admin.id und augeschiedene Admins

Notes-technisch kann man da viel machen - Frage ist, wie Euer System eingerichtet ist.

NotesUser die aus dem Unternehmen ausscheiden, sollten geloescht werden,
zusaetzlich in eine spezielle Gruppe ( Negativliste) zB 'kein Zugriff' eingetragen werden. Mit der Loeschung verschwinden die aus den ACL der Datenbanken, aus den vorhandenen Gruppen und sollten damit nicht mehr zugreifen koennen ( wenn System sauber konfiguriert )

Im Server-Dokument im NAB gibt es Felder zum Thema :

- wer darf auf Server zugreifen
- wer darf Repliken erstellen ( hier sollten die Admins drinstehen - als Gruppe )
- Monitoring
- Konsolenbenutzung
usw ( dort sollten keine Benutzernamen auftauchen - sollte man alles ueber die LocalDomainAdmin-Gruppe regeln)

- wer darf nicht auf Server zugreifen ( da sollte auf jeden Fall die Liste mit
ausgeschiedenen Mitarbeitern drinstehen )

Die Möglichkeit mit dem Kennwort sollte man meiner Meinung nach eigentlich nicht benutzen - betrifft dann alle User und man hat jede Menge Verwaltungsaufwand mit den IDs ( falls diese fuer die User mehrfach existieren - auf Workstation - auf Notebook - im Netz) dazu muesste der Server die Kennwoerter ueberpruefen - ebenfalls im Server-Dokument zu finden.

Hi migele,

vielleicht solltest Du erst einmal erklären, was Du mit der "Admin.id" meinst.
Abhängig von der Art und Weise der endwendeten Id musst Du
anders reagieren bzw. andere Vorkehrungen treffen.
Also ohne genau zu wissen welche ID Dir fehlt ist das Thema ziemlich theoretisch.

Bei IBM gibt es aber ein paar Dokumente die Dir dabei weiterhelfen können. Such mal nach den TechNote 1087149 und 1102716. Damit solltest Du weiterkommen.

Gruß,
Kete

Hi,

der Admin ist per Definition auch nur eine Person. "Zufälligerweise" wird er bei der Serverinstrallation mit registriert. Wenn nur Dein physischer Admin dir Firma verlassen hat, un diese ID nicht mehr existiert, dann ist dies prinzipiell kein Problem. Eine beliebige Person kann im Serverdokument und vorhandenen Gruppen eingetragen werden, um Admin-Rechte zu erhalten.

Kritischer wird es bei der ID-Wiederherstellung. Sollte diese ID als einzige ID in den cert's eingetragen worden sein, hast Du ein Problem. Ansonsten kann diese ID, wenn mehrere Instanzen eingerichtet worden sind, ausgetauscht werden.

Gruß,

Sascha

Moin,

versuche es einmal. Wenn Du alle Gruppen und Eintäge im Serverdokument, Abschnitt Sicherheit, berücksichtigst, hast Du einen neuen Admin "geschaffen".

Sascha

Das ganze ist halt auch eine Frage des Konzeptes. Wenn nun der nächste Admin wieder das Haus verlässt, geht die ganze Show wieder von vorne Los. Vielleicht die Berechtigungen über eine entsprechende Administratorengruppe steuern und diese im Serverdokument berechtigen. Somit bräuchtest Du beim nächsten mal nur noch den User zu löschen und Ihn in der NoAccess Gruppe für den Serverzugriff aufzunehmen.

Zitat

fidelico schrieb:
deshalb würde ich das aus sicherheitsgründen nicht über Gruppen regeln, sondern eher dafür sorgen dass ausgeschiedene admins nicht mehr an den server kommen, d.h. der dominoserver steht bei uns nicht direkt am netz, sondern hat einen anderen mailserver und firewalls vorgeschaltet.
:pint:

Was das mit dem Dominoserver direkt am netz angeht stimme ich Dir zu. Besser einen sendmail, qmail, whatever Server davor setzen.

Zitat

naja... bei uns wäre dies nicht möglich, da wir mehrstufige admins haben.
dh. heisst, es gibt kollegen, die können im names.nsf einträge machen / ändern, gruppenzugehörigkeit etc. und dann noch die all-acceess-administratoren.
wenn du die ganze adminchose über eine gruppe regelst, und es mehrere leute gibt die gruppen bearbeiten dürfen, kann man sich ja mal flix da eintragen und ist gleich "gottgleicher" admin.

Das sehe ich etwas anders.Deshalb gibt es ja in der ACL des Names zum einen rollen wie groupcreator, groupmodifier.Ausserdem kann man einer Gruppe im adressbuch ja auch noch einen Owner, sowie einen Administrator
im tab Administration zuweisen.Ich halte halt generell wenig davon irgendwo Personen direkt einzutragen.

Hi,

ich glaube hier taucht unterschwellig ein Problem auf, dass ich bei Schulungen (bin CLI) immer wieder bemerke.
Hier wird die Notesadministration mit Win Administration verglichen. Denkt bitte daran dass der Fragende vielleicht nicht ein Notesguru ist, sondern hauptsächlich Betriebssystem administriert. Somit sollte generell mal erklärt werden, dass es eigentlich nicht DEN Adminaccount gibt, sondern dass man eine x-beliebige Person in die richtigen Felder, Zugriffskontrollisten und unter Umständen Gruppen eintragen muss und er dann Adminrechte erhält.
Da dieses möglich ist, empfehle ich häufig, dass man erst gar nicht mit einer 'virtuellen' Adminid wie unter NT arbeitet, sondern immer ist ein Admin auch eine Person mit einem Notesaccount. Haut der ab, so muss man dafür Sorge tragen, dass an allen wichtigen Schräubchen gedreht wird, wobei hier einem eine Gruppe helfen kann. Neuerdings haut einem 6 die Gruppe LocalDomainAdmins rein und der unbedarfte Neuadmin trägt sich da ein und denkt, allles wird gut. Dem ist aber nicht so, da z.B. auf den ganzen Mailfiles bein einem Upgrade nirgends diese Gruppe eingetragen wird und somit kann der Admin immer noch nicht an die Mailfiles ran. Dann kommt an mich immer die Frage: Aber ich bin doch Admin! Das stimmt einfach nicht. Man steht in einer Gruppe, die erst in alle Datenbanken eingetragen werden muss, dann ist man eine Person, die mit Hilfe einer Gruppe Zugriff auf die Datenbanken hat.

Und wie soll man sowas alles wissen? Ich empfehle hier die IBM Redbooks und ...
eine Schulung