Gruppen - Diskussion

1. offizieller Beitrag

    Hallo Domino-Helden,


    heute mal was allgemeines als Frage:


    Thema: Gruppen !


    Gibt es eine allgemeingültige Aussage wann man als Admin Gruppen alegen sollte, wann man Gruppen anlegen kann und wann man diese anlegen muß ??


    Hintergrund ist, dass wir drei Kollegen sind, die alle machen was sie wollen ;)


    - Mal gibt es Datenbanken die haben grundsätzlich mal drei dazu gehörige Gruppen (Managers, Editors, Readers) auch wenn zwei Gruppen davon vorerst mal leer bleiben.
    - Mal wird der User einfach so (direkt) auf die Datenbank zugelassen.
    - Oder es wird nur eine Gruppe angelegt, wenn dort auch ein User reinkommt, wobei ich den Vorteil hier nicht sehe, da es relativ unübersichtlich wird, wenn ich für einen einzigen User bei jeder DB gleich eine Gruppe anlege...


    Habt Ihr da noch mehr Vor- und Nachteile der einzelnen Punkte für mich...


    Ich würde mich nämlich ungern auf eine Einigungsdiskussion mit meinen Kollegen mit nur einem Argument (Unübersichtlichkeit)einlassen...


    Freue mich auf Eure Antworten !!


    Gruß


    Donald

    "The only secure computer is one that's unplugged, locked in a safe,
    and buried 20 feet under the ground in a secret location...
    and i'm not even too sure about that one"

    -Dennis Huges, FBI-
    ......

    • Offizieller Beitrag

    Gruppen finde ich besser, denn dann kannst Du die Verwaltung der Zugriffe an die User abdrücken und Du bist aus der Verantwortung und im Adressbuch nach einem User suchen und hast alle Gruppen in denen er Mitglied ist.


    Gruß
    Dirk

    Rein logisches Denken verschafft uns keine Erkenntnis über die wirkliche Welt.
    Alle Erkenntnis der Wirklichkeit beginnt mit der Erfahrung und endet mit ihr.
    Alle Aussagen, zu denen man auf rein logischen Wegen kommt, sind, was die Realität angeht, vollkommen leer.
    Albert Einstein

    Danke, schon mal.
    Allerdings denke ich - die Frage :
    Wer hat denn auf diese DB zugriff? kommt häufiger als die Frage:
    Wo darf der User denn überall hin?
    Und bei der ersten Frage suche ich mir immer einen Wolf, weil wir auch noch mit Gruppen in Gruppen arbeiten - dass übersteigt mein Verständnis...
    Zusätzliches Problem:
    Der Kunde will den User x auf die DB y zulassen lassen...
    (landet per Mail bei mir) und ich fange jetzt an zu suchen welche der Gruppen am besten zu dem Kundenwusch passt (Manager/Reader/Editor) oder ich muss sogar die Gruppen in Gruppenstruktur aufbröseln und bin 15 Minuten statt 20 Sekunden beschäftigt..


    Sinn oder Geschmackssache... vielleicht mach ich ja was falsch :-?


    Den Usern das berechtigen überlassen ??? Das wäre ja Wahnsinn !
    :-o
    Im günstigsten Fall sperren Sie sich nur selbst aus und wenns schlimm wird bin ich nur noch am zurücksichern, weil Leute löschen dürfen, die nicht wissen was sie tun...
    Nene... dazu reichts nicht bei unseren Usern

    "The only secure computer is one that's unplugged, locked in a safe,
    and buried 20 feet under the ground in a secret location...
    and i'm not even too sure about that one"

    -Dennis Huges, FBI-
    ......

    Ist eigentlich nur eine Frage der richtigen Organisation der Gruppen.
    Wenn du die vernünftig und konsistent benennst ist das Eintragen eines neuen Users ebenfalls nur ne Sache von ein paar Augenblicken.
    Und was die Gruppenpflege angeht: Klar kann es dann passieren dass sich ein User selber aus der Gruppe löscht, aber er kann sich auch selbst wieder eintragen. Die Gruppe an sich kann er ja, bei richtiger Konfiguration, nicht löschen.
    Und mit nem 6er Client bekommst du auch bei verschachtelten Gruppen über den Effective Access problemlos raus wer welchen Zugriff auf die DB hat.
    Und zu deinem Punkt welche Gruppe passt zum Kundenwunsch:
    Das hast du auch bei Usern, denn du musst dir ja auch dort überlegen welches Zugriffsrecht, welche Einzelrechte und welche Rollen dieser bekommen muss.
    Hast du die Gruppen sinnvoll benannt kannst du das ja schon am Namen festmachen

    ok ich wußte ich mach was falsch...
    Effective Access kannte ich bislang nicht :cry:


    Und wie soll das gehen, das ein User der sich aus der Gruppe gelöscht hat, sich auch wieder eintragen kann...
    Beispiel:
    DB x
    Gruppen:
    _DB_x_MANAGERS
    _DB_x_READERS
    _DB_x_EDITORS


    Die Managergruppe ist in allen drei Gruppen als Administrator der Gruppe eingetragen, Besitzer sind die Admins...


