ACL Administrativ ändern

[HRaq]

Hi Daniel,

wo ist denn die Schwierigkeit beim Öffnen mit der nlnotes.exe??
Kommst du an den Server nicht ran?
Dann brauchst du keinerlei Tools und änderst die ACL, fertig.

Gruß Henning

[Daniel]

Hi HRaq!

Also das mit der NLNOTES.exe war mein Fehler. Ich bin mit einem Terminaldiensteclient rauf, dann gehts nicht. Hab mich nun über Remote direkt auf den Server geschalten, dann kann ich die EXE öffnen.

Jedoch kommt komischerweise, wenn ich die Mail DB des Users öffnen will, dass ich keinen Zugriff habe!?!

Weiters, wenn die DB Lokal wie vorher beschrieben geöffnet werden, hab ich auch keinen Zugiff!?!

Für mich klingt das ganze nicht gut!

Daniel

[HRaq]

Hi Daniel,

dann ist vermutlich dein Server in der ACL explizit als "Server" und nicht als "unbestimmt" eingetragen.
Eigentlich bleibt jetzt nur eines:

Neue Datenbank anlegen (gleicxhe Gestaltung), Docs rüberkopieren, ACL anpassen - fertig...
Oder versuchen, eine (lokale) Replik oder Kope auf deinem PC anzulegen und die ACL dann zu verändern. Da sehe ich allerdings keine große Chancen.....

Gruß Henning

[Daniel]

Oje, liegt es auch daran, dass die ganzen Tools bei mir nicht greifen?

Danke, für deine Info!

[HRaq]

Hi Daniel,

kannst du mir evtl. mal erklären, warum du das ändern mußt? Warum kann der User nicht selbst zugreifen? Das würde das ganz wesentlich vereinfachen...

Gruß Henning

[Daniel]

Der ist im Urlaub und jem sollte seinen Agenten aktivieren.
Ich dachte, wenn unter Vorgaben Mail die Maximale berechtigung (löschen usw.) erteilt wurde, dann funzt das, aber dem war nicht so.

Deshalb

[HRaq]

Hast du keine Sicherungskopie der ID-Datei?

[Daniel]

Doch, das hab ich alles.
Aber es wäre wesentlich einfacher sich so Zugriff zu schaffen.

Aber es wird wohl nichts anderes übrig bleiben.

Aber dennoch, kann man das irgendwie umstellen, dass man auch mit dem nlnotes.exe auf m Server da rein kommt?

Der Server muss ja sowieso reinschreiben können... Frag ich mich, wieso er dann nicht öffnen kann? Ist das nur wegen der Bestimmung in der ACL?

Daniel

[Driri]

Das Problem ist, daß der Server in der ACL als Typ "Server" eingetragen ist. Unter R4.x war das nicht wirklich nen Problem, unter Notes R5 merkt der Server aber, daß du dann versuchst die DB über nen Client zu öffnen und blockt das ab.

Das würde also nur funktionieren, wenn der Server in der ACL als "Unbestimmt" eingetragen ist.

Ansonsten kannst du dir aber nen Agent schreiben, der dir auf die Datenbank Rechte verschafft. Wenn du den Agent mit der Server-ID signierst und periodisch startest, kannst du z.B. die Admin-Gruppe in die ACL setzen lassen.

Anbei nen kleines Script, das das erledigen kann :

Dim session As New notessession
Dim db As NotesDatabase
Set db = session.GetDatabase("NOTESSRV","mail\\user.nsf")    
   
If db.IsOpen Then
Call db.GrantAccess( "ADMIN",ACLLEVEL_MANAGER )        
Else
Call db.Open( "", "" )
Call db.GrantAccess( "ADMIN",ACLLEVEL_MANAGER )        
End If

[HRaq]

Hi Daniel,

wenn du die Kopie hast, erspar dir den ganzen Ärger:

Schnapp dir die ID, steig mit Standardpasswort ein (vorausgesetzt, Ihr habt sowas), geh auf die Datenbank, aktivier deinen Agenten, änder bei der Gelegenheit die ACL - und gut is.
Wozu der Aufstand dann mit Tools, Scriptlösungen und der ganze Heckmaeck?

