DA Zugriff einschränken

[smokyly]

Wir habene eine DA eingerichtet mit zusätzlichen Abteilungsadressbüchern.
Nun hat dummerweise jemand an einen externen Support eine Fehlermeldung gesendet, statt an unsere interne IT.

Kann man es irgendwie einstellen, dass die Adressinformationen aus der DA nur selektiv zur Verfügung stehen?
Also Benutzer A kann die Infos aus Abteilung A1 sehen / adressieren, aber nicht aus Abteilung B1.

Danke schon mal.

Gruß

[0xse]

Ja, separate Dominos & DAs =) Ansonsten leider nicht das ich wüßte.

[Mandalor]

@ smokyly: Wi baut man mehrere DA's? Es gibt doch nur ein Feld im Server und da kann mann ja nicht nach Gruppen unterscheiden!?

@Oxse: Ich wollte schon immer mal problieren, ob Lesefelder im den DA-Dokumenten den gewünschten Effekt bringen, bin aber noch ni dazu gekommen. Aber bitte nicht im Livesystem ausprobieren!

[stoeps]

Namensauflösung ist immer Sache des Routers, sprich der Server (für DA). Wie willst du da einschränken?

Einfach zum Ausprobieren:

DA -> 1 Adressbuch -> ACL: No Access

Klick in neuer Mail auf Adresse -> Auswahl des Adressbuchs -> No Access

Eintippen eines Namens aus dem Adressbuch -> F9 -> wird aufgelöst.

[smokyly]

Namensauflösung ist immer Sache des Routers, sprich der Server (für DA). Wie willst du da einschränken?

Einfach zum Ausprobieren:

DA -> 1 Adressbuch -> ACL: No Access

Klick in neuer Mail auf Adresse -> Auswahl des Adressbuchs -> No Access

Eintippen eines Namens aus dem Adressbuch -> F9 -> wird aufgelöst.

Ja, soweit war mir das auch bekannt und hab es auch so für meine ungläubige Cheffin vorgeführt.

Danke für die Bestätigung. Damit muss das Problem dann vor dem Bildschirm gelöst werden.

Gruß

[ra.t]

Hallo Smokyly,
probier doch einmal folgendes aus:
1. Erstelle eine Testgruppe (abc) und füge dort 2 Kontakte ein.
2. In den Zugriffseigenschaften dieses Dokuments stellst du nun ein, das nur die Server und bestimmte Personen das Dokument lesen düfen.
3. Versuch zu der Gruppe von einem unberechtigten Notesaccount (Punkt 2) eine Mail zu senden.
In unserer Umgebung wird die Gruppe von diesem Account nicht gefunden und es erfolgt eine Fehlermeldung.
Egal ob Schnelladressierung oder nach dem eintippen direkt auf senden klicken.
4. Jetzt verwendest du einen Account, der zu der in Punkt 2 eingetragenen Personen gehört.
Die Person sieht die Gruppe in der Schnelladressierung und im Adressbuch, senden funktioniert auch.

Funktioniert auch mit einem Testkontakt, muß nicht unbedingt eine Gruppe sein.

Jetzt machen wir es noch ein bischen interessanter und erstellen den gleichen Kontakt oder Gruppe(2) in einem zweiten Serveradressbuch.
Den Zugrif belassen wir mal auf "alle können das Dokument lesen".
Es kommt zu keiner Falschadressierung für die unberechtigten Leser von der Gruppe(1). Die Mail wird an Gruppe(2) gesendet.
Sendet ein berechtigter Leser zu der Gruppe(1) eine Mail, erscheint ein Auswahlfenster welche Gruppe nun verwendet werden soll, sofern in der Arbeitsumgebung der Punkt "alle Adressbücher durchsuchen" aktiviert ist.

Wir verwenden die Version: Lotus Notes Version 8.52

Falls es bei dir auch funktioniert, mußt du also nur in den jeweiligen Adressbüchern die Berechtigungen in den Kontakten per Agent oder Script entsprechend ändern und immer aktualisieren.

PS: Nach jeder Änderung der Eigenschaften des Testkontakts solltest du ein paar Minuten warten, damit der Router die Aktualisierung drin hat.
mfg
Ralf

[smokyly]

Hallo,

mit einer internen Gruppe habe ich sowas in der Art auch produktiv laufen. Ist statisch und nur eine einmalige Rechtevergabe.

Aber:

Falls es bei dir auch funktioniert, mußt du also nur in den jeweiligen Adressbüchern die Berechtigungen in den Kontakten per Agent oder Script entsprechend ändern und immer aktualisieren.

Das bedeutet ja, dass man dann ständig die ACL der jeweiligen Adressbücher auslesen müsste und dann anhand dieser Liste die Rechte auf Dokumentenebene setzen muss. Ich wage zu bezweifeln, dass ich diesen Agenten hin bekomme... Also rein administrativ ist da nix zu machen.

Mir war aber noch so, dass es Konstellationen gibt, wo diese Dokumenteneinschränkung nicht nutzbar ist - für einen anderen Fall hätte ich das nutzen wollen, ging aber nicht. Ach ja, jetzt fällt es mir wieder ein. Benutzer sollten zwar nicht an eine Gruppe direkt senden können, aber eine Regel in der Mail-DB hätte schon sollen... Das nur so nebenbei für mich als Erinnerung.

Danke Dir.
Gruß

[Mandalor]

@ra.t: Ich bin zwar nicht der Fragenstellung, aber Danke für diesen Ansatz und die pratischen Erfahrungen damit. Werd mal damit rumspielen, würde auch bei uns einige Anforderungen abdecken.

[ra.t]

smokyly,
I give up.

