Tool, mit welchem man die Notes-Berechtigungen eines einzelnen Users analysieren kann

1. offizieller Beitrag

    Hallo Leute,


    wie man in dem Titel schon sehen kann, suche ich ein Tool, mit welchem man die Notes-Berechtigungen eines einzelnen Users analysieren kann. Gibt es sowas?


    Optimal wäre es, wenn das Tool jede einzelne Datenbank mit den entsprechenden Berechtigungen des Users auflisten würde ...



    DANKE + Gruß

    Es ist besser, heimlich schlau zu sein - als unheimlich blöd! :D

    Nun, dafür gibt es doch den Admin-Client...
    In der Personen- und Gruppenverwaltung gibt es in der Toolbar auch noch den Punkt "Verwalten". Dort wählst du den User aus und dann "Nur Mitgliedshierarchien" und dann siehst du, in welcher Gruppe ein User ist, bzw. in welche Gruppen ein User über andere Gruppen verschachtelt ist. Sind eure Gruppen auch noch sinnig benannt, siehst du, auf welche DBs er welchen Zugriff hat...

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    oder halt in der DB direkt die ACL öffnen und dort dann "effektiven Zugriff berechnen". Dort werden dann alle Gruppen auch aufgelöst und dir wird angezeigt was der gesuchte Benutzer für Rechte hat.

    Zitat


    RockWilder schrieb:
    Nun, dafür gibt es doch den Admin-Client...
    In der Personen- und Gruppenverwaltung gibt es in der Toolbar auch noch den Punkt "Verwalten". Dort wählst du den User aus und dann "Nur Mitgliedshierarchien" und dann siehst du, in welcher Gruppe ein User ist, bzw. in welche Gruppen ein User über andere Gruppen verschachtelt ist. Sind eure Gruppen auch noch sinnig benannt, siehst du, auf welche DBs er welchen Zugriff hat...


    Das ist eine gute Hilfe, löst aber auch nicht das Gesamtproblem.
    Zwar sehe ich damit, in welchen Gruppen ein User steckt. Aber ich sehe nicht, in welchen Datenbanken diese Gruppen mit welchen Berechtigungen eingetragen sind. Oder in welchen Datenbanken der User direkt in der ACL steht. Dafür brauche ich dann wieder den Datenbankkatalog.


    Es geht also m.E. mit Bordmitteln nicht ohne das Zusammensuchen der Informationen an mehreren Stellen - korrigiert mich, wenn ich was falsches sage.


    Wir konnten aber unserer Revision diesen Sachverhalt zum Glück vermitteln - zumindest bis zur nächsten externen Prüfung :roll:


    Gruß


    Der Ozzy

    mhhhh,


    also wenn ich mir unsere Catalog.nsf ansehe und dort auf "Access Control Lists" -> "By Name" gehe, hab ich alles was ihr da so fordert.


    Ich seh für jeden User/Gruppe, welche Rechte er auf welchen Datenbanken hat. Und das Domänen weit.


    LG Thorsten


    Ach ja: Server sind 6.5.4er

    schroedi


    Du siehst dort aber nur die DBen, in denen der User als Person in der ACL steht.
    Um alles abzudecken, musst du dir vorher noch ziehen,
    in welchen Gruppen er ist und im Catalog die Gruppen suchen und den Zugriff auslesen.
    Erst dann hast du alle DBen abgedeckt, in denen User Zugriff hat.

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    Zitat


    DerOzzy schrieb:


    Das ist eine gute Hilfe, löst aber auch nicht das Gesamtproblem.
    Zwar sehe ich damit, in welchen Gruppen ein User steckt. Aber ich sehe nicht, in welchen Datenbanken diese Gruppen mit welchen Berechtigungen eingetragen sind.


    Daher meine Einschränkung "Sind eure Gruppen auch noch sinnig benannt". Unsere sind halt so benannt, dass der DB-Titel un das Zugriffsrecht, inkl. der Rollen im Gruppennamen aufgeführt sind ;)


    Zitat


    DerOzzy schrieb:


    Oder in welchen Datenbanken der User direkt in der ACL steht. Dafür brauche ich dann wieder den Datenbankkatalog.


    IMO hat ein User nicht direkt in einer ACL zu stehen...


    Was natürlich eine Alternative wäre:
    schreib dir einen Agenten, der alle Personen des DDs durchgeht und in sämtlichen DBs des Servers (Stichwort: NotesDbDirectory) den Zugriff nachschlägt. Über die Properties der NotesACLEntry-Klasse, findest du den Zugriff, die Rollen, Erstell- und/oder Löschrechte, etc. heraus. Diese Informationen lässt du nachts in eine DB schreiben, dann hast du jeden Morgen den aktuellen Stand. Im Allgemeinen sollte aber ein Lauf am WE reichen. Insbesondere bei vielen Usern und DBs wird der Agent recht lange laufen...

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Sollte dies ein Designer verwirklicht haben und diesen Code zur Verfügung stellen,
    wären ihm alle Admins auf ewig dankbar !!!!


    :D

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    • Offizieller Beitrag

    der Aufwand so ein Script zu schreiben ist eher gering.


    Aber bei mehreren Servern, Clustern usw. bekommt man ein Problem mit der Laufzeit. Ich hatte so etwas ähnliches unter 4.6 mal angefangen aber bei mehreren Servern im Cluster (und ich wollte alle Ergebnisse in einer DB haben) habe ich dann ein Zeitliches Problem bekommen, obwohl ich die Aktualisierung nur wöchentlich haben wollte.


    Die Zugriffe müssten irgendwo dokumentiert werden - da würde ich jetzt mal spontan eine Notes-DB nehmen. :D


    - über das NotesDBDirectory jedes Servers laufen
    - für jede DB ein Dokument erstellen, wenn es noch kein Dokument für eine DB mit der gleichen Repl.ID gibt
    - jeden Eintrag in der ACL durchlaufen
    - Personen direkt in ein Feld eintragen
    - Gruppen auflösen


    Für die Zugriffsrechte setzen wir wie RockWilder Gruppen ein, ist die bissher beste Lösung Rechte auf DBs zu verwalten. Außer auf Mail-DBs dürfen keine Personeneinträge in der ACL stehen.


    Gruß
    Dirk

    Rein logisches Denken verschafft uns keine Erkenntnis über die wirkliche Welt.
    Alle Erkenntnis der Wirklichkeit beginnt mit der Erfahrung und endet mit ihr.
    Alle Aussagen, zu denen man auf rein logischen Wegen kommt, sind, was die Realität angeht, vollkommen leer.
    Albert Einstein

    http://www.rhacl.de/freesoft.html#rhpop3connector


    RHaclFree:
    Mit Hilfe dieser Notes Datenbank erstellen Sie Zugriffslisten aller Notes Server in Ihrem Unternehmen.
    Ein Agent innerhalb dieser Datenbank erstellt um 02:00 Uhr eine Liste der Zugriffskontrolllisten von dem Server auf dem die Datenbank installiert ist.
    Über Ansichten erfahren Sie welcher Benutzer mit welchem Zugriffsrecht auf welche Datenbank existiert.
    Selbst Gruppenkennungen werden in Benutzernamen aufgelöst.


    ^^ vielleicht hilt das ja weiter oder ist mal ein ansatz, zufällig gerade gefunden.