Autor Thema: Database ACL - Person in mehrere Gruppen - welches Recht greift im Web ?  (Gelesen 3268 mal)

Offline MaMaRo17

  • Frischling
  • *
  • Beiträge: 7
Hallo zusammen,

ich ging seit langem davon aus, dass bei einer Datenbank ACL das niedrigste Recht im Web zuletzt greift - jedoch ist dieses anscheinend nicht mehr so  ???

  • Person A ist in der Gruppe "Admins"
  • Person B ist in der Gruppe "Admins" und in der Gruppe "NoAccess"

Datenbank Scenario A:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Gruppe "NoAccess"
Person A und Person B können eine XPage öffnen...
Dieses Scenario verstehe ich nicht, weil Person B doch in der Gruppe "NoAccess" ist, welche keinen Zugriff hat  ???

Datenbank Scenario B:
Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff


Hat jemand ähnliche Erfahrungen gemacht oder habe ich einen Denkfehler ?
Bei uns sind alle Personen in Gruppen und keiner wird explizit als Person erwähnt.

Vielen Dank für eure Feedback

Offline Klafu

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.944
  • Geschlecht: Männlich
  • Remember the Cookies!
Hilft dir das?
https://www.ibm.com/support/knowledgecenter/en/SSKTWP_8.5.3/com.ibm.notes85.client.doc/sec_acl_maxnandpass_c.html
Zitat
Users who access a Notes database over the Internet, either anonymously or by using name-and-password authentication, never have an access level higher than what is specified as the "Maximum Internet name & password" level. The "Maximum" setting overrides the ACL only if its access setting is less than the access defined in the ACL.
„Der einzige Mensch, der sich vernünftig benimmt, ist mein Schneider. Er nimmt jedesmal neu Maß, wenn er mich trifft, während alle anderen immer die alten Maßstäbe anlegen in der Meinung, sie paßten auch heute noch...“

Offline MaMaRo17

  • Frischling
  • *
  • Beiträge: 7
nicht direkt, denn ich will über eine Gruppe "NoAccess" allen User den Zugriff entziehen, egal in welcher Gruppe Sie sind.

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
So funktioniert das aber in ACLs nicht, weder im Web noch im Client: ACLs sind immer additiv: Du hast immer die HÖCHSTEN bzw. kummulierten Rechte. Hat z.B. eine Gruppe "Leser" mit Rolle "[RolleA]" und eine andere Gruppe "Autor" mit Rolle "[RolleB]" ohne löschrechte und eine dritte Autor mit Löschrechten und Rolle "[RolleC]", dann hat ein Benutzer, der in allen drei Gruppen ist die Rechte:

Autor mit Löschrechten, Rollen [RolleA], [RolleB], [RolleC].

Das ist so, so lange ich denken kann (geht zurück bis Notes 4.5, vorher hatte ich nichts damit zu tun).
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline MaMaRo17

  • Frischling
  • *
  • Beiträge: 7
Die additiven ACLs wiedersprechen aber meinem Datenbank Scenario B  :-X
Zitat
Editorrechte > Gruppe "Admins"
keinen Zugriff > Person "Person B"
Person A kann die XPage öffnen und Person B hat keinen Zugriff

Oder meinst du, dass Gruppenrechte immer additiv sind und Benutzerrechte immer die höchste Wirkung haben ?

Sonst verstehe ich mein Scenario nicht  :-:

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Ja, ich meine Gruppenrechte. Personenrechte "übersteuern" Gruppen immer.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline MaMaRo17

  • Frischling
  • *
  • Beiträge: 7
Danke vielmals  ;) Jetzt muss ich intern umdenken  8)

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Genau, Gruppenrechten addieren sich gegenseitig, damit bekommt jemand die höchste rechten die jeder gruppe ihm zu bieten hat zusammen addiert.

Personen in der ACL überstimmen den Gruppen, und damit zählt dann NUR explizit was im Personen eintrag steht. Dafür muss es auch ACL Typ person sein.

Web zugriff wird zuerst über den ACL geregelt, und danach (eventuell) eingeschränkt über den Maximale webzugriff.
Wer also NICHT in der ACL steht, kann auch nicht zugreifen, egal was in der Maximale zugriff steht.


Was mein "favoriet" zum ACL spielen hier immer war. Der Chef wollte in der Admin Gruppe rein, also rein mit ihm.
Im Names (und noch 4 weitere "wichtige" datenbanken) hat der dann zusätzlich im ACL einen Personen eintrag bekommen, der ihm genau den Rechte gibt die anderen ebenso haben. Überall wäre es dann Admin, ausser in diesen 4 Datenbanken.

Ach ja, SuperAdmin war einen getrennte gruppe, wo er nicht drin war, sonnst hätte er über den weg wieder selber sich ändern können bzw es aushebeln können.
« Letzte Änderung: 15.09.17 - 16:09:15 von ronka »
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz