Das Notes Forum
Domino 9 und frühere Versionen => ND8: Entwicklung => Thema gestartet von: iukhdh am 03.04.13 - 10:02:07
-
Hallo liebes Forum,
ich habe mal wieder ein seltsames Problem, wo sich inzwischen die halbe Abteilung den Kopf zerbricht:
Für eine Datenbank sind verschiedene Berechtigungsgruppen angelegt worden, die unterschiedliche Rollen bekommen haben. Die Gruppe "Auskunft" mit den geringsten Rechten hat eine einzige Rolle, die ich hier zur einfacheren Erklärung "xyz" nenne. Keine andere Berechtigungsgruppe hat diese Rolle. In dieser Gruppe stecken Personen, aber auch weitere Gruppen.
Ich habe eine Kollegin, die in der Datenbank arbeiten und bestimmte, weitgreifende Funktionen haben soll. Dazu steckt sie in einer anderen Gruppe "Planer", die verschiedenen Rollen besitzt, aber wie gesagt nicht die Rolle "xyz", die gibt es sonst nirgendwo.
Die gewünschten Funktionalitäten standen nicht zur Verfügung, was sicherlich daran lag, dass die Kollegin über eine weitere Gruppe "abc" in der Gruppe "Auskunft" enthalten war. Deswegen bekam Sie die Rolle "xyz", und war dadurch nur für die eingeschränkten Funktionen berechtigt.
Als mir das aufgefallen ist, hab ich die Gruppe "abc" aus der Gruppe "Auskunft" entfernt, sodass meine Kollegin inzwischen nur noch in der Gruppe "Planer" steckt. Wir haben dies mehrmals überprüft. Sie steckt in keiner weiteren Gruppe die in der Gruppe "Auskunft" beinhaltet ist.
Trotzdem besitzt sie immer noch die Rolle "xyz" und ist dadurch eingeschränkt.
Nun zur Frage:
Werden die Rollen bzw. Berechtigungen eines Anwenders irgendwo im Notes zwischengespeichert? Kann da irgendwo was schiefgehen? Gibt es möglicherweise einen Cache, in dem die fehlerhafte Berechtigung steckt? (An der Cache.ndk kann es nicht liegen, die Kollegin arbeitet an einem Terminalclient wo dieser Cache täglich gelöscht wird)
Kann man irgendwie herausfinden, woher sie die Rolle xyz bekommt?
Ich hoffe meine Erklärung war verständlich, und ihr könnt mir wie immer kompetent helfen.
Vielen Dank im Voraus
Thomas
-
Hallo Thomas,
ich denke mal, ihr habt den effektiven Zugriff des Benutzers auf die Datenbank geprüft.
Testweise kannst du die Benutzerin auch mal als Person in die ACL eintragen und ihr explizit die Rolle geben. Damit kannst du das Problem einrenzen. (Personenberechtigungen in der ACL gelten im Notes vor Gruppenberechtigungen).
Wenn es so nicht auch nicht geht, dann kann man sich die Datenbank mal genauer anschauen. Das die Datenbank ACL oder Teile davon lokal gespeichert werden, hab ich noch nie gelesen.
Chris
-
In solchen Fällen hilft meistens das Standardvorgehen:
Notes beenden
cache.ndk aus dem Notes Datenverzeichnis löschen
Notes starten
Notes cached sich allerhand Zeugs in der cache.ndk.
Manchmal muss man noch vor dem Beenden von Notes die Kachel der Datenbanb vom Arbeitsbereich entfernen.
Andreas
-
Die Anwenderin arbeitet aber direkt auf der Anwendung am Server ? Oder ist da eine lokale Replik im Spiel ?
-
Danke für die ersten Antworten.
@ Glombi: Die Cache.ndk wird, wie oben ja geschrieben, täglich gelöscht.
@Driri: Nein, es ist keine lokale Replik im Spiel
@Klafu: Notfalls werd ich es wohl so lösen, dass ich die Kollegin direkt eintrage. Wobei wir sowas normalerweise vermeiden wollen.
-
Hat der Domino die Änderung der Gruppen überhaupt schon mitbekommen? Wann hast Du diese Änderung gemacht?
Bernhard
-
Danke für die ersten Antworten.
@ Glombi: Die Cache.ndk wird, wie oben ja geschrieben, täglich gelöscht.
Aber wenn Du es am selben Tag machst ?
-
Man kann sich ja über das Symbol "Sicherheit" anzeigen lassen, in welcher/en Gruppe/n der Anwender ist und welche Rollen er hat.
