Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
Hallo, wir haben hier ein etwas komplexes Rechtekonzept:
Wir haben mehrere Ordner angelegt, in denen jeweils die Server sind:
VERBINDUNGEN
- PROD
- QA
- INT1
- INT2
Die Berechtigungsgruppe INTERN hat zugriff auf den Ordner Verbindungen, und damit auch auf alle Unterordner.
Wir haben jetzt externe Kollegen, die Zugriff auf alles AUSSER PROD und QA haben sollen. Also habe ich die Gruppe EXTERN ebenfalls auf Verbindungen gesetzt, die Kollegen sehen alle Ordner. Auf die Ordner PROD und QA habe ich die Gruppe EXTERN auch explizit gesetzt, aber OHNE irgendwelche Rechte.
Damit sehen die externen Kollegen jetzt folgendes:
VERBINDUNGEN
- INT1
- INT2
Leider aber auch alle anderen User. das heißt, nur noch Admins sehen alle Ordner, sobald ein Ordner negative Rechte hat (also Gruppen bei denen bei Berechtigungen nichts angeklickt wurde), werden auch andere Rechte der User vergessen.
Ist das Problem bekannt? Und wie können wir es lösen?
Posts: 11,101
Threads: 100
Joined: Aug 2006
Reputation:
201
Ok, dem Problem gehen wir nach - die Lösung sollte aber ebenso einfach sein - einfach EXTERN nicht mehr auf PROD und QA zuordnen - damit hätte EXTERN auf diese Ordner auch keine Berechtigungen
Regards/Gruss
Oliver
Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
Ja, das Problem ist, dass wir in Wirklichkeit etwa 20 Ordner haben, von denen extern 2 nicht sehen soll.
Ich kann also entweder global EXTERN berechtigen, und bei 2 Ordner die Rechte explizit entziehen (was wir versucht haben), oder ich setze auf alle Ordner (18) die Rechte für extern.
Als Workaround habe ich jetzt 18 Ordnern die Rechte für die Gruppe Extern gegeben. Dabei ist mir ein weiterer Bug aufgefallen:
Jemand, der sich einloggt und in der Gruppe extern ist, sieht die Ordner und Server nicht. Seine Verbindungen sind leer, auch wenn er F5 drückt oder sich neu anmeldet.
Erst wenn ich bei mir als als Admin auf den Ordner klicke, dann auf "Eigenschaften" - Ordner - Berechtigungen, und dort einmal auf jeweils alle Gruppe unter "Standard Daten" und "Vererbte Daten" klicke, und dann das Eigenschaftsfenster schließe - dann sieht es auch der andere User, wenn er F5 drückt. Habe ich jetzt mit 18 Ordner getestet. Als wüde durch das anzeigen der Eigenschaften in der DB nochmals irgendetwas refreshed.
Posts: 11,101
Threads: 100
Joined: Aug 2006
Reputation:
201
Hm, also wir sind dabei das jetzt zu untersuchen - aber mein Lösungsansatz wäre folgender
Auf VERBINDUNGEN - alle Gruppen berechtigen! Diese Berechtigung per Default an alle Unterordner weitervererben (Inherit auswählen)
Auf den 2 Ordner die "unterschiedlich sein sollen" - bei Berechtigungen auf "Default Values" wechseln - dort dann nur die Gruppe "INTERN" zuordnen - damit sollte doch eigentlich genau das richtige Verhalten zu Stande kommen, oder nicht?!?
Die Berechtigungen werden nur beim Login vollständig ausgelesen und gesetzt - beim Testen also bitte nicht mit F5 testen, sondern immer neu anmelden an ASGRD!
Regards/Gruss
Oliver
Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
OK, teste ich mal. Eins ist jetzt auch aufgefallen:
Im Ordner PROD sind 10 Server. Auf einen der Server muss EXTERN Zugriff erhalten, nicht jedoch auf die anderen 9 Server im gleichen Ordner. Die Rechte auf dem Server sind gesetzt. Der User sieht es aber nicht, da er auf den Ordner PROD keinen Zugriff hat. Wie geht man damit um?
Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
Zu den Rechten, die beim Anwender nicht gesetzt werden, sondern erst wenn man sich als Admin die Rechte erneut anschaut, habe ich ein Video gemacht, ich kann es leider hier nur nicht hochladen (MP4).
Posts: 678
Threads: 34
Joined: Aug 2006
Reputation:
17
best regards,
Michael -- michael.scholz@asg.com --
Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
Hallo Herr Scholz, Upload ist fertig.
Posts: 11,101
Threads: 100
Joined: Aug 2006
Reputation:
201
Wir haben das Video gesehen - mir kommt als erstes in den Sinn ob Ihnen die Einstellung "Default / Inherit" an dieser Stelle bewusst ist - beim Öffnen der Einstellungen steht die Einstellung auf "Default Values" - dann klicken Sie auf "Inherited Values" - damit ändern sich die Berechtigungen - es wird immer NUR die aktive Einstellung genommen (es werden keine Daten kumuliert) - d.h. durch das Klicken auf Inherit und bestätigen mit OK wird gespeichert das ab jetzt die "Inherited Values" benutzt werden! Die Default-Values bleiben damit aussen vor - nur damit wir das gleiche Verständnis davon haben :-)
Zu dem 2. Problem mit 9 von 10 Servern nicht sehen - ja das ist nicht so einfach einzustellen - man müsste hier auf dem "Parent-Ordner" quasi eine READ-Berechtigung setzen und dann darunter die verschiedenen Berechtigungen setzen - vielleicht durch eine weitere Ordner-Ebene - dann könnte auf dieser Zwischen-Ebene die Berechtigung gesetzt werden - ich weiss, in sehr komplexen Szenarien stößt man damit schnell an die Grenzen - bzw. wird es dann sehr viel Aufwand alles einzeln zu berechtigen... Aber bisher haben wir das Kumulieren von verschiedenen Objekten (aus Ebenen) nicht realisiert, weil dies dann sehr komplex wird
Regards/Gruss
Oliver
Posts: 14
Threads: 5
Joined: Nov 2020
Reputation:
0
Aha, jetzt kommen wir dem Problem näher. Ich dachte, die Rechte werden kumuliert... OK, dann hat sich das schon mal erklärt, warum die Rechte anders sind... gut zu wissen.
Das mit den Ebenen dachte ich auch schon, dass es hier evtl. eine weitere Ebene geben müsste. Ich wollte nur vorher wissen, ob es anders geht.