Das Notes Forum
Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: smokyly am 12.08.11 - 11:12:19
-
Wir habene eine DA eingerichtet mit zusätzlichen Abteilungsadressbüchern.
Nun hat dummerweise jemand an einen externen Support eine Fehlermeldung gesendet, statt an unsere interne IT.
Kann man es irgendwie einstellen, dass die Adressinformationen aus der DA nur selektiv zur Verfügung stehen?
Also Benutzer A kann die Infos aus Abteilung A1 sehen / adressieren, aber nicht aus Abteilung B1.
Danke schon mal.
Gruß
-
Ja, separate Dominos & DAs =) Ansonsten leider nicht das ich wüßte.
-
@ smokyly: Wi baut man mehrere DA's? Es gibt doch nur ein Feld im Server und da kann mann ja nicht nach Gruppen unterscheiden!?
@Oxse: Ich wollte schon immer mal problieren, ob Lesefelder im den DA-Dokumenten den gewünschten Effekt bringen, bin aber noch ni dazu gekommen. Aber bitte nicht im Livesystem ausprobieren!
-
Namensauflösung ist immer Sache des Routers, sprich der Server (für DA). Wie willst du da einschränken?
Einfach zum Ausprobieren:
DA -> 1 Adressbuch -> ACL: No Access
Klick in neuer Mail auf Adresse -> Auswahl des Adressbuchs -> No Access
Eintippen eines Namens aus dem Adressbuch -> F9 -> wird aufgelöst.
-
Namensauflösung ist immer Sache des Routers, sprich der Server (für DA). Wie willst du da einschränken?
Einfach zum Ausprobieren:
DA -> 1 Adressbuch -> ACL: No Access
Klick in neuer Mail auf Adresse -> Auswahl des Adressbuchs -> No Access
Eintippen eines Namens aus dem Adressbuch -> F9 -> wird aufgelöst.
Ja, soweit war mir das auch bekannt und hab es auch so für meine ungläubige Cheffin vorgeführt.
Danke für die Bestätigung. Damit muss das Problem dann vor dem Bildschirm gelöst werden.
Gruß
-
Hallo Smokyly,
probier doch einmal folgendes aus:
1. Erstelle eine Testgruppe (abc) und füge dort 2 Kontakte ein.
2. In den Zugriffseigenschaften dieses Dokuments stellst du nun ein, das nur die Server und bestimmte Personen das Dokument lesen düfen.
3. Versuch zu der Gruppe von einem unberechtigten Notesaccount (Punkt 2) eine Mail zu senden.
In unserer Umgebung wird die Gruppe von diesem Account nicht gefunden und es erfolgt eine Fehlermeldung.
Egal ob Schnelladressierung oder nach dem eintippen direkt auf senden klicken.
4. Jetzt verwendest du einen Account, der zu der in Punkt 2 eingetragenen Personen gehört.
Die Person sieht die Gruppe in der Schnelladressierung und im Adressbuch, senden funktioniert auch.
Funktioniert auch mit einem Testkontakt, muß nicht unbedingt eine Gruppe sein.
Jetzt machen wir es noch ein bischen interessanter und erstellen den gleichen Kontakt oder Gruppe(2) in einem zweiten Serveradressbuch.
Den Zugrif belassen wir mal auf "alle können das Dokument lesen".
Es kommt zu keiner Falschadressierung für die unberechtigten Leser von der Gruppe(1). Die Mail wird an Gruppe(2) gesendet.
Sendet ein berechtigter Leser zu der Gruppe(1) eine Mail, erscheint ein Auswahlfenster welche Gruppe nun verwendet werden soll, sofern in der Arbeitsumgebung der Punkt "alle Adressbücher durchsuchen" aktiviert ist.
Wir verwenden die Version: Lotus Notes Version 8.52
Falls es bei dir auch funktioniert, mußt du also nur in den jeweiligen Adressbüchern die Berechtigungen in den Kontakten per Agent oder Script entsprechend ändern und immer aktualisieren.
