Beiträge von CarstenH

    Anonymous ist keine auswählbare Person sondern ein reserviertes Schlüsselwort, vergleichbar mit -Default-


    Auf Hinzufügen klicken und das Wort "Anonymous" (ohne Anführungszeichen) in das Eingabefeld schreiben. Anschließend den Benutzertyp auf Unbestimmt setzen und den gewünschten Zugriff auswählen.


    HTH

    Carsten

    Aus der Erklärung erschließt sich für mich nicht, wie und durch wen der Nutzer im 1. Schritt ein temporäres PW erhält.

    Ich rate mal, dass ein Admin/Hotline-MA einfach das HTTP-PW im Personendokument ändert damit der Nutzer anschließend in die Reset-DB kommt.

    Das mag für euch als Workaround (anstelle einer echten zweiten Authentifizierung für HTTP per Verzeichnisverwaltung) vielleicht funktionieren aber ändert nichts daran, dass das nichts mit dem zuvor beschriebenen temporären Passwort zu tun hat. Ihr nutzt simpel eine Lücke im Design. Genauso könnte ein Admin auch gleich ein temporäres PW mit seinem Admin-Client über den ID-Vault vergeben und dem Nutzer den Umweg über die Reset-DB komplett ersparen.


    Die Vorgehensweise bleibt trotz eures "Tricks" unverändert: mit Hilfe des Agents in der Reset-DB wird immer nur ein temporäres PW generiert. Keine Ausnahmen.


    Die Reset-DB macht nur dann als echte Self-Service-DB Sinn, wenn eben kein Admin für den ersten Schritt benötigt wird.


    HTH

    Carsten

    Die Anwendung trägt aus gutem Grund den Titel "Password Reset" und nicht "Password Change". Ein Kennwort zurückzusetzen ist eine völlig andere Maßnahme als ein Kennwort einfach nur zu ändern.


    Eine "normale" Passwortänderung kann nur jemand vornehmen, der

    - über einen Zugang verfügt

    - das bisherige Kennwort kennt (!)

    - sich zuerst (mit diesem Kennwort) authentifiziert hat

    - das neue Kennwort den (zentralen oder in der ID vermerkten) Kennwortregeln entspricht

    - eine im verwendeten Client dafür technisch vorgesehene Methode zur Änderung verwendet

    Weitere Besonderheiten/Einschränkungen sind hierbei durch ID-Vault, Policies und verwendeten Client möglich.


    Das Zurücksetzen eines Passworts können hingegen alle (technisch) speziell berechtigte Autoritäten auslösen, wenn dies (organisatorisch) erforderlich ist.

    - auch ohne Kenntnis des bisherigen Kennworts

    - im Zweifel gegen den Willen/die Kenntnis des Nutzers (!)

    - das temporäre Kennwort unterliegt nicht den normalen Kennwortregeln (!)

    - das Zurücksetzen ist ohne ggf konfigurierte 2FA möglich - eine anschließende Anmeldung hingegen nicht

    Es wird also technisch und organisatorisch berechtigten Personen (oder Diensten, wie z.B. einem Agenten in einer Anwendung) die Möglichkeit gegeben, ein nicht bekanntes durch ein bekanntes Kennwort zu ersetzen. Bei der ersten Benutzung wird der Eigentümer aber aus gutem Grund gezwungen, sich selbst ein - nur ihm bekanntes - Passwort zu vergeben, das dann wieder allen oben aufgeführten Regeln entspricht.


    Kurzfassung:

    Works as designed.


    HTH

    Carsten

    Dafür muss in den DB-Eigenschaften der Mail-Db's, Reiter Gestaltung (4. Tab) die Eigenschaft "Übergeordnetes Dokument bei Antwort o. Weiterleitung markieren" gesetzt sein.

    Aus irgendeinem Grund scheint die im aktuellen Template nicht mehr standardmäßig aktiv zu sein, am besten also dort auch gleich setzen.


    HTH

    Carsten

    Software Installationen sollten nur mit deaktiviertem OnAccess Scannern durchgeführt werden, das gilt nicht nur für Notes/Domino.


