Autor Thema: intranet.nsf - personen oder gruppen? (Gelesen 1566 mal)

luna · « **am:** 28.05.02 - 08:24:23 »

hallo,
ich brauche euren rat. hier die situation:

ich hab eine intranet.nsf, die dem user einen ueberblick ueber alle unsere datenbanken geben soll. ich hab das mit outlines gemacht, versteck mit user rollen. das haut auch hin.

ich hab circa. 26 datenbanken, 13 davon darf jeder sehen, 13 davon aber nur bestimmte user, leider alles sehr durcheinander und auch nicht abteilungsbezogen. und einer darf nur eine sehen, drum musst ich eine rolle fuer jede datenbank anlegen. ist auch einfacher, weil sich staendig was aendert. bis hierher geht alles, und ich moechte auch daran eigentlich nix aendern.

nun meine frage, wo ich euren rat brauche:

1.) entweder ich nehme jeden user einzeln in die ACL mit auf, und geben ihm dann die rolle der DB, die er sehen darf. allerdings muss ich jedem dieser user dann auch nochmal die rolle der "fuer alle" datenbanken geben, sonst sieht er die ja nicht mehr.
nachteil: viel arbeit beim ersten mal.

2.) ich lege im nab fuer jede DB, die nicht jeder sehen darf, eine eigene gruppe an (vielleicht mit YY davor), access only, und trage dort die user ein, die jeweils die DB sehen duerfen. dann duerfte ich aber auch durcheinander kommen, weil alle verschiedene user mehrmals in verschiedenen gruppen auftauchen duerften. und trotzdem brauchen alle diese gruppena auch wieder extra die rollen der DB's fuer alle. ich fuerchte, dass ich da durcheinander komme.

ich weiss auch nicht, wenn einer in einer gruppe ist und noch in einer anderen, sie notes sich dann verhaelt.

habt ihr einen tip, wie ich das am saubersten loesen koennte? wie gesagt, am jetzigen prinzip moechte ich eigentlich nix aendern.

vielen dank und gruss,
daniela

Ute · « **Antwort #1 am:** 28.05.02 - 08:59:26 »

Hallo Daniela,

geht es nicht vielleicht so ?

alle dürfen die Intranet.nsf lesen
alle haben keinen Zugriff auf die anderen DB,
dann für jede DB eine Gruppe, mit den Leuten, die Zugriff haben.
Es gilt immer der höchste Zugriff.
Für alle hast Du sicherlich sowieso eine Gruppe im NAB.

Gruß
Ute

luna · « **Antwort #2 am:** 28.05.02 - 09:11:24 »

hallo ute,

ich habe keine gruppen dafuer im nab (noch nicht), weil mein nab durch unsere komische organisation eh schon so viele gruppen.

aber ich hab auch schon darueber nachgedacht, es so zu machen. ich hab einen user, der darf nur eine einzige DB sehen. also koennte ich:

1.) eine rolle "alles", das darf sec_users sehen
2.) der eine user halt dann nur diese eine DB, damit sieht er die anderen ja nicht mehr
3.) und fuer alle "durcheinander" DB's lege ich glaube ich wirklich gruppen im nab an, und gebe diesen usern dann die jeweiligen rollen.
muss man halt hoellisch aufpassen, wenn der user in mehreren DB's rechte haben soll.

aber ich denke, ich werd das so machen. ist sicherlich weniger arbeit und uebersichtlicher, als wie wenn ich 194 user in die ACL aufnehme.

danke ute,
gruss,
daniela

Silke · « **Antwort #3 am:** 28.05.02 - 11:28:48 »

Hallo Daniela

ich habe mal das Intranet bei einer Berliner Bank umgebaut. Da habe ich auch Rollen genommen die ich dann an Gruppen geklebt habe. In diese Gruppen habe ich dann Gruppen gepackt wie sie im NAB schon existierten.

Das hält die Gruppenzahl im Rahmen und verhindert zu grosse redundanz.

silke

Ps: Immer daran denken persönliches Recht (in der ACL) geht über Gruppenrecht.

luna · « **Antwort #4 am:** 28.05.02 - 12:31:58 »

hallo ute, hallo silke,

vielen dank fuer eure beide tips.

ich hab jetzt ein paar gruppen im nab angelegt, und ein paar rollen geloescht. ich hab einen user, der nur eine db darf, eine gruppe (externe sap), die mehrere duerfen, interne verschiedene user, die auch mehrer duerfen und dann die, die alle duerfen.

ich denke mal, das war die sauberste und einfachste loesung und auch fuer die zukunft die beste. mal sehen, was der user jetzt so sieht.

wenn einer user in der gruppe A ist, und datenbank A sehen darf, und er ist aber auch in der gruppe B, die wiederum datenbank B sehen duerfen, dann sieht er aber schon A und B, wenn er in beiden gruppen ist, oder?

dann waere alles erledigt, werds mal bei ein paar usern austesten.

vielen dank fuer eure tips, habt mir sehr geholfen,
gruss,
daniela

Silke · « **Antwort #5 am:** 28.05.02 - 12:36:38 »

Zitat

wenn einer user in der gruppe A ist, und datenbank A sehen darf, und er ist aber auch in der gruppe B, die wiederum datenbank B sehen duerfen, dann sieht er aber schon A und B, wenn er in beiden gruppen ist, oder?

Jep
Aber wenn er in zwei gruppen für db A wäre gelte das höhere recht und wenn er in Gruppe A Author ist aber als Person für A nur Leser darf er in a nur lesen

Silke

luna · « **Antwort #6 am:** 28.05.02 - 12:40:54 »

das ist gut, weil in dieser speziellen db sind sowieso alle user nur mit leserechten ausgestattet. also scheint das jetzt wirklich DIE loesung zu sein.

vielen dank, gruss, dani