Berechtigungskonzept

    Hallo Admins,


    ich möchte die Berechtigungen in unserer Firma überarbeiten und anpassen. Es handelt sich um die Rechte für unserern Entwickler und unseren Mitarbeiter-Support.


    Bisher hatten alle volle Administratoren-Rechte.


    Ich meine hiermit nicht ausschließlich die "normalen ACL-Einstellungen", sondern ebenfalls die Sicherheitseinstellungen beim Server.


    Der Mitarbeiter-Support hat folgende Aufgaben:


    Personen in Gruppen hinzufügen, bzw. entfernen (aber keine Gruppen erstellen oder löschen)


    im Personendokument den Fingerabdruck des Kennworts löschen (für Kennwortrücksetzungen falls mal wieder ein User sein Kennwort nicht weiß)


    händisches Replizieren des NABs zu anderen Servern in der gleichen Domäne und gleicher Organisation



    Der Entwickler soll folgendes können, bzw. nicht können:


    Er soll KEINE Datenbanken erstellen, nur vorhandene bearbeiten.


    Er darf KEINE Repliken erstellen.


    Er darf Agenten erstellen und ausführen, auch Script-Agenten.


    Er darf im NAB keine Personen oder Gruppen bearbeiten.



    Wie habt ihr eure Rechte vergeben? Wie setze ich am sinnvollsten diese Vorgaben um?


    Vielen Dank im Voraus und viele Grüße aus Duisburg.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    Er soll KEINE Datenbanken erstellen, nur vorhandene bearbeiten.


    Er darf KEINE Repliken erstellen.


    ==> Er darf eben nicht im entsprechenden Berechtigungsfeld im Serverdokument stehen


    Er darf Agenten erstellen und ausführen, auch Script-Agenten.


    ==> Er muss eben im entsprechenden Berechtigungsfeld im Serverdokument stehen


    Er darf im NAB keine Personen oder Gruppen bearbeiten.


    ==> Autorrechte aufs Adressbuch, damit darf er nur Einträge bearbeiten in denen er explizit als Autor drinsteht

    Das ist mir soweit klar.


    Es gibt allerdings im Reiter Sicherheit im Serverdokument allein unter dem Punkt Administratoren 9 Felder, in denen ich Einstellungen und Beschränkungen einstellen kann. Zwar habe ich natürlich eine Feldhilfe, die aber manchmal nicht eindeutig oder sogar falsch geschrieben wurde.


    Ebenfalls gibt es für die Einstellungen für die Programmierbarkeit 9 Felder. Auch da hätte ich gern ein paar Tipps und Hinweise.


    Dem Support würde ich auf dem NAB Editorenrecht ohne Löschen mit UserModifier und GroupModifier geben, und wahrscheinlich noch "Dokumente replizieren oder kopieren". Liege ich damit richtig?


    Nur zur Info: Ich habe mir schon einige Gedanken gemacht und möchte mich an dieser Stelle rückversichern und mir noch einige Anregungen holen. Die grundsätzlichen Dinge sind mir im Grunde klar, aber würde ungern meine Kollegen "vor die Pumpe laufen lassen" - wenn ihr versteht, was ich meine.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    Also dann würde ich dir mal die sehr ausführliche Admin Hilfe zu den Feldern im Serverdokument empfehlen. Da sind die genauestens beschrieben, auch was einer kann und nicht kann der dort eingetragen ist.


    Und zum Thema NAB:


    Editoren können immer alle Dokumente editieren, unabhängig von den Rollen.
    Was du brauchst sind Autoren mit den entsprechenden Rollen.
    Und Dokumente replizieren bzw kopieren würde ich nur den Servern und den Admins geben.

    Der Unterschied zwischen Editor und Autor ist mir ebenfalls geläufig. Allerdings - wie ich anfangs beschrieben habe - müssen die Support-Mitarbeiter die Möglichkeit haben, in sämtlichen Personendokumenten in einem Feld etwas herauszulöschen. Reicht dafür das Autorrecht mir der Rolle UserModifier???


    Die Dokumente "Administratorzugriff beschränken" und "Erstellen von Datenbanken, Repliken und Schablonen steuern" aus der Admin-Hilfe habe ich - sogar ausgedruckt - vor Augen. Richtig, relativ ausführlich, aber auch verwirrend - vielleicht nur für mich.(?)

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    Ja reicht es.
    Die Rolle UserModifier gibt denen das Recht alle Benutzer zu ändern und das Autorenrecht sorgt dafür, daß das eben auf die Personen beschränkt bleibt.


    Und was genau ist dir an diesenm unklar ?
    Stell doch einfach konkrete Fragen dazu

    Als Autor können die Support-Mitarbeiter allerdings nur die Felder ändern, in denen nicht die Eigenschaft MINDESTENS EDITOR-ZUGRIFF ERFORDERLICH gesetzt ist. Die so geschützten Felder erkennst du bei den Dokumenteigenschaften an dem Attribut PROTECTED.


    Gruß


    Norbert

    Vielen Dank LN4ever - solche Hinweise brauche ich.


    Wie sieht es mir den Sicherheitseinstellungen für die Agenten aus? Oder im Voraus gefragt: Wie verfahrt ihr mit neu entwickelten Datenbanken? Werden die bei euch immer vom Administrator signiert bevor die veröffentlicht werden? Mit der Admin-ID oder Server-ID oder belasst ihr die Datenbank mit der Entwickler-ID?