-
Die Änderungen haben wir schon vor mehreren Tagen getätigt, von daher sind die sicherlich schon beim Domino angekommen, und die Cache.ndk wurde mehrfach gelöscht.
Über das Symbol "Sicherheit" hab ich die Gruppen/Rollen der Anwenderin abgefragt. Da ist die Rolle xyz mit drin, nur keiner weiß aufgrund welches Eintrags. Und das scheint man wohl auch nirgendwo abfragen können, oder?
-
Wenn du mit Sicherheit den effektiven Zugriff meinst, dann sollte man sehen können über welchen Eintrag die Person Zugriff auf die DB bekommt und welche Rollen damit verbunden sind.
Chris
-
Vielleicht steh ich grad auf dem Schlauch.
Bei dem Fenster effektiven Zugriff sehe ich die Gruppen und die Rollen. Da steht die "böse" Rolle auch im unteren Rollenberich mit drin. Aber woher sehe ich aufgrund welcher Gruppenzugehörigkeit diese Rolle vergeben wird?
Bei den Gruppen im oberen Bereich wird auch die "böse" Gruppe "Auskunft" angezeigt, obwohl sie in dieser Gruppe definitiv nicht drin steckt.
Verständnisfrage: Warum werden manche Gruppen mit einem Häkchen versehen, die meisten aber nicht?
-
Vielleicht steh ich grad auf dem Schlauch.
Bei dem Fenster effektiven Zugriff sehe ich die Gruppen und die Rollen. Da steht die "böse" Rolle auch im unteren Rollenberich mit drin. Aber woher sehe ich aufgrund welcher Gruppenzugehörigkeit diese Rolle vergeben wird?
Bei den Gruppen im oberen Bereich wird auch die "böse" Gruppe "Auskunft" angezeigt, obwohl sie in dieser Gruppe definitiv nicht drin steckt.
Verständnisfrage: Warum werden manche Gruppen mit einem Häkchen versehen, die meisten aber nicht?
Die mit dem Haken sind die Gruppen in denen die Userin drin steht... :)
-
Die Einträge rechts oben sind alle Gruppen und Personen, die Zugriff auf die Datenbank haben.
Die Gruppen mit Häkchen sind die, über die die ausgewählte Person Zugriff auf die Datenbank hat.
Das heißt in diesen Gruppen ist die Person hinterlegt und da ist wohl irgendwo auch ein Gruppe dabei, die die böse Rolle hat.
Vielleicht ist auch einfach das Adressbuch/die Gruppen nicht aktuell oder es gab einen Replizier fehler auf dem Server?
-
Hallo,
Nur mal so eine Frage nebenbei.
Und was passiert mit den Gruppen, in denen der User nicht namentlich enthalten ist, er aber dennoch
Mitglied dieser Gruppe ist.
Ich weiss klingt jetzt etwas konfus, aber z. B. Gruppen, die als Mitglieder alle User beinhalten, die
einen bestimmten Certifier haben.
z.B. Gruppe A -> Mitglieder */ABC/Domain/DE
Unter "Effektiver Zugriff" erscheint bei dieser Gruppe kein Haken, dass der betreffenden Benutzer Mitglied
dieser Gruppe ist. Dennoch greift dieser Gruppe in der ACL und somit natuerlich auch die Roles, die
dieser Gruppe zugeordnet sind.
Andreas
-
Vielleicht stimmen die Ansichtsindizes im DomDir nicht und es wird noch ein alter Stand angezogen. Sicherheitshalber solltet Ihr mal ein
lo updall names.nsf -R
und
tell dbcache flush
auf der Serverkonsole machen.
Andreas
-
@pimpfling Das kann ich so aber nicht bestätigen. Die Kollegin ist in mehreren namentlich drin, es wird aber nur eine einzige mit Häkchen angezeigt. Die Gruppen in denen sie sonst noch ist werden auch angezeigt, aber ohne Haken..
-
Vielleicht ist die Gruppe mit dem höchsten Zugriffslevel angehakt? So ganz erschließt sich das mir nicht.
-
HEUREKA !!
@Glombi Danke für den Tip mit der Serverkonsole. Jetzt funktioniert es.
Das mit den Haken erschließt sich uns auch nicht ganz. Ihr könnt es ja selber mal bei einer Person ausprobieren die in mehreren Gruppen drin steckt. Da werden beileibe nicht alle Gruppen angehakt.
Ich danke allen hier für die Unterstützung, wieder ein seltsames Problem weg vom Tisch.
-
Also mir wurde es so gesagt, das die Gruppe/der Eintrag mit dem Haken davor der ist, über den ein Benutzer Zugriff auf die Datenbank hat. Schon komisch dass die Hilfe das nicht erläutert.