Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: luna am 10.07.02 - 14:03:45
-
hallo,
ich hab schon hier gesucht, aber unter "lockout" nix gefunden.
bei uns geht die post ab. da gehen oft user von einer sekunde auf die andre, die duerfen dann ab sofort nirgends mehr zugriff haben. frueher hab ich die dann sofort geloescht, dann gingen die vor gericht, und standen ein paar tage spaeter wieder hier.
ich hab nun im nab heute das erste mal die funktion "lockout ID" benutzt. kenne mich da aber leider ueberhaupt nicht aus.
heisst das jetzt wirklich, definitiv und 100%ig, dass der user mit dem notes client nicht mehr an seine mail files kann? kann ich mich da drauf verlassen?
und koennte ich dann bei bedarf den user wieder hinlassen? wenn ja wie?
vielen dank fuer jede meinung,
gruss,
daniela
-
Also ich gehe da wie folgt vor:
den Eintrag im NAB kopiere ich in ein "temporäres Adressbuch" (Gestaltung des NAB).
Dann lösche ich den User im Nab mit Hilfe des Adminclient. Hier hast du ja auch die Option den User in eine sog. DenyAccess Group einzutragen. Diese Gruppe muss natürlich auch im Serverdokument eingetragen sein.
Der User ist dann , nachdem der Adminp gelaufen ist aus allen gruppen ACL etc gelöscht.
Die Maildatei lösche ich nicht; ( erstens mache ich eine Kopie auf CD, zweitens bekommte der Vorgesetzte den Zugriff ) Nach 3 Monaten lösche ich dann auch die MailDB.
Selbst wenn der User seine ID mitnimmt, kommt er durch die Deny Access Group nicht mehr ins System.
Sollte er dann wider Erwarten doch wieder auftauchen, kopiere ich das gesicherte Personendokument wieder zurück ins NAB. Dann noch den User aus der DenyAccess herauslöschen und schon ist er wieder am Draht.
Das System funktioniert bei uns sehr zuverlässig; wir haben eine sehr hohe Fluktuation. durch viele Leiharbeiter, die teilweise 4-5 mal pro Jahr für Projekt bei uns sind.
Ulrich
-
hallo ulrich,
vielen dank fuer deine ausfuehrungen. ich hab an die deny access gruppe gar nicht mehr gedacht.
es ist so, dass der user grad das haus verlassen musste, jedoch ich nicht weiss, ob er morgen wieder kommt. eigentlich sollte er nie wieder kommen.
ich mach das jetzt aehnlich wie du beschrieben hast. danke fuer deinen tip.
aber trotzdem wuerde mich interessieren, was dieses lockout ID genau macht und wie man es wieder wegbekommt (nun neugierig). ;D
gruss,
daniela
-
Bich ich blind; wo finde ich das ??
-
Hallo Ulrich,
ich hab dazu auch mal ein paar Fragen, Bei uns klappt das nicht das der User dann aus allen ACL´r raus getragen wird, und wie kann ich den User in die Deny Access bekommen ohne in das Adressbuch zu springen und mit copy and Paste zu arbeiten
Gruß Rodan
-
natuerlich bist du nicht blind !!!
ich geh ins nab auf den user
dann im menu: actions / set password fields
dort dann: check password: lockout ID
gruss,
daniela
-
Hallo Rodan,
erst einmal musst du dir eine solche gruppe unter Server - Gruppen ohne Zugriff im NAB erstellen.
Wenn du jetzt einen Benutzer im NAB über die AKTION Person löschen löscht ( nicht einfach nur markieren und dann Entf !! ) öffnet sich ein Dialog, in dem du unter anderem die Option "In Gruppe eintragen" hast; hier wählst du dann die DenyAccess Group aus.
Im Serverdokument muss die Gruppe im Feld "Kein Serverzugriff" im Abschnitt Sicherheit eingetragen werden.
In das NAB habe ich mir einen Agenten eingebaut, der über eine einfache Aktion ( In Datenbank kopieren) den Personeneintrag in das temp NAB kopiert.
eknori
-
AHHHH, Danke Daniela. Muss mal sehen, was der Adminp da macht. Ich vermute mal, der schiebt den User in die DenyAccess Group. Werde das mal testen
-
Hi Leute,
hier die Aufklärung über die Funktion Lockout ID!
Dies ist eine klasse Funktion von Notes (die schnellste Funktion User aus dem System zu verbannen). Mit den Access Deny Gruppen wäre ich vorsichtig. Diese Gruppe muss dann in alle Datenbanken mit "kein Zugriff" stehen. Sonst ist sie wirkungslos. Die Funktion Lockout ID ist genau für die beschriebene Situation gedacht.
ABER! Vorher bedarf es noch ein paar Konfigurationsschritte:
Die betroffenen Server (von denen der User ausgeschlossen werden soll) sind folgendermaßen zu konfigurieren:
Im Serverdokument muss die Option "Check Passwords on Notes IDs" (Passwort auf Notes IDs überprüfen) aktiviert werden (Security - Security Settings)!
Alle User bei denen im Personendokument die Option Lockout ID aktiviert ist, haben keinen Zugriff auf diese konfigurierten Server. Der Server verweigert jede Authentifizierung mit diesen Usern. Wird die Option Lockout ID deaktiviert ist alles wieder beim alten.
alles klar??
Diese Funktion kann ich nur empfehlen!!!!!!
mfg
andi
-
Wir richten in allen Templates die Gruppe Deny Access ein, das reicht aus.