    Die Agenten-Einstellungen sind mir wirklich unklar. Welche Agenten werden im Namen anderer ausgeführt? Kann ich irgendwie feststellen, welche Agenten auf welche Weise ausgeführt werden? Ich weiß, dass ich im Log bei Ausführung einen Eintrag erhalte, allerdings bei 5 Servern und 1.500 Usern und über 2.500 diverse Datenbanken ist es nicht ganz so einfach, den Überblick zu behalten.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    Also Entwickler sollten auf Produktivsystemen nicht mehr Rechte als ein normaler User haben. Bevor eine Datenbank produktiv genommen wird, sollte diese entweder mit einer speziellen technischen ID oder der Server ID unterzeichnet werden.


    Natürlich die, bei denen die Eigenschaften Run on behalf of gesetzt ist.
    Sorry aber genau die Infos findest du in der Adminhilfe, wenn du sie mal durchliest.


    Wenn du vielleicht mal konkret sagen würdest was dir an den Agenteneinstllungen unklar ist und was nicht in der Hilfe beschrieben ist, dann können wir dir da auch sicher helfen

    Noch ein Nachtrag:


    Ich will nicht fies werden, aber Halbwahrheiten oder Antworten von Unwissenden bringen mir nichts.
    Das Feld "Fingerabdruck des Kennworts" hat natürlich den Eintrag PROTECTED, dementsprechend wäre die vorvorletzte Antwort so nicht ganz richtig und ich wäre vor die Pumpe gelaufen mit meinen Einstellungen - und genau das versuche ich zu vermeiden.


    Außerdem möchte ich auch etwas über eure Einstellungen und Vorgehensweisen erfahren. Wer administriert was und wie wird mit Support-Mitarbeitern und Entwicklern und deren Arbeit umgegangen?


    Ich bin nicht erst seit gestern Administrator, aber ich habe vor 9 Jahren eine fertige Domäne mit sämtlichen Fehlern übernommen und versuche Stück für Stück alles zu überarbeiten und vernünftig und praktikabel einzustellen.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    taurec
    Welche Frage verstehst du nicht??? Wenn ich frage, wie ich die Ausführungsarten die aktivierten Agenten erkennen kann wüsste ich nicht, wie ich diese Frage präziser stellen könnte.


    Vielleicht wird mir durch eine Antwort eines Wissenden und nicht durch die Antwort eines Zweifelnden die Frage über die Ausführung der Agenten schon deutlich.


    Irgendwie hast du mir bisher keine einzige Frage konkret beantwortet sondern jede Frage von mir in Zweifel gestellt. Vielen Dank dafür, aber darauf kann ich verzichten.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer:

    Dann solltest du vielleicht auch mal die Antworten lesen und die Ratschläge beherzigen die du bekommst.


    Was erwartest du hier von uns ? Daß wir dir eine Schulung über das geben was dir an Wissen fehlt, daß wir dir komplette Texte aus der Hilfe kopieren damit du nicht suchen musst ?


    Wenn du so eine intensive Überarbeitung eurer Rechte und Sicherheit brauchst, dann musst du dir eben jemanden ins Haus holen, der das mit dir zusammen macht und dich dabei in diese Sachen einweist.


    Alleine deine letzte Antwort zeigt mir, daß du die Antworten nur sehr halbherzig liest. Denn zu dem worauf du dich beziehst habe ich gar nichts gesagt.

    Ich werde dieses Thema hier schließen. Es ist mir wirklich zu blöd, mich mit jemandem rumzuschlagen, der vorgibt anscheinend sehr viel zu wissen und meiner Meinung nach mit seinen Kommentaren Beitragszahlen zu erhöhen ohne etwas Fundiertes beizutragen.


    Ich brauche keinen, der mir aktiv zur Hand geht. Viel mehr hat mich interessiert, wie es in anderen Unternehmen abläuft. Ich bin seit Domino 4 Administrator und war unter Domino 4 und 5 Entwickler. Ich habe Domänen mit über 80 Servern administriert und da brauch ich mir so etwas nicht sagen lassen.


    taurec
    Wer und was bist du, dass du dich so verhältst? Wenn die das hier keinen Spaß macht, dann löse dich von diesem Forum. Wenn du frustriert bist, dann ändere was in deinem Leben, aber lass dich nicht ständig an andere aus. Dies ist mir schon in vielen Beiträgen aufgefallen.
    Tatsache ist es, dass eine deiner Antworten, die du mal direkt gegeben hast, eindeutig falsch ist. Hier könnte ich Dieter Nuhr zitieren ("Wenn man keine Ahnung hat.....").


    Und warum redest du von dir in der Mehrzahl? Andere außer dir (mit einer Ausnahme) haben in diesem Thema nichts beigetragen. Dafür kann es mehrere Gründe geben, vielleicht habe ich mich unklar ausgedrückt.


    Schade, dass es hier Leute zu geben scheint, die ein sinnvolles Forum herunterziehen.


    @ Alle
    Immer erst die Hilfe durchforsten und die Forensuche bemühen. Und wenn ihr das macht und dies in eurem Beitrag versichert, lasst euch nicht von irgendwelchen Moderatoren verunsichern. Es besuchen auch echte Profis dieses Forum.


    In diesem Sinne.


    Viele Grüße an ALLE Administratoren.

    :D Andere Foren haben vielleicht auch [size=xx-small]scheiß Mods[/size] :hammer: