Das Notes Forum
Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: dermax am 05.02.16 - 10:40:45
-
Hallo Leute,
ich beschäftige mich aktuell mit der xACL.
Bin mittlerweile soweit, das alles so umgesetzt ist wie ich das haben möchte, bis auf eine kleinigkeit: die Gruppen.
Offiziell darf man ja sogar hierarchisch benannte Gruppen nutzen:
"With the introduction of Notes Domino 6 the forward slash ( / ) is not only acceptable but necessary for some XACL functionality."
https://www-304.ibm.com/support/docview.wss?uid=swg21088877 (https://www-304.ibm.com/support/docview.wss?uid=swg21088877)
Nun wäre es ja eine Möglichkeit, die Gruppen für meine OUs nach dem passenden Namensschema zu bennenen, sodass die xACL auch auf diesen greift.
Damit geht allerdings, unter anderem, der "Komfort" flöten, an diese Gruppen vernünftig Mails zu senden (zumindest aus sicht der User).
Dann gibt es da ja noch das Feld "Administratoren" für Gruppen.
Leider werden Einträge darin von der xACL überschrieben.
Wenn ich allerdings Schreibrechte auf /-Ebene verteile, dürfen gleich wieder alle Gruppen verändert werden, was das ganze ja wieder völlig auflösen würde.
Gibt es vielleicht eine Möglichkeit, die xACL für Gruppendokumente zu deaktivieren und dort die Administratoren-Felder zu nutzen ?
Viele Grüße,
dermax
-
Hallo dermax,
leider habe ich gerade keine Testumgebung bei der Hand, an welcher ich das nachsehen kann. Aber ich kann mich noch erinnern, dass man die XACL auch auf Dokumenttypen (Personendokumente, Gruppendokumente...) einschränken kann.
Weiterhin empfehle ich das Besitzerfeld im Gruppendokument zu verwenden. Administratoren können neben der Mitgliederpflege auch den Namen der Gruppe selber ändern (bitte prüfe den Fakt nochmal in deinem Testsystem, bin mir hierbei gerade nicht 100% sicher).
-
Hallo Mandalor,
danke für den Input, werde ich mir nochmal genauer anschauen, hab es allerdings in der Zwischenzeit anders umgesetzt:
Den Admins in der xACL Schreibrechte gegeben, aber auf ACL-Ebene nur "Author". Dadurch können Sie (ohne die Gruppe "Group modifiers") nicht die Gruppen bearbeiten, außer Sie stehen nochmal explizit bei den Administratoren.
Das die Administratoren auch den Gruppennamen ändern dürfen wäre soweit erst mal nicht schlimm, das könnte ich ja wiederum in der xACL einschränken und den Schreibzugriff auf Dokumente im / nur auf das Feld mit den Namen einschränken.
Warum der Besitzer des Dokuments nicht den Namen ändern darf, die Administratoren des Dokuments aber schon erschließt sich mir leider nicht so ganz, aber damit muss man halt arbeiten.
Danke auf jeden Fall!
-
Hallo dermax,
das ändern der Gruppenmitglieder führt dazu das mehr oder weniger Benutzer ein bestimmtes Recht bekommen aber durch das Ändern des Gruppennamens kann ich ev. die Art des Rechtes ändern (eine ZUgriffsgruppe einer Datenbank wird in eine Zugriffsgruppe umbenannt, welche in einer anderen Datenbank hinterlegt ist). Letzteres ist fatal und sollte nicht von einem "normalen" Benutzer durchführbar sein.
-
Stimmt, macht so gesehen auch wirklich Sinn.
Danke, werde ich mal so mit einsetzen :)