    Jetzt löscht sich User z aus Managers und das wars, oder liege ich falsch? Und schon fange ich wieder an zu suchen...


    Gibt es noch andere Vor- und/oder Nachteile von Gruppen ???

    "The only secure computer is one that's unplugged, locked in a safe,
    and buried 20 feet under the ground in a secret location...
    and i'm not even too sure about that one"

    -Dennis Huges, FBI-
    ......

    • Offizieller Beitrag
    Zitat

    Wer hat denn auf diese DB zugriff? kommt häufiger als die Frage:
    Wo darf der User denn überall hin?


    Willst Du wissen wer auf die DB zugriff hat, kannst Du dies in den Gruppen sehen, die für die ACL zuständig sind. Benutzt Du noch den DB-Name in der Gruppe an erster Stelle, hast Du sogar die Gruppen für eine DB untereinander stehen.


    Zitat

    Und bei der ersten Frage suche ich mir immer einen Wolf, weil wir auch noch mit Gruppen in Gruppen arbeiten - dass übersteigt mein Verständnis...


    kann Dir egal sein, wenn der DB-Verantwortliche die Gruppen pflegt.


    Zitat

    Zusätzliches Problem:
    Der Kunde will den User x auf die DB y zulassen lassen...
    (landet per Mail bei mir) und ich fange jetzt an zu suchen welche der Gruppen am besten zu dem Kundenwusch passt (Manager/Reader/Editor) oder ich muss sogar die Gruppen in Gruppenstruktur aufbröseln und bin 15 Minuten statt 20 Sekunden beschäftigt..


    kann Dir auch egal sein, weil der DB-Verantwortliche die Gruppen pflegt und der entscheiden muss, welcher Zugriff passt.


    Zitat

    Den Usern das berechtigen überlassen ??? Das wäre ja Wahnsinn !


    Natürlich ist es Wahnsinn - spart mir seit Jahren einen Haufen Arbeit und ich bin bei falschen Zugriffen aus der Verantwortung - Wahnsinn hätte ich in Notes 3 schon machen sollen :strike: .

    Zitat

    Im günstigsten Fall sperren Sie sich nur selbst aus und wenns schlimm wird bin ich nur noch am zurücksichern, weil Leute löschen dürfen, die nicht wissen was sie tun...


    Naja bedeutet für Dich nur Arbeit, wenn der User sich aus der Gruppe löscht, die die Adminrechte auf die auf die anderen Gruppen für diese eine DB hat und dann musst Du an genau einer Stelle einen Namen eintragen.


    Zitat

    Nene... dazu reichts nicht bei unseren Usern


    Und wie bitte pflegen die User die Gruppen in ihren lokalen Adressbüchern?


    Verwende für die Gruppen noch als 1. Zeichen ein Zeichen, welches in der ASCII-Tabelle weiter hintenliegt und die Gruppen stehen alle am Ende Deines Adressauswahlfeldes oder mache reine Zugriffsgruppen daraus.


    Also ich sehe nur Vorteile beim Verwenden von Gruppen für die ACL - bei uns stehen nur Gruppen und ein Admin-Server in der ACL.


    Gruß
    Dirk

    Alles was Du anführst geht aber auch ohne Gruppen...
    als einen echten Vorteil sehe ich es noch nicht, das etwas für Gruppen sprechen würde.


    Falls wir mit Gruppenverantwortlichen arbeiten würden, hätten letztendlich doch die Admins die arbeit, falls was schief geht. (und letztendlich wohl auch die Verantwortung dafür, falls die Firmengehälter plötzlich am schwarzen Brett hängen)


    In einem IT-Unternehmen kann man vielleicht mit Gruppenverantwortlichen arbeiten, aber in einer IT-Fremden Firma eher nicht. (und davon haben wir 10)


    Und wie bitte pflegen die User die Gruppen in ihren lokalen Adressbüchern?
    Ich glaube nur 5% der User wissen, dass es so etwas gibt.