Gruß Henning

[Driri]

Um ehrlich zu sein, wenn bei mir ne Anfrage käme, daß ich den Out-of-Office-Agent von nem User aktivieren soll, weil der im Urlaub weilt und das vergessen hat, würd ich das ablehnen mit dem Hinweis, daß ich keinen Zugriff auf die Mail-Datenbank hätte.

Das erspart einem jede Menge Ärger.  

[Daniel]

@Hraq

Stimmt eigentlich... Aber man fängt meistens ganz hinten an.

Standartpasswort haben wir natürlich. Damit kann man dann eh alles Managen.

@Diri
Man muss diferenzieren, für welchen User (übrigens bin ich ein verfechter von zu viel Hirarchie).
Wenns in den Bereich Verkaufsleitung kommt, dann ists doch wichtig, dass Kunden eine Antwort bekommen.

Allgemein:
Ich war fest der Meinung, dass wenn ein User das max vom Delegationsrecht  besitzt, dass er dann den Abwesenheitsagent aktivieren kann?!

[HRaq]

Hi Daniel,

wäre zwar schön, aber auch nicht ganz ungefährlich. Nein, diese Rechte bekommt man nur über die entsprechenden ACL Einträge.
Meine Empfehlung, dir einfach die ID zu schnappen, ist zwar rechtlich nicht ganz unbedenklich, da du dann ja mit dieser Identität auch mailen könntest, aber die gleichen Rechte hast du direkt am Server auch. Da ist dann nur der Unterschied, dass du Mail ggf. mit der Identität des Servers sendest.

Gruß Henning

[Daniel]

Hallo HRaq!

Der rechtliche Aspekt, den du angesprochen hast ist sehr interessant. Ich hab damit nicht viel Erfahrung (bin ja noch so jung  ) aber was könnte im schlimmsten Falle geschehen.

Ohne Grund wird sowieso niemals irgendwo reingeschaut, aber wie kann man sich da Absichern?

Daniel

[HRaq]

Hi Daniel,

die genauen Konsequenzen kann ich dir jetzt auch nicht sagen. Ich mache das immer so, das ich solche Aktionen nie allein mache, sondern mir einen Kollegen mit dabeihole, der überwacht, was ich tue. Besser ist natürlich immer ein Vorgesetzter, der damit auch sein ok gibt.
Dann stehst du im Bedarfsfall nicht allein im Regen....

Gruß Henning

[Daniel]

Ich glaub ich lass mir das mal von der Geshäftleitung beeidigen, dass wenn jem. das will, schriftlich Anfragen muss und dann gehts.

Wäre vielleicht gut.

Ist schon heikel. Allerdings gibt es im Unternehmen als solches keine Privatsphäre.
Und als Admin darf man ja so manches.

Mal schauen, vielleicht weiß jemand mehr

[Driri]

Also wenn ich mich nicht ganz täusche, dann unterliegt auch Mail dem Briefgeheimnis.
Von daher ist der "Einbruch" in eine fremde Mail-DB nicht ganz ohne.

Wenn wir hier bei uns so was machen, dann nur mit direkter Anweisung durch Personalchef (steht bei uns kurz unterm Vorstand).

[HRaq]

@all

Soweit ich weiß, fällt es nur dann unters Postgeheimnis, wenn private Mail ausdrücklich erlaubt ist. Sonst wird unterstellt, daß alles, was an Mail anfällt, für die Firma bestimmt ist - und innerhalb der Firma gibt es kein Briefgeheimnis.

Schriftliche Erlaubnis einholen ist in jedem Fall nicht verkehrt.
Grundsätzlich:
Mit einer "gekleuten" (archivierten) ID einzusteigen ist sicherlich nicht schlimmer als über den Server oder gar irgendwelche Tools die ACL zu "hacken"....

Gruß Henning

[eknori]

@Daniel:

naladin.exe kann konsistente ACL bearbeiten. Ich hatte das vor meinem Urlaub noch eingebaut.