derzeit haben wir admins nicht auf alle Datenbanken Zugriff ... fragt mich nicht wieso und wer das verbrochen hat, ich hab jetzt die Genehmigung dass die Gruppe der Administratoren auf ALLE Datenbanken mit Managerzugriff darf
nur wie kann ich das automatisch mal machen lassen? von meinem lokalen Administratorclient aus gehts ja nicht, da ich ja nicht auf alle DBs Zugriff habe
nachträgliches Eintragen der Admins in ALLE ACLs
- geordi
- Erledigt
-
-
Hallo,
also wenn Ihr ND 6 nutzt ist das mal kein Problem.
Aber auch im R5 ist das über den Admin Client möglich.
Versuch mal mehrer (wichtig, mehr als nur eine Db markieren)DBs zu markieren und dan die ACL Verwalten.Ich habs so auch schon geschafft.
mfG
Samea
-
Also, ich wuerde mir einen Script-agenten schreiben, der ueber alle Db´s laeuft und die Gruppe eintraegt.
Haette man auch gleich Code fuer spaetere, aehnliche Vorhaben -
Wie Samea schon gesagt hat, ab ND6 kein Problem mehr.
Im Adminclient die Option "Administration mit voller Berechtigung" aktivieren, Datenbanken markieren, ACL verwalten wählen, den gewünschten Eintrag hinzufügen, abschicken, warten und wohlfühlen :pint: -
Nun, beide habt ihr Recht. Quick'n'Dirty geht es natürlich über den Admin-Client. Wie gesagt: DBs auswählen, Rechtsklick, ACL veralten, Hinzufügen. Ende der Geschichte.
Sauberer ist es allerdings, wenn es der Server macht. Dazu halt ein script schreiben. Zumal es dir passieren kann, dass mit konsistenter ACL du mit der ersten Möglichkeit verloren hast. Ein Admin-Server soltet ja wenigstens vorhanden sein. Den Agenten mit dessen ID unterzeichnen und gut ist.
Die Full Admin Geschichte ist natürlich nett. Allerdings sollte so eine ID mit wenigstens 2 Passwörtern geschützt sein. Das wiederum bedeutet, dass für den Zeitraum der ACL-Änderungen wenigstens 2 Personen an den Rechner gebunden sind. Denn ich denke nicht, dass die 2. Person die erste aus den Augen lässt. Allzu schnell ist das 2. Passwort geändert. Ich jedenfalls würde das nicht tun.
-
is domino 5, also nix mit superadmin, leider
also mal zu dem script ... wie soll dass denn gehen? ich hab so gar keine ahnung davon, bin net so der coder
-
der bewusste Rechtklick im Admin-Client geht auch mit 5
-
wenn ich mit meinem lokalen AdministratorClient mehrere DBs markiere und dort den Eintrag hinzufügen will macht er es nicht, denn ich hab ja keine Berechtigung da was zu machen, die will ich ja erst haben
kann das nur machen wenn ich mich remote auf dem server anmelde, dort den notes client öffne und das manuell, datenbank für datenbank mache und das dauert ewig
-
3 Möglichkeiten:
1) es steht nur der Server in der ACL, auf dem die DB liegt
1.1) der Server steht drin mit Typ Unbestimmt -> Server-ID schnappen und vom lokalen Client aus arbeiten
1.2) Server steht drin mit Typ Server (normal, wenn der Server Admin-Server ist) -> du hast verloren2) es stehen weitere Server drin, entweder namentlich oder in einer Gruppe
2.1) die Server stehen drin als unbestimmt -> Server-ID schnappen
2.2) die Server stehen als Server(-gruppe) drin -> du hast verloren3) Script schreiben, z.B
CodeDim db As New NotesDatabase( "Server", "database.nsf" )Dim acl As NotesACLDim entry As NotesACLEntrySet acl = db.ACLSet entry = acl.CreateACLEntry _( "Administratoren", ACLLEVEL_Manager )Call acl.Save
Du musst allerdings durch gesamte data-Verzeichnis, inkl. der Unterverzeichnisse laufen und auf jede DB das script anwendenCodeSet directory = New NotesDbDirectory( "Server" ) Set db = directory.GetFirstDatabase( DATABASE ) Do While Not (db Is Nothing) ... ACL umschiessen Loop
/edit
wenn du nicht nur die DBs abackern willst, sondern auch die Schablonen, schreib
Set db = directory.GetFirstDatabase( TEMPLATE_CANDIDATE ) -
Wenn Du es per Script machen willst, dann schau Dir in der Designerhilfe mal das Dokument "CreateACLEntry method" an. Da steht ziemlich genau drin was Du machen musst, und ein (fast) perfektes Beispiel ist auch noch dabei. Dazu eine Schleife die durch alle Maildatenbanken läuft, dann brauchst Du den Admin-Client nicht und musst auch nicht alle Mail-DB per Hand öffnen.