[Driri]

Das bedeutet ja, dass man dann ständig die ACL der jeweiligen Adressbücher auslesen müsste und dann anhand dieser Liste die Rechte auf Dokumentenebene setzen muss. Ich wage zu bezweifeln, dass ich diesen Agenten hin bekomme...

Wie wäre es denn mit einer Rolle ?

[smokyly]

Wie wäre es denn mit einer Rolle ?

Ich kann erahnen, was Du meinen könntest, komm aber nicht ganz auf den Lösungsansatz. Magst Du das weiter ausführen?

[Driri]

Wenn das mit dem beschriebenen Zugriffsschutz auf die Dokumente funktioniert, kannst Du einfach eine Rolle in die Leserfelder schreiben. Diese Rolle weist Du dann den Benutzern in der ACL zu, die Zugriff auf die Dokumente haben sollen.

[smokyly]

Also füge ich in die Maske "Kontakt" (die Adressbücher basieren auf der pernames.ntf) ein Leserfeld ein, weise da den Wert [du_darfst] zu und dann setze ich in der ACL entsprechend diese Rolle?!
Bei bestehenden Kontakten muss ich das Item noch nachversorgen / neu erzeugen?!

Sorry, mit Programmierung hab ich es in dem Bereich nicht so.

[Driri]

Im Prinzip schon. Du kannst auch das bestehende Item nutzen. Wenn man in den Dokumenteigenschaften den Lesezugriff einschränkt, wird das Item $Readers gefüllt (sollte zumindest funktionieren, ich habs nicht getestet).

Aber vorsicht : Das solltest Du gut an einer Demodatenbank testen, denn so kann man sich ganz einfach auch selber den Zugriff wegnehmen.

Und ein entsprechender Agent muß dann schon in Script programmiert werden, damit man auch den Itemtyp entsprechend setzen kann.

[smokyly]

Ist zwar ziemlicher Aufwand, aber ich versuch mal mein Glück.

Danke Dir!

[0xse]

Mit den Rechten der "Full-Access Administratoren" siehst du auch per Leserfelder versteckte Dokumente. Wenn du die Maske im Designer um das Leserfeld erweiterst, musst du nur einen Designrefresh über alle Dokumente machen, damit das Feld in die Dokumente kommt. (Achtung: Ggf. passieren dann noch weitere Dinge, je nach vorhandener Programmierung in der Maske)

Designrefresh geht z.B. über eine Ansicht-Aktion mit @Command([ToolsRefreshSelected]); (Ich meine so hieß das )

[Felix Ziegler]

Hallo zusammen,

sorry, dass ich einen etwas älteren Thread wieder ans Tageslicht hole. Aber das Thema "Directory Assistance und Zugriff einschränken" schwapt bei mir immer wieder hoch. Und da ich bisher noch keine Löung gefunden habe, möcht ich euch meine Testergebnisse mitteilen und auf den ein oder anderen Hinweis hoffen.

Wie Ralf schon beschrieben hat, habe ich versucht das Problem mit Leserfeldern zu erschlagen.
Als Testumgebung half mir ein 8.5.2FP2 Server + Client auf Windows/Linux. Ein Standard persönliches Adressbuch wurde in den Direcotry Assistance eingebunen. Die ACL wurde um zwei Rollen ("[1]" und "[2]") erweitert. Ein weiteres Leserfeld wurde in die Maske der Kontakte eingebaut, welches ich zu Testzwecken manuell übers Frontend befülle.

Das Ergebnis hat sich sehen lassen können. User die nur die Rolle 1 hatten, konnten auch nur die entsprechenden Dokumente sehen. Genauso bei der Rolle 2. Alle anderen Dokumente wurden nicht angezeigt wenn man über die "An:" Schaltfläche das entsprechende Adressbuch auswählte.

Was allerdings leider nicht mehr funktionierte ist die Schnelladressierung. Egal nach welchen Kontakten durch welche User gesucht wurden. Es gab nie einen Treffer aus dem betroffenen Adressbuch. Irgendwann habe ich die Leserfelder einiger Dokumente wieder geleert. Und siehe da, genau diese Dokumente konnten anschließend wieder gefunden werden.

Soweit ich weiß, wird die Schnelladressierung ja durch den Router (Server) übernommen. Somit ist das Recht des User in der ACL hierbei ziemlich egal. Leider hilft es aber auch nicht, dem Server die entsprechenden Rollen zu geben (-Default- und Anonymous mit Rollen übrigens ebenfalls nicht). Von der Schnelladressierung werden nur Dokumente gefunden, die keinerlei Einschränkung durch Leserfelder besitzen.

Ich finde die Möglichkeit der Leserfelder eine echt gute Idee. Viele Probleme wären auf einen Schlag weg. Wenn da nicht die Schnelladressierung wär...

Viele Grüße
Felix

[ra.t]

Hallo Felix,
schade das du wohl meine Ausführungen zwar gelesen, aber dann nicht so ausgeführt hast..
Mach es doch bitte einmal so, wie ich es beschrieben habe, dann wird es auch funktionieren.
Also ohne Rollen, die kannst du nicht überall einsetzen.

mfg
Ra.T.

[smokyly]

Wenn der Benutzer aber "trotzdem senden" wählt, wird die Mail korrekt zugestellt. Der Router hat ja Zugriff auf die DA.

Die einzige sinnige Lösung, die wir angedacht haben:
- Abteilungsadressbücher aus der DA lösen.
- Kompakte Verzeichniskataloge verteilen.

Gruß

[Tode]

das ist falsch... Der Benutzer bekommt -wenn man das mit den Leserfeldern richtig gemacht hat- eine Zustellfehlermeldung, dass er nicht berechtigt ist, an diese Adresse zu senden...