieder-Feld faßt ja nur 32k, evtl. stehen da einfach zu viele Einträge drin.
@Pavel
wie groß ist denn die Gruppe?
;D MOD
-
Blöde Frage: Hast Du den Server nach den Änderungen mal neu gestartet? Ev. hat er da wo was im Cache ......
-
@MOD
Die Alles Gruppe beinhaltet nur ca. 15 andere Gruppen.
@m3
Unseren "großen" Server kann ich dafür nicht einfach mal so Neustarten, außerdem sollte für triviale Gruppen- und Namesauflösungen/-änderungen ein Serverstart nicht erforderlich sein.
MfG
René
-
... außerdem sollte für triviale Gruppen- und Namesauflösungen/-änderungen ein Serverstart nicht erforderlich sein.
Ich befürchte, da liegst Du falsch, René ... Hast Du wenigstens ein dbcache flush (möglichst mehrfach) abgesetzt ?
Bernhard
-
@Bernhard
Habe heute Nacht den Server mal neugestartet. Es brachte aber keine Änderung des Problems.
René
-
alle "wahrscheinlichen" Gründe wurden ja schon abgefrühstückt. Jetzt gehe ich mal an die "exotischen":
-a-
Gibt es eventuell einen User / eine Mail- In- Datenbank / einen Server / irgendein anderes Dokument, was den Gruppnnamen als Alias eingetragen hat (User: Benutzername, Shortname, mail-In- Datenbank: Mail-In- Name,...)
-b-
Hat das Gruppendokument selbst eine Leserliste (als Haken weg in den Eigenschaften des Gruppendokumentes "Alle Leser und Höher")
Wenn beides nicht der Fall ist:
Klappt es, wenn Du den Gruppennamen einfach mal testweise umbenennst (Also Abteilung1A statt Abteilung1)
HTH
Tode
-
Ha, Torsten - sooo exotisch finde ich insbesondere Grund a) gar nicht. Das könnte man ja über die View "($Users)" schnell überprüfen - lohnt sich, denke ich (und wenn es im negativen Sinne ist).
Bernhard
-
Einen habe ich noch vergessen: Ist ggf. im Gruppenname ein "/" !?
Gruß
Tode
-
@MOD
Die Alles Gruppe beinhaltet nur ca. 15 andere Gruppen.
Sorry, aber das spielt bei der Berechnung keine Rolle.
Size Limits on Nested and Expanded Groups in Domino
The total size of an expanded group is limited to 32KB (or 32768 bytes).
Calculating the group length:
The length of an expanded group incorporates the following variables:
* the length (in bytes) of the group name
* the length of all of the sub-group names
* for each group, the length of the domain name + 1 (add one to incorporate the use of "@" when the group is stored in memory)
* overhead in bytes, which equals 4 + 2*(total number of groups and subgroups)
Example 1:
Group name: TestGroup
Domain name: TestDomain
Group members: User1, User2, User3
The total length of this group = length(TestGroup) + (length(TestDomain) + 1)+ 4 + 2*1
= 9 + 10 + 1 + 4 + 2
= 26 bytes
Example 2:
Group name: TestGroup2
Domain name: TestDomain
Group members: User1, User2, User3, TestGroup3, TestGroup4
(TestGroup4 contains another group called TestGroup5)
Total length = length(TestGroup2) + (length(TestDomain) + 1)
+ length(TestGroup3) + (length(TestDomain) + 1)
+ length(TestGroup4) + (length(TestDomain) + 1)
+ length(TestGroup5) + (length(TestDomain) + 1)
+ 4 + 2*4
Total length = 10 + 11
+ 10 + 11
+ 10 + 11
+ 10 + 11
+ 4 + 8
= 96 bytes
Ways to avoid hitting the limitation:
The best way to avoid hitting this limitation is to keep the length of each group name as short as possible.
Also, 32K is actually fairly hard to hit unless there are several groups with extremely long names (over 20 characters, for instance). As an example, this scenario would hit the limit:
Domain name: 10 characters long (which counts for 11 bytes added to each group name)
Number of groups and subgroups: 1000
Length of each group (in characters/bytes): 20
Total group length: (20 + 11) * 1000
+ 4 + 2*1000
= 33,004 bytes
;D MOD
-
@MOD
Ich denke das Limit erreichen wir nicht, da ja anscheinend die einzelnen Personen in den Gruppen nicht bei der Berechnung mitzählen oder liege ich da falsch?
Bei uns sind es ca. 15 Gruppen in dieser einen großen Gruppe und in diesen einzelnen Gruppen stehen nur noch Personen (ca. jeweils 30 - 40).