Das gäbe ia auch ganz schön dicke Finger... -
das hilft mir weiter, dann werd ich mir das mal näher anschauen .. macht es eigentlich sinn bzw. ist es zu empfehlen die server als unbestimmt eintragen zu alssen bzw abzuändern?
-
Server als Typ Unbestimmt birgt ein gewisses Risiko. Auch wenn es auf den ersten Blick komfotabler erscheint. Aber insgesamt tendiere ich persönlich immer dazu, die ACL sauber zu halten, um nicht irgendwann auf die Nase zu fallen.
-
Hi Geordi,
wenn Du wirklich die Genehmigung hast (schriftlich vorliegen?!?) dann Google doch mal nach dem Begriff "AdminACL". Bei IBM in der Sandbox wirst Du dann fündig. Mit dem Tool kannst Du Dein Vorhaben relativ einfach und komfortable abfackeln.
Gruß
Kete -
is mir ja schon peinlich das zu fragen ... ich schreib das script, aber wo rein und wie führ ich das dann aus? muss ihm ja irgendwie sagen auf welchen dbs er das machen soll und muss das ja irgendwie starten ... bin echt absoluter obernoob was scripts angeht
-
Designer-Client -> Shared Code -> Agents.
Mit der Server-ID unterzeichnen und sinnvollerweise als scheduled agent laufen lassen. Der Server, auf dem der Agent laufen soll, ist egal. Im script sagst du ihm ja, auf welchem "Ziel"-Server die DBs liegen
-
kopier Dir die ADMIN.EXE von nem Admin-Client in das Programmverzeichnis auf dem (Windowsbasierten) Domino-Server, starte die ADMIN.EXE dort, fahr den Servertask temporär herunter und puste den gewünschten Eintrag per Massenänderung lokal in die Datenbanken. Dauert ein paar Minuten und funktioniert tadellos.
Wenn Du keinen Windows-Server hast, map Dir halt das Serverdatenlaufwerk auf deinen Windows-CLient, mach ne Verzeichnisverknüpfung und gut ist.
Das mit nem Script-Agenten zu machen halte ich für absoluten Quatsch. Der Admin-Client stellt extra hierfür ein (unter R5 noch nicht perfektes) Werkzeug zur Verfügung. Abgesehen davon ist das Admin-Werkzeug hierbei DEUTLICH flexibler als eine Agentenlösung (gegen die ich als Admin sowieso ne Abneigung habe ) )
Nachteilig ist hier nur das temporäre Runterfahren des Servers.
Nicht vergessen, dass das ganze auch rechtlich abgesegnet sein muß, aber das haben meine Vorredner ja schon angerissen
-
*grmbl* ... wollte das jetzt mit dem admin machen, hab den also auf meinem notes-server gestatet und dann erzählt er mir dass die anfordernde id identisch ist mit der server id und ich das nicht darf ... blablabla ... mit welcher id muss ich das denn machen?
-
Vielleicht mit der Admin ID???
-
nur schade dass es die nicht gibt bei uns, zumindest kann ich keine finden .. zum k****** wenn man en system übernimmt und der vorgänger der es verbrochen hat is weg
-
Was du nicht machen darfst ist auf den Server zuzugreifen.
Du musst da entsprechend lokal zugreifen.
Dann kannst du auch die Server.id verwenden