    Ein Sicherheitsrisiko entsteht dadurch nicht - die Installationspakete scannt man ja bereits vorher, entweder beim Download durch die Company Firewall oder durch den OnAccess auf dem Rechner, der den Download durchführt.


    Im laufenden Betrieb gelten wieder andere Regeln aber auch hier gilt die Empfehlung, dass der OnAccess Scan für das Verzeichnis Notes/Domino und insbesondere das gesamte Data-Verzeichnis zu deaktivieren ist. Welche Verzeichnisse ausserdem auszunehmen sind hängt vom jeweiligen System und dem Speicherort der Verzeichnisse ab. Hier noch ein Link auf einen bereits älteren, aber trotzdem noch gültigen KnowledgeBase Eintrag dazu, auch McAfee wird explizit weiter unten erwähnt.


    Best Practices and recommendations for exclusions in Domino Server when running Operating System Antivirus (hcltechsw.com)


    HTH

    Carsten

    Hallo Hannes,


    ich habe jetzt nochmal etwas weiter gebuddelt und tatsächlich noch eine Kopie des originals Artikels auf einem russischen Server gefunden (und mir lokal abgelegt, ich versuche später mal das Archiv mit meinem Crawler zu sichern, mal sehen wie weit ich komme). Wie auch immer. Darin ist der ursprünglich mit R5 eingeführte Algorithmus, mehr oder weniger, komplett von Stufe 1 bis 16 mit Beispielen erläutert. Hier der Link:

    http://second-ext.inttrust.ru/…6ABC0011E4F0?OpenDocument


    IBM hat das später für die KnowledgeBase mehrfach gekürzt. Die letzte Kürzung (aka Manager-PowerPoint-Fassung) hatte ich weiter oben ja schon verlinkt, die erste Kürzung war zwar noch etwas umfangreicher aber auch schon - im Vergleich zum Original - extrem zusammengeschnitten. Auch die habe ich jetzt bei HCL noch gefunden:

    https://support.hcltechsw.com/…b1b4ff890a2f48661cd4bcbdf


    PS: Vielleicht hat ja irgendwer noch eine Replik der LDD Datenbanken wie die today.nsf (Rudi vielleicht?). Das war ja mal über das notes.net alles Public verfügbar.


    PPS: HCL (hallo Thomas Hampel, liest du hier mit? ;) könnte ruhig mal die ganzen LDD Artikel irgendwo als Archiv zugänglich machen, man lernt in den 20 Jahren alten Artikeln mehr als in 10 Minuten Youtube von heute und viele Inhalte haben bis heute nichts an Aktualität verloren, im Gegenteil. Wenn man bedenkt dass all diese Sachen schon in Notes enthalten waren als andere Hersteller gerade mal Laufen gelernt haben...


    PPPS: vielleicht finde ich ja vor meiner Rente noch Aufgaben oder AG, wo solche Dinge wertgeschätzt werden. Man darf ja noch träumen.


    VG

    Carsten

    Simpel erklärt: Durch Merkmale wie Groß- und Kleinschreibung, Ziffern, Sonderzeichen und erhöht man den Qualitätswert bei gleichbleibender Länge des Kennworts. Durch die Erfüllung weiterer Eigenschaften erhöht man den Zähler noch weiter, z.B.

    - Kennwort (-teile) nicht im Wörterbuch enthalten

    - keine Verwendung von Folgen wie abcd, 1234, aaaa, bbbb, asdf

    - eigener Nutzer/Firmen/Domain-Name (oder Teile) nicht enthalten

    (...)

    Ich hatte mal eine detaillierte technische Beschreibung aus Iris-Zeiten, konnte die aber auf die Schnelle nicht finden.


    Die (derzeit) offizielle Kurzerklärung hier: The password quality scale (hcltechsw.com)


    HTH

    Carsten

    Ich habe 2 Datenbanken, in DB 1 sind Daten die ich in der DB 2 in einer Ansicht haben will.


    Bisher habe ich in der DB1 die Ansicht erstellt und in der DB2 über die Gliederung darauf zugegriffen.

