DA Zugriff einschränken

[smokyly]

das ist falsch...

Nein, nicht bei der Version von Ra.T.

[Felix Ziegler]

Stimmt Ralf. Ich habe deine Idee mit der Rollen-Idee von Ingo vermischt. Es schien für mich einfacher und ich dachte nicht, dass es hier einen Unterschied gibt. Leserfelder waren für mich bisher immer Leserfelder. Egal ob mit Rollen oder Namen befüllt. Aber ich werd deinen Ansatz morgen nochmal haarklein nachvollziehen. Versprochen ;-)

@Geri: Kompakte Verzeichniskatalog würde ich eigentlich am liebsten vermeiden. Die Daten würden dann ja nur periodisch zusammengebaut werden. Und ich weiß jetzt schon das der ein oder andere Benutzer da schreien wird.

@Torsten: Kommt da wirklich eine Fehlermeldung? Aber nur, wenn der Name vom Router wirklich aufgelöst werden muss, oder? Also von z.B. "Hans Meiser" in "Hans.Meiser@rtl.de".

[Tode]

@Felix: Ja, das kann sein... wenn es schon ne InternetAdresse- Adresse ist, dann interessiert das den router nicht mehr... Aber das geht ja dann eigentlich über die ursprüngliche Frage raus... Das geht ja dann in ne Richtung "Wie verhindere ich, dass ein Benutzer mails an bestimmte internet- adressen sendet, DIE ER KENNT...

[smokyly]

Zur Verdeutlichung. Abteilung Technik hat sich einen Kontakt angelegt. Nachname: support-it mit der zugehörigen Adresse support.it@domäne.
Es gibt im DD eine Mail-In, die da lautet it-support, das ist unser internes Ticketsystem.

Nun hat sich so ein schlauer Mensch gedacht, er schickt mal eine Anfrage an uns, weil was mit seinem Laptop nicht geht. Welche Adresse er nun aus dem Kopf heraus eingetippt hat, ist wohl klar.

Entziehe ich nun in dem Adressbuch der Technik dem Benutzer die Leseberechtigung, kann er die Adresse eintippen, also support-it, bekommt beim Senden die Meldung, dass sich dieser Name in keinem Verzeichnis befindet, kann aber trotzdem senden. Der Router stellt dann ohne Murren an support.it@domäne zu. Ja, er "kennt" diese Adresse.

[Tode]

Argh... sch... Ja, da kann die Technik wohl den renitenten Benutzer nicht ausreichend behindern... Da helfen nur Server- Regeln, aber die zu warten macht natürlich kein spass (wenn Absender != Name A und Absender != Name B und Absender != Name C und Empfänger = "MailIn" dann mail verwerfen...
Leider gehen in solchen Regeln keine Gruppen (natürlich kann man das Programmatisch erweitern, aber ob man das wirklich will...)... und das macht die Pflege zu nem grossen Mist.

In dem Fall würde wohl nur helfen, die Adressdatenbanken nicht per Server sondern per user zur Verfügung zu stellen (entweder über individuelle dircats oder über verteilte names=names.nsf;Server!!abteilung1.nsf - Einträge in der Client- notes.ini, kann über policy gemacht werden)

Auch nicht schön, ich weiss...

[ra.t]

Smokily,
nicht der Router, sondern immer der sendende Benutzer macht den lookup in den Adressbüchern.
Deshalb wird auch immer pro Anwender der Anichtsindex auf das Adressbuch beim senden aktualisiert . Und so kommt es häufig vor, das wenn mehrere gleichzeitig senden wollen, bei einigen der Client hängt da der Anwender warten muss, bis sein Index aktualisiert wird. Da bei der Indexerstellung die Ansicht für andere Zugriffe gesperrt wird. Ist ein altes Feature von Lotus Notes , welches ab Version 8 wieder eingeführt wurde, damit einem wieder Zeit bleibt neuen Kaffee aufzusetzen.
Mfg
Ra.T

[smokyly]

  Falsch. Der Router löst schlußendlich auf. Probier es aus. Stopp den Router. Sende eine angeblich nicht erreichbare Mail ("trotzdem senden"). Kuck in die Mail.box. Da steht dann die Mail noch nicht aufgelöst drin. Starte den Router und die Mail wird sich der Router an eine entsprechende Stelle raus suchen (falls bekann). Also mehr, als das so zu testen kann ich nicht und es funzt einfach nicht. Oder gibt es eine Konfig-Einstellung, die ich nicht kenne?