    "The only secure computer is one that's unplugged, locked in a safe,
    and buried 20 feet under the ground in a secret location...
    and i'm not even too sure about that one"

    -Dennis Huges, FBI-
    ......

    Natürlich geht das ganze auch ohne Gruppen.
    Nur vereinfachst du dir mit Gruppen einiges.
    Beispielsweise du hast eine Datenbank in der x Rollen drin sind und die Zugriffsrechte für eine AUtorengruppe genau definiert sind.
    Trägst du einen neuen User ein kannst du ja einen existierenden als Vorlage verwenden, aber was ist wenn jetzt z.b. ne Rolle dazukommt, die alle brauchen ? Dann musst du jeden einzelnen User in der ACL ändern. Mit einer Gruppe wäre das eine einzige Änderung.
    Oder du willst eine Datenbank vorübergehend für alle Normaluser sperren. Entzieh der Gruppe das Recht und fertig, du müsstest wieder alle User durchgehen.


    Das sind nur zwei Beispiele.

    • Offizieller Beitrag
    Zitat

    Alles was Du anführst geht aber auch ohne Gruppen...

    aber nur, wenn ein User Mangerrechte auf die DB hat, damit er die Zugriffe verwalten kann - mehr als Editorrechte gibt es (außer für Admins und Entwickler) nicht auf DBs.


    Zitat

    Falls wir mit Gruppenverantwortlichen arbeiten würden, hätten letztendlich doch die Admins die arbeit, falls was schief geht. (und letztendlich wohl auch die Verantwortung dafür, falls die Firmengehälter plötzlich am schwarzen Brett hängen)

    der Admin muss die Gruppen einrichten und nur noch eingreifen, wenn der User sich aus der Manager-Gruppe entfernt. Der Aufwand ist aber wesnetlich geringer als jede personelle Änderung in den Gruppen umzusetzen. Du als Admin musst dann alle DBs verwalten und der Gruppenverantwortliche nur eine oder ein paar wenige. Bei mehreren 1000 Usern bekommst Du da ein Problem den Überblick zubehalten, wer rechtlich in welcher DB lesen oder editieren darf - also macht es einer, der sich mit der Materie und den betroffenen Bereichen / Personen auskennt - der Gruppenverantwortliche.


    Zitat

    In einem IT-Unternehmen kann man vielleicht mit Gruppenverantwortlichen arbeiten, aber in einer IT-Fremden Firma eher nicht. (und davon haben wir 10)

    also wir sind kein IT-Unternehmen und über 95% der User blicken es, wie man Gruppen im Firmen-Adressbuch editiert.

    Also mit nur 1000 Usern wäre ich nicht so überfordert, es sind wohl eher 3000 auf 10 verschiedene KundenServer verteilt. (und es gibt fast keine Gruppenverantwortlichen)


    Ich bekomme jeden Tag bewiesen wie unwissend die User sind, aber scheinbar ist das mit den Gruppenverantwortlichen gängige praxis. Ich werde das mal einbringen bei uns. Vielleicht habe ich bald weniger Stress :)
    Falls nicht wende ich mich vertrauensvoll an Euch :lol:


    Wenn der Kunde bei uns Managerrechte will bekommt er sie in der Regel auch (wiederwillig, aber der Kunde ist König).


    taurec:
    Das mit den Rollen kommt aber höchst selten vor, jedenfalls kann ich mich nicht an solch einen Fall erinnern. Ab 5-10 User macht eine Gruppe auf jeden Fall Sinn, da ja auch Arbeitsbereiche wechseln, oder der ein oder andere User aus dem Unternehmen ausscheidet und ersetzt wird.


    Vielen Dank auch.


    Falls Ihr noch mehr Vorteile habt -> immer her damit !!
    Nachteile ?? Ich brauch mehr !


    cu

    "The only secure computer is one that's unplugged, locked in a safe,
    and buried 20 feet under the ground in a secret location...
    and i'm not even too sure about that one"

    -Dennis Huges, FBI-
    ......

    • Offizieller Beitrag

    Donald_D
    nur 1000 User - ich hatte was von mehreren 1000 Usern geschrieben aber selbst bei 1000 Useren reicht es für ein oder zwei :pint: mehr ;)


    Gruß
    Dirk

    Rein logisches Denken verschafft uns keine Erkenntnis über die wirkliche Welt.
    Alle Erkenntnis der Wirklichkeit beginnt mit der Erfahrung und endet mit ihr.
    Alle Aussagen, zu denen man auf rein logischen Wegen kommt, sind, was die Realität angeht, vollkommen leer.
    Albert Einstein