    (berechnetes Element - Server und DB angeben - und Ansicht angeben)


    Das ist das Grundprinzip von Notes und damit einer der Unterschiede zu relationalen Datenbanksystemen anderer Hersteller.

    Beim Zugriff mit Notes Clients ist der von dir beschriebene Weg die einzige Möglichkeit, wenn man nicht zumindest Teile der Daten redundant in beiden DB's halten will oder kann.


    Eine View ist technisch ein Filter und kann nur die Daten anzeigen die sich auch tatsächlich in der DB mit der View befinden.


    Etwas anders sieht es aus wenn man zusätzliche Produkte wie HEI (früher LEI = Lotus Enterprise Integrator) im Einsatz hat oder diese in der Lizenz enthalten sind.

    Damit kann man (z.B.) virtuelle Views bauen die dann tatsächlich Daten auch aus anderen Datenbanken, ja sogar SQL-Datenbanken, CSV-Dateien, oder einen Mix aus allem anzeigen können.


    HTH

    Carsten

    Hallo Els,


    in einem ähnlich gelagertem Fall bei einem Kunden (hier ging es zwar um Fax- und SMS-Empfänger aber ebenfalls um das Problem einer zu großen Teilnehmerliste bei gleichzeitig angebundenem externen System, das nur das SendTo-Feld auswerten konnte) bestand der Workaround aus zwei Schritten:


    1) die Verwendung (oder einmalige Erstellung einer zusätzlichen) verkürzten Alias-Adresse für alle Empfänger;

    2) die Erstellung einer Gruppe mit diesen Adressen je Vorgang (die vor dem Versenden natürlich aufgelöst wird).


    Die Gruppe dient genaugenommen nur der Erleichterung bei der Kontrolle, da man so die tatsächliche Größe des Namensfelds relativ simpel im Auge behalten und die Gruppenmitglieder in der verkürzten Fassung und die Real-Namen in einer Liste zum Abhaken nebeneinander anzeigen kann, technisch notwendig ist die Gruppe ansonsten nicht, sie wird ja vor dem Versand auf jeden Fall ausgepackt.


    Die verkürzten Alias-Adressen sind hier schon etwas anspruchsvoller, ohne weitere Kenntnis des Systems, der Anzahl der Nutzer insgesamt oder der Art der Eingeladenen (intern, extern oder mixed) ist es schwer Tipps zu geben, daher mal allgemein.


    a) Notes-Adressen lassen sich i.d.R. sehr gut verkürzen, so wird bei voller Funktionalität z.B. aus:

    Vorname Name/Berlin/MyCompany @ MYCOMPANY (CN=Vorname Name/OU=Berlin/O=MyCompany @ MYCOMPANY)

    Vorname Name @ MYCOMPANY


    Voller, hierarchischer Name= 50 Byte, Verkürzter Name=25 Byte - Einsparung im Beispiel 25 Byte je Person (ca. 50% = Verdopplung der möglichen Empfängeranzahl).


    Wohlgemerkt - der Kalender expandiert in dieser Form NICHT automatisch den Namen und innerhalb von Notes funktioniert trotzdem alles wie immer.


    Auch das ominöse externe Tool spielt hier eine, wenn auch nachgelagerte, Rolle: werden die Einladungen z.B. erst nach MIME konvertiert müssen weitere Überlegungen/Tests her um den zur Verfügung stehenden Platz und die Methoden auszuloten. So sind weitere Tools wie iQ-Suite und Co. gern hilfreich wenn es um automatische Anpassungen von Mails auf Serverebene geht. Wie gesagt - das Thema wird schnell sehr speziell.


    Ich hoffe, ich konnte einen Ansatz zur Problemlösung liefern.

    Frohe Ostern

    Carsten

    Das sind eigentlich zwei Themen:


    1) Programmatisch einen Link-Hotspot erzeugen.

    2) Einen Dateinamen in eine zulässige (und funktionierende) URL konvertieren.


    zu 1)

    In Formelsprache kenne ich nichts, was du hier verwenden kannst.