LG

[smokyly]

In dem Fall würde wohl nur helfen, die Adressdatenbanken nicht per Server sondern per user zur Verfügung zu stellen (entweder über individuelle dircats oder über verteilte names=names.nsf;Server!!abteilung1.nsf - Einträge in der Client- notes.ini, kann über policy gemacht werden)

Auch nicht schön, ich weiss...

Oder eben über Policiy und kompakten Katalog... Ebend. der User muss da das "Element" der Adressierung sein. Nicht schön, aber auf der anderen Seite würde es die Offlline-User wieder unterstützen. Aber kein =names. Das ist kacke

Ich hab aber im Moment die pragmatischste Version laufen:" Der Benutzer soll sein Hirn einschalten!"...

Gruß

[smokyly]

Da helfen nur Server- Regeln, aber die zu warten macht natürlich kein spass (wenn Absender != Name A und Absender != Name B und Absender != Name C und Empfänger = "MailIn" dann mail verwerfen....

Dann würde der Absender eine Meldung bekommen? Ich denke nicht....

P.S. Sorry für die Rechtscheibfehler - andere Tastatur (von Aldi)....

[ra.t]

  Falsch. Der Router löst schlußendlich auf. Probier es aus. Stopp den Router. Sende eine angeblich nicht erreichbare Mail ("trotzdem senden"). Kuck in die Mail.box. Da steht dann die Mail noch nicht aufgelöst drin. Starte den Router und die Mail wird sich der Router an eine entsprechende Stelle raus suchen (falls bekann). Also mehr, als das so zu testen kann ich nicht und es funzt einfach nicht. Oder gibt es eine Konfig-Einstellung, die ich nicht kenne?


LG

Hallo smokily,
wenn du den Server richtig konfiguriert hast und den Zugriff der Kontakte oder Gruppen auf Dokumentebene einschränkst, erhält der unberechtigte Sender folgenden Zustellungsfehlerbericht, egal ob der Router vorher oder nachher gestartet wird:
"Not authorized to send mail to this user or group (Benutzer existiert nicht !)." Und die Nachricht wird nicht zugestellt !
mfg
Ra.T

[smokyly]

Hallo smokily,
wenn du den Server richtig konfiguriert hast

Hallo,

ich will Dich echt nicht nerven, aber was meinst Du damit?
Folgendes habe ich gemacht:
- Testuser in der ACL auf das Adressbuch mit "kein Zugriff" eingestellt.
- Testadressendokument über "Eigenschaften" nur dem Server Leseberechtigung gegeben.

Testuser sendet Mail->geht raus.

Gruß

[Felix Ziegler]

Ich bin begeistert!!!

Ich habe das Thema "Zugriffskontrolle per Leserfelder" nun ausgiebig getestet. Rollen funktionieren leider nicht. Aber Personen die explizit als Leser oder sogar mittels GRUPPEN eingetragen worden sind, können die Kontakte entsprechend den Berechtigungen in der Schnelladressierung oder durch die manuelle Auswahl verwenden!!

Nun fehlt nur noch die Konfiguration am Server, mittels dessen die Meldung

"Not authorized to send mail to this user or group (Benutzer existiert nicht !)."

erscheint. Bei mir löste der Server nach der Funktion "Trotzdem Senden" die Adresse leider auf.

Aber immerhin... die Zugriffskontrolle funktioniert ... jippieee... so geht man gut gelaunt ins Wochenende!

[smokyly]

Nun fehlt nur noch die Konfiguration am Server, mittels dessen die Meldung

"Not authorized to send mail to this user or group (Benutzer existiert nicht !)."

erscheint. Bei mir löste der Server nach der Funktion "Trotzdem Senden" die Adresse leider auf.

Danke, Du bestätigst mich.
Und ich denke, da kann man was drehen, da ich diese Meldung schon mal produziert habe. Aber wo, bzw. wie?