User kann die Weiterleitungsadresse nicht selbst eintragen

    Hallo,


    seit wir R5 haben können die User im oeffentlichen Adressbuch in Ihrem pers. Personendokument keine Weiterleitungsadresse mehr eintragen.


    Sie haben Autorzugriff mit der Rolle User Modifier.


    Soll das so?

    die Rolle haben wir denen gegeben, weil wir dachten, dass sich dadurch das Feld editieren läßt. Es ist definitiv so, dass die User nur z.B. Internetkennwort oder Format für eingehende Mails eintragen können.

    Dann habt ihr aber kein Standard Domino Directory, denn hier ist es so dass die Rollen den Zugriff auf alle entsprechenden Dokumente erlauben und die im Dokument vorhandenen Leserfelder den Zugriff auf einzelne definieren.

    Zitat


    realbad schrieb:
    ... weil wir dachten ...


    *kopfschüttel* weil irgendjemand "denkt" haben nun ALLE Nutzer das Recht ALLE Personendokumente zu bearbeiten?


    Die Rollen [...Modifier] sind in versteckten Autorenfeldern hinterlegt und geben den Benutzern Bearbeitungsrechte auf die entsprechenden Dokumente des DD. Also wer z.B. die Rolle [UserModifier] bekommt kann anschließend alle Dokumente bearbeiten in denen diese in einem Autorenfeld steht. Da die Personenmaske diese Rolle automatisch in JEDES Dokument einträgt kann also jeder!


    Gedacht sind die Zugriffsrechte aber so:


    Alle Benutzer bekommen erstmal nur Autorenrechte OHNE Rollen. Damit kann ein Nutzer erstmal gar nichts außer Dokumente zu bearbeiten in denen er explizit berechtigt wird.


    Jemandem explizit Rechte zu geben heißt ihn im Admin-Reiter eines Dokuments entweder als Besitzer oder Administrator einzutragen. Beides sind prinzipiell gleichberechtigte Autorenfelder (keine Leserfelder).


    Wenn ein neuer Nutzer registriert wird so trägt Notes den Namen automatisch ins Besitzer-Feld ein, damit kann ein Nutzer (der ja wie oben erwähnt Autoren-Rechte haben sollte) sein EIGENES Personendokument (teilweise) bearbeiten.


    Hat man z.B. einen UHD (HelpDesk) so könnte man die HelpDesk-Mitarbeiter entweder in jedes Personendokument als Admin eintragen (viel zu aufwändig) oder ihnen einfach die Rolle [UserModifier] geben, die (wie oben erwähnt) in jedem Personendokument vorgegeben ist.


    Fassen wir zusammen:
    - jedes Dokument im Domino Directory hat 3 gleichberechtigte Autorenfelder: Besitzer, Administrator und ein verstecktes Zugriffsfeld mit einer Rolle.
    - Steht eine Person also in irgendeinem dieser Felder, entweder namentlich oder über die Rolle so hat diese Person Bearbeitungsrechte.
    - da alle 3 Autorenfelder gleichwertig sind ändert sich nichts am Umfang der Bearbeitungsrechte pro Einzeldokument wenn ich einer Person zusätzlich die Rolle gebe. Die Person steht dann nur in zwei statt nur in einem Autorenfeld.


    Damit eine Person, die ein Dokument bearbeiten darf, nicht jedes beliebige Feld ändern und damit u.U. Unsinn anstellen kann haben einige Felder einen zusätzlichen Schutz. Dieser Schutz ist ein Feldflag "Mindesten Editorzugriff zum Bearbeiten erforderlich". Wie die Bezeichnung schon aussagt kann man diese Felder nicht bearbeiten wenn man nicht Editor ist.


    Das Dümmste was man jetzt tun kann wäre jetzt allen Benutzern Editorrechte zu geben - ein Editor kann nämlich auch ohne Rollen und Autorenfelder ALLES bearbeiten. Der Editor ist das höchste Zugriffsrecht auf Dokumentebene das es gibt. Selbst ein Manager kann nicht mehr als ein Editor (bezogen auf Dokumente).


    Wenn man den Schutz jetzt für einzelne Felder unbedingt aufheben möchte (was ich nicht unbedingt empfehlen würde) so muß das entweder im Design oder in der Schablone des DD passieren, jenachdem wie man plant diesen Schutz bei künftigen Updates beizubehalten bzw. wieder neu zu setzen. Das Element wo dieser Schutz definiert wurde ist die Teilmaske $PersonInheritableSchema. Anschließend muß durch jemanden mit Editorrechten (!) einmalig (!) manuell oder per Agent jedes bereits gespeicherte Personendokument aktualisiert werden um den bereits im Backend vorhandenen Schutz der Felder aufzuheben.


    Viel Aufwand? Ja. Allerdings würde ich diese Änderung überhaupt nicht erst vornehmen. Ich begründe das auch gern.


    Was will ich denn erreichen durch die Freigabe des Feldes Weiterleitungsadresse? Vermutlich daß jemand z.B. während einer Abwesenheit (Urlaub?) eine private Adresse eintragen kann.


