Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: HPohl am 17.01.03 - 08:52:57
-
Halloechen.
Ich stehe vor folgendem Problem.
Ich bin mit der Aufgabe betraut worden, ein neues Berechtigungskonzept für unsere(n) Notes-Server zu erstellen.
Mir stellen sich folgende Fragen :
Inwieweit benötigen der/die Admins uneingeschränkten Zugriff auf sensible Datenbanken?
Sollte nicht lieber ein Superuser vorhanden sein, der Maximalzugriff auf alle Datenbanken besitzt, welcher dann im Schrank weggesperrt wird?
Welche Mindestzugriffsrechte sind nötig ?
Wie begründe ich die entsprechenden Rechtevergaben?
Inwieweit sollte ich meinen Vorgesetzten uneingeschränkten Zugriff auf Datenbanken gewähren?
Benötigen sie Managerrechte ?
Wie verkaufe ich den Entscheidern, daß sie nicht uneingeschränkten Zugriff erhalten sollten?
Für Vorschläge, Lösungsansätze oder Konzept-Entwürfe wäre ich sehr dankbar.
Grüße
Helge
-
Hi,
wir lösen die Berechtigung und die Signierung von Datenbanken über einen Pseudo "DB-Admin". Das ist der Super-Duper-Admin über alle Datenbanken.
Jede Datenbank wird mit dieser id signiert, sodass wir auch keine Probleme mit den leidigen Sicherheitsabfragen haben.
Der jeweilige Server sowie der o.g. "DB-Admin" sollte als Mindestzugriff Manager sein. Dadurch erübrigt es sich, dass alle Admins Manager Rechte erhalten.
;D MOD
-
Halloechen.
Und wo liegt die ID für den Gott-User. Die Erstellung eines solchen Users ist sicherlich sinnvoll, aber wer bestimmt den Einsatz dieser ID?
Gruss
Helge
-
Der Hauptverantwortliche für Notes kann diese id beantragen. Darin muss geschildert werden für welchen Zweck diese verwendet wird.
Nach Prüfung des Vorganges (Revision/Prüfungsdienst/Betriebsrat/Personalrat je nach Umfang) wird diese id dann ausgehändigt.
;D MOD
-
Und wie ist diese ID geschützt? Wer ist im Besitz dieser ID?
-
Ein gesicherter Bereich im Netzwerk wo die Notes Admins kein Zugriff haben.
Leiter EDV
;D MOD
-
Also wenn ich das richtig versteht, würde bei diesem Szenario der Leiter der EDV die Möglichkeit haben, Einsicht in die Datenbanken zu nehmen ??!?
-
Gibt es die Möglichkeit, irgendwo ein Biespielkozept / Regelung im Web zu finden, anhand derer man sich Anregungen holen kann??!?
Danke im voraus
Helge
-
Habt Ihr wirklich eine solche Hochsicherheitsumgebung oder oder einen solch scharfen Betriebsrat? Meiner Meinung nach schiesst Ihr ein wenig über das Ziel hinaus!
Entweder bin ich Admin und unterschreibe dann auf eine Geheimhaltsvereinbarung oder arbeitet Ihr in einer Behörde wo das ganze am besten mit der max. möglichen Bürokratie gemacht wird?
Ich arbeite aus Sicherheitsgründen nicht einem Superuser sondern sichere mir beim Erstellen einer neuen ID eine Kopie von dieser mit einem nur der IT bekannten Kennwort...
-
Eine Hochsicherheitsumgebung soll es natürlich nicht sein. Es gilt nur, den Mitgliedern des Vorstandes Datenbanken bereitzustellen, die auch für den/die Admins nicht einsichtig sein sollen. Hier soll es möglich sein, daß Sicherheitsbedürfnis der Vorstände befriedigen zu können. Allerdings habe ich ein Problem damit, Vorstandsmitgliedern, die nicht die nötigen Kenntnisse mitbringen, Managerzugriff auf die Datenbanken zu ermöglichen (ups die Datenbank ist weg).
Nebenbei noch eine andere Frage : Mit dem Managerzugriff ist schließlich auch das Löschen der Datenbank möglich. Kann ich eigentlich in den Berechtigungseinstellungen, einem User die Möglichkeit geben, neue User hinzuzufügen, ohne ihm zu ermöglichen, User aus der ACL zu entfernen?
Gruss
Helge
-
Hi,
hast du denn schon mal drüber nachgedacht, eine Super Admin ID im 4 Augenprinzip zu erstellen, somit sind immer zwei Personen nötig, sodas einer alleine nicht den Zugriff erhält, da zwei Kennworte abgefragt werden.
Gruß
Robert
P.S. War für unseren Vorstand mal so gemacht!!
-
Super-Admin ID ? Ist hiermit ein Benutzer gemeint? Wenn ja, auf Anhieb habe ich keine Option gefunden, bei der zwei Kennwörter erfasst werden können.
Gruß
Helge
-
Hi Helge,
das kannst du im Administrator unter Konfiguration/Mehrfachkennwörter festlegen.
Gruß
Robert