PS: Nach jeder Änderung der Eigenschaften des Testkontakts solltest du ein paar Minuten warten, damit der Router die Aktualisierung drin hat.
mfg
Ralf
-
Hallo,
mit einer internen Gruppe habe ich sowas in der Art auch produktiv laufen. Ist statisch und nur eine einmalige Rechtevergabe.
Aber:
Falls es bei dir auch funktioniert, mußt du also nur in den jeweiligen Adressbüchern die Berechtigungen in den Kontakten per Agent oder Script entsprechend ändern und immer aktualisieren.
Das bedeutet ja, dass man dann ständig die ACL der jeweiligen Adressbücher auslesen müsste und dann anhand dieser Liste die Rechte auf Dokumentenebene setzen muss. Ich wage zu bezweifeln, dass ich diesen Agenten hin bekomme... ;D Also rein administrativ ist da nix zu machen.
Mir war aber noch so, dass es Konstellationen gibt, wo diese Dokumenteneinschränkung nicht nutzbar ist - für einen anderen Fall hätte ich das nutzen wollen, ging aber nicht. Ach ja, jetzt fällt es mir wieder ein. Benutzer sollten zwar nicht an eine Gruppe direkt senden können, aber eine Regel in der Mail-DB hätte schon sollen... Das nur so nebenbei für mich als Erinnerung.
Danke Dir.
Gruß
-
@ra.t: Ich bin zwar nicht der Fragenstellung, aber Danke für diesen Ansatz und die pratischen Erfahrungen damit. Werd mal damit rumspielen, würde auch bei uns einige Anforderungen abdecken.
-
smokyly,
I give up.
-
Das bedeutet ja, dass man dann ständig die ACL der jeweiligen Adressbücher auslesen müsste und dann anhand dieser Liste die Rechte auf Dokumentenebene setzen muss. Ich wage zu bezweifeln, dass ich diesen Agenten hin bekomme...
Wie wäre es denn mit einer Rolle ?
-
Wie wäre es denn mit einer Rolle ?
Ich kann erahnen, was Du meinen könntest, komm aber nicht ganz auf den Lösungsansatz. Magst Du das weiter ausführen?
-
Wenn das mit dem beschriebenen Zugriffsschutz auf die Dokumente funktioniert, kannst Du einfach eine Rolle in die Leserfelder schreiben. Diese Rolle weist Du dann den Benutzern in der ACL zu, die Zugriff auf die Dokumente haben sollen.
-
Also füge ich in die Maske "Kontakt" (die Adressbücher basieren auf der pernames.ntf) ein Leserfeld ein, weise da den Wert [du_darfst] zu und dann setze ich in der ACL entsprechend diese Rolle?!
Bei bestehenden Kontakten muss ich das Item noch nachversorgen / neu erzeugen?!
Sorry, mit Programmierung hab ich es in dem Bereich nicht so.
-
Im Prinzip schon. Du kannst auch das bestehende Item nutzen. Wenn man in den Dokumenteigenschaften den Lesezugriff einschränkt, wird das Item $Readers gefüllt (sollte zumindest funktionieren, ich habs nicht getestet).
Aber vorsicht : Das solltest Du gut an einer Demodatenbank testen, denn so kann man sich ganz einfach auch selber den Zugriff wegnehmen.
Und ein entsprechender Agent muß dann schon in Script programmiert werden, damit man auch den Itemtyp entsprechend setzen kann.
-
Ist zwar ziemlicher Aufwand, aber ich versuch mal mein Glück.
Danke Dir!