    Was erreiche ich tatsächlich? Ich zähle es mal auf:


    - sobald irgendwer inhouse den Notes-Namen als Mailempfänger einträgt ändert sich dieser in die externe Adresse. Toll wenn da auf einmal statt Dr. Hans Müller/Notes z.B. hansi69@hotmail.com steht *gg* Für jeden sichtbar und führt garantiert zu Verwirrungen (Hotline-Anruf: äähhmmm ich möchte eine Mail an den Chef schreiben aber jemand hat mein Notes gehackt - da trägt sich immer ein hansi69 ein?!?!?!)
    - es gehen außerdem keine Kopien mehr an den eigentlichen User (Stichwort Vertreterregelung oder Abwesenheitsagent - kann man jetzt voll vergessen)
    - weiter angenommen unser Hansi hat den oben erwähnten Hotmail-Account, wieviel Speicher hat der? 10MB? Hmmm...ich warte auf das erste größere Powerpoint...Maximale Mailgröße überschritten - Mail zurück an den Absender mit Vermerk natürlich daß Hansi69 nicht genug Platz hat.
    - unser Nutzer könnte auch eine Mail bekommen mit dem Vermerk "streng vertraulich - nicht an die Presse weiterreichen". Na nur gut daß emails jetzt übers Internet offen wie Postkarten laufen, ein neugieriger Mitarbeiter beim andern Mailprovider oder mal wieder ein Provider der versehentlich eine Sicherheitslücke beim Zugang hat (durch Phishing oder was weiß ich...).
    ... und und und.


    Alternative? Kein Problem. Ab Notes 6 ginge eine Mail-Regel die der Nutzer sich problemlos selbst anlegen kann mit Weiterleitung sonstwohin.
    Mit Notes5 geht das zwar noch nicht aber dort kann man ähnliches mit einem persönlichen Agenten erreichen. Oder mit etwas mehr Mühe durch Anpassung des Außer-Haus-Agenten und dessen Einstellungsdialog sogar fest einbauen. Hatte ich mal bei einem Kunden gemacht, selbst IBM hatte intern unter R4 das eine Zeitlang so gelöst). Macht gar nicht so viel Mühe und hat die ganzen netten negativen Nebeneffekte nicht.


    Einfach mal drüber nachdenken was ich so geschrieben hab ... in diesem Sinne - prost :pint:

    Carsten hat alle Hintergründe sehr treffend nd übersichtlich zusammengefaßt. Die Weiterleitungsadresse - aber auch privat gebastelte Agenten zur Weiterleitung von Kopien - sind nicht ganz ohne. Kleine Story aus dem wahren Leben dazu:


    Dr. Oberschlau hat sich einen Agenten gebastelt, der ihm von allen Mails eine Kopie an die private Mailadresse sendet. Die war bei t-online. t-online hatte an einem Wochenende einen Ausfall und schickte den Absendern eine Mail, in der die Unzustellbarkeit auf Grund eines technischen Defekts begründet wurde. Diese Mail leitet Dr. Oberschlau an sich (bei t-online) weiter, woraufhin t-online die besagte Mail sendet usw. ... Am Montag Morgen steckten in der MAIL.BOX des Routers 130.000 Mails, die die gesamte Zustellung im Unternehmen - vor allem aber ins Internet - für mehrere Stunden außer Gefecht setzte, denn natürlich kamen nach kurzer Zeit am Montag die Rückmeldungen von t-online, daß die Mails nicht zugestellt werden konnten, weil die t-online-Mailbox von Dr. Oberschlau voll war. Ein solches sich aufbauendes Pingpongspiel ist alles andere als lustig, denn du operierst dort in der externen MAIL.BOX am offenen Herzen der gesamten Unternehmens-Mailzustellung, wenn du beginnst, Mails in zitausender-Packs zu löschen.


    Eine dringende Empfehlung an Alle, die Agenten basteln, die auf das Ereignis "WENN NEUE MAIL EINTRIFFT" bzw. periodisch in Mailempfangenden Datenbanken (auch Mail-In-DBs!!) reagieren, ist die Einführung der folgenden Ausschlusszeile als If-Bedingung


    'Make sure that we received this message (DeliveredDate) and that it was not automatically generated by someone else' agent ($AutoForward)
    If note.HasItem("DeliveredDate") And (Not note.HasItem("$AutoForward")) And (Not note.SentByAgent) And FormName(0) <> "Return Receipt" Then
    Mail aufbereiten
    Call maildoc.AppendItemvalue("$AutoForward", True)
    ... Mail versenden
    End If


    Diese Zeilen sorgen z.B. in den OoO-Agenten dafür, daß sich die OoO-Agenten nicht gegenseitig Mails schicken.


    Und hier noch zwei Zeilen aus der Notes-Hilfe:
    Documents sent by a script contain an item called $AssistMail whose value is set to 1. When a script uses the Send method to mail a document, the method automatically creates this item on the document.