nachträgliches Eintragen der Admins in ALLE ACLs

    derzeit haben wir admins nicht auf alle Datenbanken Zugriff ... fragt mich nicht wieso und wer das verbrochen hat, ich hab jetzt die Genehmigung dass die Gruppe der Administratoren auf ALLE Datenbanken mit Managerzugriff darf
    nur wie kann ich das automatisch mal machen lassen? von meinem lokalen Administratorclient aus gehts ja nicht, da ich ja nicht auf alle DBs Zugriff habe

    Hallo,


    also wenn Ihr ND 6 nutzt ist das mal kein Problem.
    Aber auch im R5 ist das über den Admin Client möglich.
    Versuch mal mehrer (wichtig, mehr als nur eine Db markieren)DBs zu markieren und dan die ACL Verwalten.


    Ich habs so auch schon geschafft.



    mfG


    Samea

    Also, ich wuerde mir einen Script-agenten schreiben, der ueber alle Db´s laeuft und die Gruppe eintraegt.
    Haette man auch gleich Code fuer spaetere, aehnliche Vorhaben

    Wie Samea schon gesagt hat, ab ND6 kein Problem mehr.
    Im Adminclient die Option "Administration mit voller Berechtigung" aktivieren, Datenbanken markieren, ACL verwalten wählen, den gewünschten Eintrag hinzufügen, abschicken, warten und wohlfühlen :pint:

    Nun, beide habt ihr Recht. Quick'n'Dirty geht es natürlich über den Admin-Client. Wie gesagt: DBs auswählen, Rechtsklick, ACL veralten, Hinzufügen. Ende der Geschichte.


    Sauberer ist es allerdings, wenn es der Server macht. Dazu halt ein script schreiben. Zumal es dir passieren kann, dass mit konsistenter ACL du mit der ersten Möglichkeit verloren hast. Ein Admin-Server soltet ja wenigstens vorhanden sein. Den Agenten mit dessen ID unterzeichnen und gut ist.


    Die Full Admin Geschichte ist natürlich nett. Allerdings sollte so eine ID mit wenigstens 2 Passwörtern geschützt sein. Das wiederum bedeutet, dass für den Zeitraum der ACL-Änderungen wenigstens 2 Personen an den Rechner gebunden sind. Denn ich denke nicht, dass die 2. Person die erste aus den Augen lässt. Allzu schnell ist das 2. Passwort geändert. Ich jedenfalls würde das nicht tun.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    is domino 5, also nix mit superadmin, leider


    also mal zu dem script ... wie soll dass denn gehen? ich hab so gar keine ahnung davon, bin net so der coder :(

    der bewusste Rechtklick im Admin-Client geht auch mit 5

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    wenn ich mit meinem lokalen AdministratorClient mehrere DBs markiere und dort den Eintrag hinzufügen will macht er es nicht, denn ich hab ja keine Berechtigung da was zu machen, die will ich ja erst haben


    kann das nur machen wenn ich mich remote auf dem server anmelde, dort den notes client öffne und das manuell, datenbank für datenbank mache und das dauert ewig

    3 Möglichkeiten:
    1) es steht nur der Server in der ACL, auf dem die DB liegt
    1.1) der Server steht drin mit Typ Unbestimmt -> Server-ID schnappen und vom lokalen Client aus arbeiten
    1.2) Server steht drin mit Typ Server (normal, wenn der Server Admin-Server ist) -> du hast verloren


    2) es stehen weitere Server drin, entweder namentlich oder in einer Gruppe
    2.1) die Server stehen drin als unbestimmt -> Server-ID schnappen
    2.2) die Server stehen als Server(-gruppe) drin -> du hast verloren


    3) Script schreiben, z.B

    Code
    Dim db As New NotesDatabase( "Server", "database.nsf" )Dim acl As NotesACLDim entry As NotesACLEntrySet acl = db.ACLSet entry = acl.CreateACLEntry _( "Administratoren", ACLLEVEL_Manager )Call acl.Save


