DRINGEND: Überwachungstool für User-Rechte ?

    Hi,


    gibt es ein Tool für Notes, dass die Berechtigungen, die ein Benutzer hat, möglichst komplett quasi ("realtime"), also auf Knopfdruck auflistetet ?


    Unsere Revision spinnt da ein wenig.


    Die möchten gerne wissen, auf welche Datenbanken auf welchen Servern ein User Zugriff hat und was er in den Datenbanken tun darf.


    Ich habe argumentiert, dass aufgrund der sehr komplexen Sicherheitsstruktur von Notes sich eine solche Aufstellung mit Bordmitteln nicht bewerkstelligen lässt und man zumindest immer die Informationen an mehreren Stellen zusammentragen muss.


    Beispiel:
    Ich habe den Datenbankkatalog, da sehe ich, wer laut ACL welchen Zugriff auf eine DB hat - aber nur, wenn er direkt eingetragen ist, der Zugriff über eine Gruppenzugehörigkeit wird nicht aufgelöst, ergo: In die Gruppen schauen.


    Oder:
    Jemand ist Editor für eine Datenbank, darf aber aufgrund von Masken-Zugriffslisten nicht alle Masken der DB verwenden.


    Von ECL will ich ja gar nicht erst reden ... oder dass ein User zwar in der ACL als Manager stehen kann, aber die Datenbank gar nicht erst öffnen darf, weil er schon auf den Server nicht draufkommt (Serverdokument ...).


    Also, kennt Ihr irgendwelche Tools, die hier möglichst viele Infos gebündelt darstellen können ?


    Ich muss bis 14.00 Uhr eine Antwort geben :roll: !


    gruß


    Der Ozzy

    Ich kenne kein Tool, dass Dir den effektiven Zugriff eines Users über Datenbanken des gesamten Systems rekursiv abbildet.


    Es gibt aber Möglichkeiten sich diese Revisionsanfragen leichter beantwortbar zu machen.


    1. Warum will die Revision das ? Bsp. Kein MA soll mehr Rechte besitzen, die er aufgrund seiner Funktion oder seines Arbeitsplatzes haben darf.
    - Lösung: transparentes Antragsverfahren; klare Kompetenzen; Regelungen für User kommt ins Unternehmen, wechselt Abteilung, verläßt Unternehmen.
    Damit kann schon mal sichergestellt werden, dass nur der Rechte besitzt, die er auch haben darf.


    2. Gruppensyntax im Adreßbuch.
    Organisationsgruppen von Zugriffsgruppen trennen.
    Zugriffsgruppen können Organisationsgruppen enthalten und Einzelpersonen.
    Organisationsgruppen werden gepflegt. Die Zuordnung von Zugriffen kann über die Zuordnung der Organisationsgruppen erfolgen.
    Zugriffsgruppen haben einen sprechenden Syntax (Datenbankname_Recht_Rolle)


    3. Keine Einzelpersonen in der ACL


    5. Auswertung
    1.Suche nach: In welcher Organisationsgruppe oder Zugriffsgruppe ist der MA
    2. Suche nach: In welcher Zugriffsgruppe ist die Organisationsgruppe


    Ergebnis: Liste der Zugriffsgruppen, erkennbar sind DB , Rechte, Rollen

    ___________________________________


    nail here [x] for new monitor!