ACL wird nach Archivierung auf Manager gesetzt

[two7]

Hallo zusammen,

folgendes Szenario.

User 1 besitzt eine Mail- und ArchivDB auf dem Server und je eine Replik dieser DB's auf seinem Notebook. Die Einstellungen der MailDB besagen, dass alle Mails älter als 365 automatisch archiviert werden sollen. Parallel, kann auch dieser Prozess manuell angestoßen werden. Die ArchivDB wird dann mit dem Server repliziert.

Die Rechtevergabe sieht folgendermaßen aus.
- MailDB => Manager => konsistente ACL
- ArchivDB => Einlieferer => konsistente ACL

Nun zu dem Fehler:
Sobald eine Archivierung durchgeführt und beendet ist, ändert sich die ACL, so dass der User statt "Einlieferer" wieder zum "Manager" wird. Das Recht repliziert sich dann auf den Server. Sollte hier die DB auf dem Server nicht der "Master" sein?

Mir ist nicht ganz klar, warum sich der Zugriff hier von alleine ändert. Da das Archiv nicht änderbar sein sollte, müssen wir die Rechte des Users hier reduzieren. Durch das o.g. Problem ist dies uns aber nicht gegeben.

Eingesetzt wird Lotus Notes 5.11.
Falls noch Informationen benötigt werden, bitte kurz Bescheid geben.

thx. two.

[two7]

Keiner hierfür einen Lösungsansatz oder irgendwelche Tipps 

[hallo.dirk]

Hi,

probier doch mal im lokalen Archiv die ACL konsistent zu setzen....

Aber pass auf, das die ACL es noch zulässt, das da jemand rankommt, also testen

P.S.: Frage, was willst Du damit erreichen?
Das der User seine eigenen Daten nicht mehr sehen kann

[koehlerbv]

.... so dass der User statt "Einlieferer" wieder zum "Manager" wird. Das Recht repliziert sich dann auf den Server.

Von lokal auf den Server? Das kann schon mal nicht sein, da der User ja gar keine Rechte lt. ACL hierfür hat. Da muss etwas anderes ablaufen.

Bernhard

[Andrew Harder]

Ist dies nur bei einem Benutzer der Fall oder bei allen?

Sehe ich das richtig:
Ihr wollt den Benutzern das Leserecht auf Ihr Archiv entziehen? Habt Ihr Euch da von einem Anwalt vorher beraten lassen?

Habt Ihr da eine Betriebsvereinbarung drüber oder haben das die Mitarbeiter in Ihrem Arbeitsvertrag drinnestehen?

[two7]

Hallo zusammen,

war ne Woche nicht internetfähig :-(

P.S.: Frage, was willst Du damit erreichen?
Das der User seine eigenen Daten nicht mehr sehen kann

Nein, es geht nicht darum, dass der User seine Daten nicht mehr erreichen soll, sondern, dass die Mails einfach nur archiviert werden sollen. Allerdings müssen wir sicherstellen, dass die archivierten Mails nicht mehr gelöscht oder verändert werden dürfen, daher auch die Leserechte.

Von lokal auf den Server? Das kann schon mal nicht sein, da der User ja gar keine Rechte lt. ACL hierfür hat. Da muss etwas anderes ablaufen.

Repliziert wird beidseitig. Aber du hast recht. Da der User keine Rechte hat, Datenbanken auf dem Server anzulegen, wird diese erst einmal lokal mittels einem Script das Archiv lokal erstellt (mit dem Script werden gleichzeitig weitere Repliken von Datenbanken gezogen - ist vom Konzern vorgegeben).
Da wir aber nicht jedes Archiv von jedem Notebook sichern können, kopieren wir auf Datenebene diese auf den Domino und legen dann die Replizierung fest (fraglich, ob das der richtige Weg ist)

Anschließend, setzten wir die konsitente ACL auf dem NB. Nach der ersten Replizierung sind die gleichen Einstellungen auf dem Server vorzufinden. Erst wenn dann der User archiviert (manuell), ändert sich der Zugriff.

Sollte eventuell der Zugriff und die kon. ACL auf dem Server eingerichtet werden? Ist der Ort der Einrichtung davon abhängig, welche DB die Führende in dem Fall ist? Ich dachte, dass die Repliken absolut identisch sind und das die konsistente Haltung vom Server bestimmt wird.

two7

[koehlerbv]

Euer Vorgehen ist schon schräg und ziemlich am Notes-Konzept vorbei.

Wenn der User Depositor ist, kann er wohl archivieren - sieht aber im Mail dann nix mehr (bei kACL).

Wenn in der ACL beider Repliken der User Depositor ist, kann er nicht auf dem Server die ACL bei der Replizierung verändern. Das geht einfach nicht. Dabei spielt nicht einmal "kACL oder Nicht-kACL" eine Rolle.

Irgendwas macht Ihr da (am Domino vorbei) mächtig falsch. Könnte ein User mit seinen Rechten kleiner Manager ACLs auf dem Server verbiegen, wäre Notes schon längst vom Markt gefegt. Ihr seid es, die Ihr da irgendwas aushebelt. Das geht (zumindest für mich) aus den bisherigen Informationen noch nicht hervor.

Und da Ihr da ein eigenes Verfahren habt und Konzernvorgaben, wäre es vielleicht geschickter, einen wirklich fähigen Dienstleister hinzuzuziehen - ein Forum hat es da eher schwerer (und vor allem: Warum sollte ein Forum für lau etwas gerade ziehen, was andere gegen Kasse verbockt haben?  )

Bernhard

[two7]

Wenn der User Depositor ist, kann er wohl archivieren - sieht aber im Mail dann nix mehr (bei kACL).

Da muss ich dir leider widersprechen. Der User sieht definitiv seine Mails noch.

Irgendwas macht Ihr da (am Domino vorbei) mächtig falsch. Könnte ein User mit seinen Rechten kleiner Manager ACLs auf dem Server verbiegen, wäre Notes schon längst vom Markt gefegt. Ihr seid es, die Ihr da irgendwas aushebelt. Das geht (zumindest für mich) aus den bisherigen Informationen noch nicht hervor.

Da liegt wohl ein Missverständnis vor. Außer den Admins, hat kein User das Recht auf dem Server irgendetwas zu machen.

Und da Ihr da ein eigenes Verfahren habt und Konzernvorgaben, wäre es vielleicht geschickter, einen wirklich fähigen Dienstleister hinzuzuziehen - ein Forum hat es da eher schwerer (und vor allem: Warum sollte ein Forum für lau etwas gerade ziehen, was andere gegen Kasse verbockt haben?  )

Eigenes Verfahren? So ist es vom Konzern gewollt und wird bei denen auch gelebt. Uns sind da die Hände gebunden. Auch im Bereich der Administration auf den Servern haben wir, bis auf User anlegen und konfigurieren keine Rechte. Traurig, aber war.

Dass das Verfahren nicht ganz die feine Art ist, ist mir auch klar, aber wie schon erwähnt, leben die Herren das so und auf Anfrage, hieß es lediglich, dass das gleiche Script auch bei denen genutzt wird und dort alles läuft. Wobei eben dieses Script nichts anderes macht, als die DB anzulegen und ein paar Einstellungen standardmäßig zu treffen. Ich denke mal, dass der Wurm irgendwo anderes begraben ist.

[DAU-in]

<Da muss ich dir leider widersprechen. Der User sieht definitiv seine Mails noch.>

sind die Mails denn alle mit PublicAccess deklariert?

Grüsse

Dau-in

[two7]

Also ich habe mir mal die Mails von verschiedenen DB's angeschaut und da ist nichts als PublicAccess deklariert.