-
Mit den Rechten der "Full-Access Administratoren" siehst du auch per Leserfelder versteckte Dokumente. Wenn du die Maske im Designer um das Leserfeld erweiterst, musst du nur einen Designrefresh über alle Dokumente machen, damit das Feld in die Dokumente kommt. (Achtung: Ggf. passieren dann noch weitere Dinge, je nach vorhandener Programmierung in der Maske)
Designrefresh geht z.B. über eine Ansicht-Aktion mit @Command([ToolsRefreshSelected]); (Ich meine so hieß das ;))
-
Hallo zusammen,
sorry, dass ich einen etwas älteren Thread wieder ans Tageslicht hole. Aber das Thema "Directory Assistance und Zugriff einschränken" schwapt bei mir immer wieder hoch. Und da ich bisher noch keine Löung gefunden habe, möcht ich euch meine Testergebnisse mitteilen und auf den ein oder anderen Hinweis hoffen.
Wie Ralf schon beschrieben hat, habe ich versucht das Problem mit Leserfeldern zu erschlagen.
Als Testumgebung half mir ein 8.5.2FP2 Server + Client auf Windows/Linux. Ein Standard persönliches Adressbuch wurde in den Direcotry Assistance eingebunen. Die ACL wurde um zwei Rollen ("[1]" und "[2]") erweitert. Ein weiteres Leserfeld wurde in die Maske der Kontakte eingebaut, welches ich zu Testzwecken manuell übers Frontend befülle.
Das Ergebnis hat sich sehen lassen können. User die nur die Rolle 1 hatten, konnten auch nur die entsprechenden Dokumente sehen. Genauso bei der Rolle 2. Alle anderen Dokumente wurden nicht angezeigt wenn man über die "An:" Schaltfläche das entsprechende Adressbuch auswählte.
Was allerdings leider nicht mehr funktionierte ist die Schnelladressierung. Egal nach welchen Kontakten durch welche User gesucht wurden. Es gab nie einen Treffer aus dem betroffenen Adressbuch. Irgendwann habe ich die Leserfelder einiger Dokumente wieder geleert. Und siehe da, genau diese Dokumente konnten anschließend wieder gefunden werden.
Soweit ich weiß, wird die Schnelladressierung ja durch den Router (Server) übernommen. Somit ist das Recht des User in der ACL hierbei ziemlich egal. Leider hilft es aber auch nicht, dem Server die entsprechenden Rollen zu geben (-Default- und Anonymous mit Rollen übrigens ebenfalls nicht). Von der Schnelladressierung werden nur Dokumente gefunden, die keinerlei Einschränkung durch Leserfelder besitzen.
Ich finde die Möglichkeit der Leserfelder eine echt gute Idee. Viele Probleme wären auf einen Schlag weg. Wenn da nicht die Schnelladressierung wär...
Viele Grüße
Felix
-
Hallo Felix,
schade das du wohl meine Ausführungen zwar gelesen, aber dann nicht so ausgeführt hast..
Mach es doch bitte einmal so, wie ich es beschrieben habe, dann wird es auch funktionieren.
Also ohne Rollen, die kannst du nicht überall einsetzen.
mfg
Ra.T.
-
Wenn der Benutzer aber "trotzdem senden" wählt, wird die Mail korrekt zugestellt. Der Router hat ja Zugriff auf die DA.
Die einzige sinnige Lösung, die wir angedacht haben:
- Abteilungsadressbücher aus der DA lösen.
- Kompakte Verzeichniskataloge verteilen.
Gruß
-
das ist falsch... Der Benutzer bekommt -wenn man das mit den Leserfeldern richtig gemacht hat- eine Zustellfehlermeldung, dass er nicht berechtigt ist, an diese Adresse zu senden...
-
das ist falsch...
Nein, nicht bei der Version von Ra.T.