-
hallo andi,
vielen dank fuer diese ausfuehrung. dann ist das also genau richtig fuer mich. die settings check ich gleich noch.
dass die gruppe "deny access group" in jeder datenbank als gruppe mit no access angelegt werden muss, das hab ich nicht gewusst. hoer ich heute zum ersten mal. reicht es denn nicht, wenn default auf no access steht? wahrscheinlich nicht, oder?
und, wie deaktiviere ich den lockout dann wieder? ich finde da nix.
gruss,
daniela
-
hi daniela,
indem du im Personendokument die Option Administration - Check password: Don't check Password oder Check Password einstellst. Dann sind die User wieder berechtigt sich mit dem Server zu authentifizieren. In dem du sie in die Access Deny Group mit aufnimmst sind sie ja noch im System!!! Dabei muss man aufpassen!!! Mit der Option Lockout ID schließt du sie allerdings wirklich aus dem System aus (Wenn du die nötige Konfiguration vorgenommen hast)
alles klar daniela??
noch Fragen?? Dann schieß los!!
mfg
andi
-
Nee default reicht nicht aus, die Gruppe muß in allen DB´s rein aber du kannst die Deny-Access spapeln, das heißt die Gruppe Deny Access group2 in die erste mit rein nehmen
-
@fis:
danke, ich werd gleich in jede datenbank die denyaccessgruppe und no access mit aufnehmen. und auch in die schablonen als default. vielen dank dafuer. ich wusste das nicht !
@andi:
auch dir vielen dank, ich hab das jetzt verstanden. meine settings sind schon so, wie du es beschrieben hattest. es muesste also funzen.
ich werde die lockout IT funktion nutzen, das geht am schnellsten und macht am wenigsten arbeit erstmal und auch dann, wenn der user doch wiederkommt.
ich mach das immer so:
wenn der user 4 wochen weg ist, dann loesch ich alles (personendokument und mail DB), dann trag ich ihn auch in die deny access group ein. das reicht dann aber auch so.
vielen dank euch allen fuer eure hilfe "hamma wieder was glernt!"
gruss,
daniela
-
Schreibst du dir das immer auf wer gegangen ist und wer nicht? Ich könnte das nicht überblicken.
Gruß Rodan
-
hey rodan,
tja, dafuer hab ich die ToDo's im lotus notes. den mach ich mir immer fuer 4 wochen nach austritt. sonst wuesst ich das auch nimmer.
ausserdem muss ich fuer jeden user sofort nach austritt einen agent schreiben, der eine mail an den absender schickt, wo er seine mails in zukunft hinschicken soll. also hab ich auf dem workspace in einem tab sowieso die user alle als bookmark drauf.
und ausserdem hab ich insgesamt nur 200 user, da geht das noch. obwohl die fluktution hier so gross ist wie bei einem grossen.
gruss,
dani
-
Nee default reicht nicht aus, die Gruppe muß in allen DB´s rein aber du kannst die Deny-Access spapeln, das heißt die Gruppe Deny Access group2 in die erste mit rein nehmen
default no access / user type: unspecified?
-
jepp
-
jawohl der default user ist immer unspecified. Es könnte ja beispielsweise auch irgend ein Server oder ähnliches auf die DB zugreifen.
-
Ich habe es gerade nochmal getestet.
Ist ein user in der DenyAccess Group eingetragen, kann er nicht mehr auf den Server zugreifen. Er kommt also nicht an die Datenbanken heran, obwohl die Datenbanken selber diese Gruppe nicht in der ACL haben.
LockID funktioniert auch klasse und ich werde es für meine Leiharbeiter einsetzen, von denen ich weiss, dass sie in ein paar Monaten wiederkommen.
Schaeidet ein User aber permanent aus, nützt mir LockID aber nix, da er
a) adressierbar ist und
b) als Leiche im NAB bis zum St. Nimmerleinstag herumgammeln würde.
-
Nee default reicht nicht aus, die Gruppe muß in allen DB´s rein aber du kannst die Deny-Access spapeln, das heißt die Gruppe Deny Access group2 in die erste mit rein nehmen
hi fis,
mir ist gestern abend noch was eingefallen:
ich brauche doch die deny access group gar nicht in die acl der db's eintragen, weil ja in meinem serverdokument drinsteht, dass diese gruppe keinen zugriff auf meinen server hat.
sobald also ein user in dieser gruppe drinsteht, hat er doch sowieso keinen zugriff schon mal auf den server, und auf alle db's ja dadurch auch nicht mehr.
damit kann ich mir doch das einpflegen der gruppe in die acl's sparen, oder? ich hab das auch noch nie irgendwo gelesen, dass man das tun muss.
gruss,
daniela
-
Ja aber unter Server-> Deny Access hast du doch die Gruppen aber eine Gruppe hält nicht ewig. Dann kannst du die halt stapeln und diese Gruppe erwischt du auch nicht wenn du über den Adminclient die Personen löschen willst und ihn dann automatisch in die Deny Access group eintragen willst.
Gruß Rodan
-
aha.
nun gut, im moment versteh ich vom stapeln noch nix, da sind bei mir noch nicht sooooo viele user drin.
wenn's mal soweit ist, dass ich mir eine zweit deny gruppe anlegen muss, dann informiere ich mich nochmal, ist ja irgendwo hier schon mal beschrieben worden.
und inzwischen mach ich mir jetzt erstmal nicht die arbeit, in 250 db's die gruppe nachzupflegen. brauch ich ja im moment noch nicht.
aber vielen lieben dank fuer deine infos. war sehr lehrreich.
gruss,
luna
-
Das stapeln meine ichdas du die 2 Deny Access einfach wie ein User in die erste schreibst
-
Anmerkung:
Wenn ich mich nicht Irre, dann ist die performance unter Verwendung der Option Option "Check Passwords on Notes IDs" bei der Anmeldung schlechter.
Da nun die Schlüssel ausgetauscht werden müssen, herrscht dann mehr Datenverkehr = die Anmeldung dauert länger.
Gruss
Dirk