@Tode
Im Gruppennamen (der großen Gruppe) ist kein "/" aber ein Leerzeichen, der Name der Problemgruppe lautet schlicht "AH", also auch nichts mit Sonderzeichen. Das andere muß ich erst mal nachprüfen.
René
-
René, das kann ich Dir jetzt bestätigen: An Grössenbeschränkungen stösst Du garantiert nicht (zumal ja obendrein die Gruppe "AH" das erste Element der Übergruppe ist). Deine Schlussfolgerung ist korrekt.
Einige Anmerkungen in vorherigen Postings sind auch dadurch widerlegt, dass der direkte Eintrag der Gruppe "AH" ja zeigt, dass dann ein Zugriff möglich ist.
Noch eine Frage sicherheitshalber: Spielt sich das Ganze eigentlich auf einem Server ab, oder greifen die "AH"-Members auf einem anderen Server zu ?
Bernhard
PS: Ich hoffe, wir können bald alle "AH" oder besser "aha" sagen ...
-
hmm.... AH als Gruppenname: das könnte ggf. zu simpel sein.
Bei uns wird zum Beispiel das Namenskürzel als weiterer Name unter Vollname eingetragen, weil wir alle so faul sind... so ergibt die Eingabe "HWu" automatisch "Hans Wurst".
Ich habe schon viele Firmen gesehen, wo das ähnlich gehandhabt wird.
Hat jetzt ein User das Kürzel "AH", dann käme es zu dem beschriebenen Effekt, und zwar in allen Auswirkungen:
wird die Gruppe AH direkt in die ACL eingetragen, dann "merkt" der Server, dass es sich hier um eine Gruppe handelt (möglicherweise wird sogar der Benutzertyp angepasst): Der Name ist nicht hierarchisch, also wird der Gruppenname angezogen.
Ist die Gruppe "verschachtelt" drin, muss der Server bei einem Zugriff quasi "Dynamisch" die Übergruppe auflösen, und dabei kann es durchaus sein, dass er den Eintrag "AH", der innerhalb des Gruppendokumentes ja keinerlei weitere identifizierungsmerkmale hat, als Benutzer "Alfred Hurst" mit Kurznamen AH identifiziert.
Nur so als Anregung... ich würde mal probieren, per Volltextsuche in den Personendokumenten nach "AH" zu suchen...
als weitere "Bestätigung" für diesen Verdacht: Nennt die Gruppe doch mal um in "XH" (es sei denn es gibt einen Xaver Huber):
Passiert es dann immer noch, dann liege ich komplett daneben. passiert es dann nicht mehr, dann liege ich vielleicht doch richtig.
HTH
Tode
-
Servus Torsten,
ich hatte ja schon mal den Blick in die Ansicht "($Users)" empfohlen - da würde man sowas sofort entdecken. Bislang gibt es dazu aber keine Rückmeldung.
Bernhard
-
@Bernhard und Tode
zu -a-
Gibt es eventuell einen User / eine Mail- In- Datenbank / einen Server / irgendein anderes Dokument, was den Gruppnnamen als Alias eingetragen hat (User: Benutzername, Shortname, mail-In- Datenbank: Mail-In- Name,...)
Habe in der $Users nachgesehen, es gibt AH wirklich nur einmal und das ist die Gruppe.
@Tode
Was meinst Du damit?
-b-
Hat das Gruppendokument selbst eine Leserliste (als Haken weg in den Eigenschaften des Gruppendokumentes "Alle Leser und Höher")
@Bernhard
Zu Deiner Frage:
Noch eine Frage sicherheitshalber: Spielt sich das Ganze eigentlich auf einem Server ab, oder greifen die "AH"-Members auf einem anderen Server zu ?
Ja, ist auf ein und dem selben Server.
@Tode
Kein "AH" in den Personendokumenten per Volltextsuche gefunden.
MfG
René
-
Hallo,
danke für Eure Hilfe, hat sich erledigt, es geht wieder.
MfG
René
-
Einfach so ? Oder hast Du einen Fehler gefunden ?
Bernhard
-
@Bernhard
Hallo,
habe eine Gruppe angelegt die "AH1" heißt und dorthin einfach alle Personen aus der Gruppe "AH" kopiert. Dann diese Gruppe zusätzlich in die Übergruppe gebracht.
Dann kontrolliert und gesehen, das alles so funktionierte, wie es soll.
Dann habe ich später einfach wieder die Gruppe "AH1" gelöscht und es klappte immer noch alles so wie es soll, das Problem war weg.
Ist schon eigenartig.
René
-
Sehr mystisch. Aber gerade mit Gruppen in ACLs gibt es selten, aber eben doch Berichte über solche Phänomene ...
Bernhard