-
Stimmt Ralf. Ich habe deine Idee mit der Rollen-Idee von Ingo vermischt. Es schien für mich einfacher und ich dachte nicht, dass es hier einen Unterschied gibt. Leserfelder waren für mich bisher immer Leserfelder. Egal ob mit Rollen oder Namen befüllt. Aber ich werd deinen Ansatz morgen nochmal haarklein nachvollziehen. Versprochen ;-)
@Geri: Kompakte Verzeichniskatalog würde ich eigentlich am liebsten vermeiden. Die Daten würden dann ja nur periodisch zusammengebaut werden. Und ich weiß jetzt schon das der ein oder andere Benutzer da schreien wird.
@Torsten: Kommt da wirklich eine Fehlermeldung? Aber nur, wenn der Name vom Router wirklich aufgelöst werden muss, oder? Also von z.B. "Hans Meiser" in "Hans.Meiser@rtl.de".
-
@Felix: Ja, das kann sein... wenn es schon ne InternetAdresse- Adresse ist, dann interessiert das den router nicht mehr... Aber das geht ja dann eigentlich über die ursprüngliche Frage raus... Das geht ja dann in ne Richtung "Wie verhindere ich, dass ein Benutzer mails an bestimmte internet- adressen sendet, DIE ER KENNT...
-
Zur Verdeutlichung. Abteilung Technik hat sich einen Kontakt angelegt. Nachname: support-it mit der zugehörigen Adresse support.it@domäne.
Es gibt im DD eine Mail-In, die da lautet it-support, das ist unser internes Ticketsystem.
Nun hat sich so ein schlauer Mensch gedacht, er schickt mal eine Anfrage an uns, weil was mit seinem Laptop nicht geht. Welche Adresse er nun aus dem Kopf heraus eingetippt hat, ist wohl klar. ;D
Entziehe ich nun in dem Adressbuch der Technik dem Benutzer die Leseberechtigung, kann er die Adresse eintippen, also support-it, bekommt beim Senden die Meldung, dass sich dieser Name in keinem Verzeichnis befindet, kann aber trotzdem senden. Der Router stellt dann ohne Murren an support.it@domäne zu. Ja, er "kennt" diese Adresse.
-
Argh... sch... Ja, da kann die Technik wohl den renitenten Benutzer nicht ausreichend behindern... Da helfen nur Server- Regeln, aber die zu warten macht natürlich kein spass (wenn Absender != Name A und Absender != Name B und Absender != Name C und Empfänger = "MailIn" dann mail verwerfen...
Leider gehen in solchen Regeln keine Gruppen (natürlich kann man das Programmatisch erweitern, aber ob man das wirklich will...)... und das macht die Pflege zu nem grossen Mist.
In dem Fall würde wohl nur helfen, die Adressdatenbanken nicht per Server sondern per user zur Verfügung zu stellen (entweder über individuelle dircats oder über verteilte names=names.nsf;Server!!abteilung1.nsf - Einträge in der Client- notes.ini, kann über policy gemacht werden)
Auch nicht schön, ich weiss...
-
Smokily,
nicht der Router, sondern immer der sendende Benutzer macht den lookup in den Adressbüchern.
Deshalb wird auch immer pro Anwender der Anichtsindex auf das Adressbuch beim senden aktualisiert . Und so kommt es häufig vor, das wenn mehrere gleichzeitig senden wollen, bei einigen der Client hängt da der Anwender warten muss, bis sein Index aktualisiert wird. Da bei der Indexerstellung die Ansicht für andere Zugriffe gesperrt wird. Ist ein altes Feature von Lotus Notes , welches ab Version 8 wieder eingeführt wurde, damit einem wieder Zeit bleibt neuen Kaffee aufzusetzen.
Mfg
Ra.T
-
Falsch. Der Router löst schlußendlich auf. Probier es aus. Stopp den Router. Sende eine angeblich nicht erreichbare Mail ("trotzdem senden"). Kuck in die Mail.box. Da steht dann die Mail noch nicht aufgelöst drin. Starte den Router und die Mail wird sich der Router an eine entsprechende Stelle raus suchen (falls bekann). Also mehr, als das so zu testen kann ich nicht und es funzt einfach nicht. Oder gibt es eine Konfig-Einstellung, die ich nicht kenne?