    Mit Script kann man schon einiges hinbekommen, allerdings befinden wir uns hier im Richtext-Umfeld wo Änderungen oft erst nach einem Zwischenspeichern und neu Öffnen sichtbar werden. Eine funktionierende Basis habe ich bei Atnotes gefunden, das würde ich mit einem Datei-Dialog kombinieren in dem der Nutzer eine Datei für den Link-Hotspot auswählen kann. Allerdings müssen Pfad+Dateiname noch so angepasst werden, dass sie als Link (im Browser) funktionieren.


    Quelle: URL-Link per Script erstellen? (atnotes.de)


    zu 2)

    In Formelsprache kann man es mit @URLEncode versuchen.

    Mit Script könnte man, wenn man ohne Evaluate arbeitet, die Sonderzeichen escapen. Hier habe ich auch eine auf den ersten Blick passende Funktion gefunden die nach ungültigen Zeichen (" ""#%&/:;<=>?@[]^`{|}~+") im übergebenen Dateinamen sucht und diese escaped. Kann man bei Bedarf noch weiter ausbauen.


    Quelle: URL Escape and Unescape in LotusScript (techtarget.com)


    HTH

    Carsten

    Der einzige Tipp, den ich Anwendern im Zusammenhang mit Dateinamen (Ordnern) und Passwörtern immer wieder gebe:

    Benutzt die Buchstaben des Alphabets und Zahlen aber nach Möglichkeit keine Umlaute, Leerzeichen oder Sonderzeichen außer Binde- und Unterstrichen!


    Wenn man das oft genug wiederholt merken sich die Anwender das.


    Auch wenn manche Sonderzeichen in einigen Kontexten heute funktionieren - ein Verstoß gegen obige Regel führt nicht zur Frage ob es ein Problem geben kann sondern nur wann.


    HTH

    Carsten

    Moin,


    zu prüfende Einstellungen:


    - Serverkonfigurationsdokument unter Router/SMTP > Nachrichtenrückruf > Rückruf von Nachrichten mit Ungelesen-Status zulassen: Gelesen und ungelesen

    - Zeit darf noch nicht überschritten sein. Serverkonfigurationsdokument ebenda, Rückruf von Nachrichten nicht zulassen, die älter sind als: xxx Tage

    - Empfänger darf dem Rückruf nicht widersprochen haben (Empfängermailbox > Vorgaben > Mail > Allgemein > Ansichts- und Ordnerverwaltung: Zulassen, dass andere Personen Mailnachrichten zurückrufen dürfen, die an mich gesendet werden


    Ggf. gelten noch weitere Einschränkungen, wie z.B. Mail darf noch nicht gelöscht worden sein, Mailversand erfolgte an verschachtelte Gruppe, Empfänger hat Mails via DD umgeleitet usw.


    HTH

    Carsten

    Moin,


    mir fallen spontan mehrere Ansätze dazu ein (in best-to-worst Reihenfolge):


    a) der Mail schon auf der Sender-Seite ein Header-Feld mitgeben, das die Mail als "bitte nicht automatisiert beantworten" kennzeichnet, die Header auto-generated oder auto-forwarded sorgen z.B. dafür, dass der OOO diese Mails ignoriert;


    b) mit einem Script den Sender in die Exception Liste aller OOO Profile verteilen;


    c) über die Maske (Out Of Office Profile) den Absender permanent in das Feld IgnoreFromList oder einen fixen Teil des Betreff-Textes ins Feld IgnoreSubjectPhrase einfügen.


    Auf einigen der von mir betreuten Systeme löse ich das mittels Variante a) über einen Action-Job in der iQSuite, ich füge Mails wie Newslettern, Daemons & Bounces, Fax-Mails, verpasste Anrufe etc. absichtlich das Feld $AssistMail mit dem Wert "1" hinzu (was die Notes Entsprechung zum auto-generated ist) was zur Folge hat, dass weder OOO noch irgendwelche Agenten standardmäßig auf diese Mails reagieren.