    Du musst allerdings durch gesamte data-Verzeichnis, inkl. der Unterverzeichnisse laufen und auf jede DB das script anwenden

    Code
    Set directory  =  New NotesDbDirectory( "Server" )
Set db = directory.GetFirstDatabase( DATABASE )

Do While Not (db Is Nothing) 
	... ACL umschiessen
Loop


    /edit
    wenn du nicht nur die DBs abackern willst, sondern auch die Schablonen, schreib
    Set db = directory.GetFirstDatabase( TEMPLATE_CANDIDATE )

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Wenn Du es per Script machen willst, dann schau Dir in der Designerhilfe mal das Dokument "CreateACLEntry method" an. Da steht ziemlich genau drin was Du machen musst, und ein (fast) perfektes Beispiel ist auch noch dabei. Dazu eine Schleife die durch alle Maildatenbanken läuft, dann brauchst Du den Admin-Client nicht und musst auch nicht alle Mail-DB per Hand öffnen.
    Das gäbe ia auch ganz schön dicke Finger... :D

    das hilft mir weiter, dann werd ich mir das mal näher anschauen .. macht es eigentlich sinn bzw. ist es zu empfehlen die server als unbestimmt eintragen zu alssen bzw abzuändern?

    Server als Typ Unbestimmt birgt ein gewisses Risiko. Auch wenn es auf den ersten Blick komfotabler erscheint. Aber insgesamt tendiere ich persönlich immer dazu, die ACL sauber zu halten, um nicht irgendwann auf die Nase zu fallen.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hi Geordi,


    wenn Du wirklich die Genehmigung hast (schriftlich vorliegen?!?) dann Google doch mal nach dem Begriff "AdminACL". Bei IBM in der Sandbox wirst Du dann fündig. Mit dem Tool kannst Du Dein Vorhaben relativ einfach und komfortable abfackeln.


    Gruß
    Kete

    is mir ja schon peinlich das zu fragen :( ... ich schreib das script, aber wo rein und wie führ ich das dann aus? muss ihm ja irgendwie sagen auf welchen dbs er das machen soll und muss das ja irgendwie starten ... bin echt absoluter obernoob was scripts angeht

    Designer-Client -> Shared Code -> Agents.


    Mit der Server-ID unterzeichnen und sinnvollerweise als scheduled agent laufen lassen. Der Server, auf dem der Agent laufen soll, ist egal. Im script sagst du ihm ja, auf welchem "Ziel"-Server die DBs liegen

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    kopier Dir die ADMIN.EXE von nem Admin-Client in das Programmverzeichnis auf dem (Windowsbasierten) Domino-Server, starte die ADMIN.EXE dort, fahr den Servertask temporär herunter und puste den gewünschten Eintrag per Massenänderung lokal in die Datenbanken. Dauert ein paar Minuten und funktioniert tadellos.


    Wenn Du keinen Windows-Server hast, map Dir halt das Serverdatenlaufwerk auf deinen Windows-CLient, mach ne Verzeichnisverknüpfung und gut ist.


    Das mit nem Script-Agenten zu machen halte ich für absoluten Quatsch. Der Admin-Client stellt extra hierfür ein (unter R5 noch nicht perfektes) Werkzeug zur Verfügung. Abgesehen davon ist das Admin-Werkzeug hierbei DEUTLICH flexibler als eine Agentenlösung (gegen die ich als Admin sowieso ne Abneigung habe :P ) )


    Nachteilig ist hier nur das temporäre Runterfahren des Servers.


    Nicht vergessen, dass das ganze auch rechtlich abgesegnet sein muß, aber das haben meine Vorredner ja schon angerissen :)

    *grmbl* ... wollte das jetzt mit dem admin machen, hab den also auf meinem notes-server gestatet und dann erzählt er mir dass die anfordernde id identisch ist mit der server id und ich das nicht darf ... blablabla ... mit welcher id muss ich das denn machen?

    nur schade dass es die nicht gibt bei uns, zumindest kann ich keine finden .. zum k****** wenn man en system übernimmt und der vorgänger der es verbrochen hat is weg