Frage zu Servergruppen

[rumtifusel]

Wir sind gerade bei uns dabei dank einer Umstrukturierung unsere Gruppen aufzuräumen. Nun hat eine Gruppe das Recht Gruppen im NAB zu editieren. Das war bislang auch völlig OK. Nun soll diese Möglichkeit aber abgestellt werden, da dadurch die Gefahr besteht, dass die Mitglieder dieser Gruppe sich selbst in die Gruppe der FullAdmins aufnehmen.

Nun ist meine Frage, welche Servergruppe (von Notes vorgegenene Gruppe im KonfigDokument) dafür verantwortlich ist, dass man die Berechtigung erhält im NAB Gruppen zu erstellen/editieren?

[Tode]

Das hat nix mit Gruppen zu tun: Du gibst in der ACL AUTOR- Rechte ohne GroupEditor...

[rumtifusel]

oh mann... manchmal sieht man den wald nicht vor lauter bäumen... danke

[stoeps]

Wenn sie Author sind und Gruppen editieren sollen,  müssen sie im Ownerfeld der jeweiligen Gruppe gepflegt bzw eingetragen sein! Und die Rollen brauchen sie dann natürlich.

[Tode]

NEIN! Die Rolle GroupEditor ist schlicht und ergreifend ein Zusatz im Autorenfeld JEDER Gruppe. Jemandem diese Rolle zu geben ist quasi gleichbedeutend wie Ihn zum Administrator zu machen, weil er sich dann ganz einfach selbst in jede beliebige Gruppe eintragen kann (auch die LocalDomainAdmins oder gar die LocalDomainServers).

GroupEditor ist -securityseitig- die gefährlichste Rolle im ganzen Domino- Directory, mit keiner anderen Rolle kann man soviel schaden anrichten wie mit der....

[stoeps]

Uuups, gerade getetest. Sorry.

Tode du hast vollkommen RECHT!!!

Die Rolle ist ja totaler Schwachsinn und gefährlich.

[Tode]

So istes... Du glaubst gar nicht, wie viele System ich schon gesehen habe, wo den Admins (Meist der deutschen Aussenstellen ausländischer Firmen) wirklich jede Berechtigung genommen worden war (soll alles ja super sicher sein), aber die Rolle hatten... Ich habe die Einstellungen die nötig waren immer selbst machen können... Einfach schnell selbst in die LocalDomainAdmins eintragen, Änderungen machen, und wieder raus... Natürlich habe ich die Rechte nie missbraucht für Dinge, die sonst nicht erlaubt worden wären, aber es beschleunigt doch so manches... Und nur in den seltensten Fällen wurden wir "erwischt"... Und gar nie wurde danach die Lücke geschlossen...

[koehlerbv]

Mich erinnert Torstens Beitrag an den von Peter: http://atnotes.de/index.php/topic,55075.msg355287.html#msg355287

Wenn man einen Blick für sowas entwickelt oder mal selber vor der Situation steht, ein kollabierendes System retten zu müssen, wenn gerade kein offiziell Berechtigter da ist, dann schaut man beim nächsten Kunden genauer hin. Und da wird dann auf der einen Seite alles dicht gemacht was geht, auf der anderen Seite aber ein Scheunentor offen gelassen wird ...

@Torsten: Auf der Fahrt vom Pickup in St. Georgen ins Büro kann ich da zwei aktuelle Fälle berichten. Alle anderen müssen da leider aussen vor bleiben, und wir bleibe arbeiten daran, dass die Kunden da Lücken schliessen 

Bernhard

[rumtifusel]

na dann war meine frage ja doch nicht hohl, wie ich anfangs dachte ;-)

dann habe ich gleich dazu noch ein Add On. Bei uns gibt es eine Gruppe, die berechtigt ist neue user zu registrieren, da diese Aufgabe nicht von den Admins selbst erledigt wird/werden soll. Muss diese Gruppe überhaupt über die Rolle GroupEditor verfügen?

[eknori]

Nein, wenn die Gruppenzuordnung beim Registrieren über den AdminClient initialisiert wird, dann kümmert sich der AdminP um den Eintrag in die Gruppe(n)