    Auch noch erwähnenswert: die Memo Maske bietet über die (in Teilmasken und Script verbauten) Zustelloptionen den Punkt "Keine Benachrichtigung an mich senden, wenn Empfänger den Abwesenheitsagenten ausführen" was zu einem Feld $AutoForward = "1" in der Mail führt, was dem Header auto-forwarded bei Internetmails entspricht.


    HTH

    Carsten

    Hallo Thomas,


    der Text wird, je nach Konfiguration des OOO, an zwei verschiedenen Stellen erzeugt.

    Die Konfiguration findest du im passenden Serverkonfigurationsdokument unter Router/SMTP > Erweitert... > Steuerung > Abwesenheitstyp: Service | Agent


    1) Im "alten" Agent-Modus: hier kommt der Text (über das Mailtemplate) direkt aus der jeweiligen Maildatenbank. Dort könnte man ihn bei Bedarf auch für einzelne oder alle Nutzer anpassen.

    2) Im Modus Service: hier generiert der Router die Benachrichtigungen, den Text setzt er aus den Profildaten des jeweiligen Nutzers (aus der jeweiligen Maildatenbank) und fest vorgegebenen String-Ressourcen (eine DLL auf dem Server) zusammen. Hier ist nur die Anpassung des Datums vorgesehen, einen einfach auszutauschenden Platzhalter für den Betreff hingegen gibt es so leider nicht.


    Für dich heißt das, dass du entweder auf den Modus "Agent" wechseln musst, dann hast du alles komplett in der Hand, brauchst aber jemanden, der sich ein wenig mit Entwicklung und Co. auskennt. Oder du gehst auf ein Drittanbieterprodukt (z. B. GBS iQ.Suite), da braucht man weniger Programmierung und mehr logisches Denkvermögen um die Konfiguration entsprechend vorzunehmen.


    Noch ein Hinweis: der Wechsel von Agent zu Service (und vice versa) bedeutet in der Regel, dass man gerade aktive OOO-Einstellungen aller Nutzer damit aushebelt und diese neu aktivieren muss.


    HTH

    Carsten

    Das Protokoll ist auf 64k begrenzt. Wie weit das zurück reicht hängt von der Menge der Aktivitäten und der Länge der Namen der Akteure ab.

    Weiterhin führt jede Replik ihr eigenes Protokoll, das demzufolge nicht mit repliziert.


    Unabhängig von den Aktivitätsprotokollen der jeweiligen Repliken kann man auch im Serverlog Zugriffe finden (Datenbank\Benutzung), hier gibt es kein 64k-Limit.

    Stattdessen können die Serverlogs beliebig aufbewahrt (bzw. archiviert) werden. Hier werden allerdings nur allgemein Schreib- und Lesevorgänge unterschieden statt den Details in den Aktivitätsprotokollen.


    Wer mehr braucht: umfangreichere Details sowie Analyse- und Aufbewahrungstools bieten z.B. die Ytria Tools.


    HTH

    Carsten

    Kann dies vielleicht an der optischen Einstellung hängen wie usebasicnotes=1 in der Ini?

    Korrekt vermutet. Die Funktionalität Kalender-Overlays, also das temporäre Einblenden/Übereinanderlegen mehrerer Kalender, funktioniert nur mit dem Standard-Client und selbst dort nur an speziell dafür programmierten Stellen.


    Der Basic-Client unterliegt hier leider den üblichen Beschränkungen von Notes, eine davon lautet: Views (also Ansichten, wie auch der Kalender eine ist) sind lediglich Filter, eine View kann daher nur Daten anzeigen die sich direkt aus den Dokumenten der Datenbank ergeben. Es sind keine relationalen Daten über Dokumentgrenzen hinweg oder Inhalte anderer Datenbanken damit darstellbar.


    Die Frage wäre, ob diese Nutzer nicht auf den Standardclient umsteigen können. Alternativ ginge sicher auch ein Import aber das klingt jetzt nach deutlich mehr Aufwand als Nutzen. Vielleicht findet sich auch eine Drittanbieter-Datenbank für kleines Geld die mit dem Basic-Client funktioniert.


    Carsten