LG
-
In dem Fall würde wohl nur helfen, die Adressdatenbanken nicht per Server sondern per user zur Verfügung zu stellen (entweder über individuelle dircats oder über verteilte names=names.nsf;Server!!abteilung1.nsf - Einträge in der Client- notes.ini, kann über policy gemacht werden)
Auch nicht schön, ich weiss...
Oder eben über Policiy und kompakten Katalog... Ebend. der User muss da das "Element" der Adressierung sein. Nicht schön, aber auf der anderen Seite würde es die Offlline-User wieder unterstützen. Aber kein =names. Das ist kacke ;D
Ich hab aber im Moment die pragmatischste Version laufen:" Der Benutzer soll sein Hirn einschalten!"... ;D ;D ;D
Gruß
-
Da helfen nur Server- Regeln, aber die zu warten macht natürlich kein spass (wenn Absender != Name A und Absender != Name B und Absender != Name C und Empfänger = "MailIn" dann mail verwerfen....
Dann würde der Absender eine Meldung bekommen? Ich denke nicht....
P.S. Sorry für die Rechtscheibfehler - andere Tastatur (von Aldi)....
-
Falsch. Der Router löst schlußendlich auf. Probier es aus. Stopp den Router. Sende eine angeblich nicht erreichbare Mail ("trotzdem senden"). Kuck in die Mail.box. Da steht dann die Mail noch nicht aufgelöst drin. Starte den Router und die Mail wird sich der Router an eine entsprechende Stelle raus suchen (falls bekann). Also mehr, als das so zu testen kann ich nicht und es funzt einfach nicht. Oder gibt es eine Konfig-Einstellung, die ich nicht kenne?
LG
Hallo smokily,
wenn du den Server richtig konfiguriert hast und den Zugriff der Kontakte oder Gruppen auf Dokumentebene einschränkst, erhält der unberechtigte Sender folgenden Zustellungsfehlerbericht, egal ob der Router vorher oder nachher gestartet wird:
"Not authorized to send mail to this user or group (Benutzer existiert nicht !)." Und die Nachricht wird nicht zugestellt ! :-:
mfg
Ra.T
-
Hallo smokily,
wenn du den Server richtig konfiguriert hast
Hallo,
ich will Dich echt nicht nerven, aber was meinst Du damit?
Folgendes habe ich gemacht:
- Testuser in der ACL auf das Adressbuch mit "kein Zugriff" eingestellt.
- Testadressendokument über "Eigenschaften" nur dem Server Leseberechtigung gegeben.
Testuser sendet Mail->geht raus.
Gruß
-
Ich bin begeistert!!!
Ich habe das Thema "Zugriffskontrolle per Leserfelder" nun ausgiebig getestet. Rollen funktionieren leider nicht. Aber Personen die explizit als Leser oder sogar mittels GRUPPEN eingetragen worden sind, können die Kontakte entsprechend den Berechtigungen in der Schnelladressierung oder durch die manuelle Auswahl verwenden!!
Nun fehlt nur noch die Konfiguration am Server, mittels dessen die Meldung
"Not authorized to send mail to this user or group (Benutzer existiert nicht !)."
erscheint. Bei mir löste der Server nach der Funktion "Trotzdem Senden" die Adresse leider auf.
Aber immerhin... die Zugriffskontrolle funktioniert ... jippieee... so geht man gut gelaunt ins Wochenende!
-
Nun fehlt nur noch die Konfiguration am Server, mittels dessen die Meldung
"Not authorized to send mail to this user or group (Benutzer existiert nicht !)."
erscheint. Bei mir löste der Server nach der Funktion "Trotzdem Senden" die Adresse leider auf.
Danke, Du bestätigst mich.
Und ich denke, da kann man was drehen, da ich diese Meldung schon mal produziert habe. Aber wo, bzw. wie?