Rechte für Archive

Wie kann ich einstellen, das User1 nicht in das Archiv von User2 sehen kann?

MfG; Lenkerman

Hi!

Die Forensuche hätte dir gesagt, dass du einfach auf Filesystem-Ebene die Rechte vergeben kannst.

Aber Achte darauf, dass der System-User alle Rechte behält, sonst kann David die Nachrichten nicht mehr in den Archives speichern.

Die Gruppe DVG-SERVERNAME enthält alle David-User. Die Gruppe muss auf einige Verzeichnisse in jedem Fall Vollzugriffsrechte haben.

In der KB von Tobit gibts auch einige Artikel dazu.

Gruß

Björn

Rechtevergabe unter Tobit

Wie werden die Zugriffsrechte unter Windows NT/2000/XP vergeben?

1. Warum Rechtevergabe für DvISE?
Eine strukturierte Rechtevergabe verhindert, dass alle Benutzer auf die gesamten vorhandenen Daten zugreifen können. Es ist möglich, bestimmten Benutzern den Zugriff auf bestimmte Verzeichnisse und Dateien zu verweigern.

Die hier angesprochene Rechtevergabe bezieht sich vor allem auf das Tobit InfoCenter und die Programmabläufe des DvISE-Systems. D.h., es wird festgelegt, welche Archive die jeweiligen Benutzer im Tobit InfoCenter sehen und bearbeiten können und welche Aktionen Sie im Einzelnen ausführen können. Fehlen den Benutzern beispielsweise die Zugriffsrechte auf bestimmte Verzeichnisse, so können ggfs. keine eMails mehr empfangen oder versendet werden oder die Benutzer bekommen einige Archive im Tobit InfoCenter nicht angezeigt.
Die allgemeine Rechtevergabe für das DvISE-System wird mit dem Benutzer »DVU-[Servername]« und der der Gruppe »DVG-[Servername]« realisiert. Der sogenannte DVU-User (David Services User) startet die DvISE Dienste und repräsentiert die Rechte des DvISE Service Layers. Damit das System einwandfrei arbeiten kann, wird dieser Benutzer automatisch Mitglied der Gruppe »Administratoren«. Diese Gruppe erhält im Folgenden »Vollzugriff« auf die gesamten Verzeichnisse des DvISE-Systems.
In der Gruppe »DVG-[Servername]« (David Valid User Group) hingegen sind die DvISE-Benutzer zusammengefasst. Alle DvISE-Benutzer müssen Mitglieder dieser Gruppe sein, was jedoch im Regelfall automatisch geschieht, sobald sich dieser Benutzer am System anmeldet. Sie ermöglicht eine komfortable Rechtevergabe für alle Verzeichnisse und für alle Benutzer, die dieser Gruppe angehören.

2. Grundvoraussetzungen
Die Festplattenpartition auf der Ihr DvISE-System installiert wird, muss NTFS-formatiert sein. Erst dieses Format ermöglicht eine Benutzerverwaltung und deren Zugriffsrechte wie sie für den Betrieb Ihres DvISE-Systems benötigt wird. Falls diese Voraussetzungen nicht gegeben ist, müssen Sie die Partition zu NTFS konvertieren.
Beachten Sie, dass die Rechtevergabe für die DvISE-Benutzer nicht im DvISE Administrator gemacht wird, sondern dass die Rechtevergabe für die DvISE-Benutzer auf Betriebssystemebene erfolgen muss. Dazu öffnen Sie den Windows Explorer und gehen zum »DAVID«-Verzeichnis, welches sich im Regelfall unter »C:\DAVID« befindet. Die Rechtevergabe auf das Verzeichnis erfolgt über die »Eigenschaften« des Verzeichnisses. Eine Erleichterung des Zugriffs auf die entsprechenden Verzeichnisse auf Dateiebene stellt das Tool DVPROP.EXE dar. Am Ende des Textes finden Sie unter "Tipp" detailliertere Informationen hierzu.

3. Allgemeine Rechtevergabe
Im Folgenden finden Sie eine Aufstellung der Minimalrechte, die den Benutzern gegeben werden müssen, um die Möglichkeiten des DvISE-Systems effektiv nutzen zu können.

3.1 Rechtevergabe unter Windows NT 4
Unter »Eigenschaften -> Sicherheit -> Berechtigungen« können Sie die Rechteverwaltung für das jeweilige Verzeichnis vornehmen.

Zu Beginn entfernen Sie den Benutzer »Jeder« aus der Rechteverwaltung des »DAVID«-Ordners. Dieser würde bewirken, dass alle Benutzer auf das gesamte Verzeichnis und dessen Unterverzeichnisse zugreifen können. Jeder Benutzer könnte demnach z.B. Ein- und Ausgang der anderen Benutzer einsehen. Stattdessen erhält jedoch die Gruppe »Administratoren« Vollzugriff auf das Verzeichnis »DAVID« und alle Unterverzeichnisse. Überprüfen Sie, ob der Benutzer "DVU-[Servername]" der Gruppe "Administratoren" angehört, damit die Rechte nicht zusätzlich für diesen Benutzer vergeben werden müssen. Durch die Gruppenzugehörigkeit bekommt er diese Rechte automatisch. Des weiteren kann auf Wunsch auch einer Gruppe, dessen Mitglieder ebenfalls Vollzugriff auf das David-Verzeichnis und dessen Unterverzeichnisse haben sollen, an dieser Stelle die Berechtigung dazu gegeben werden.

Zusätzlich zu dem oben erwähnten Vollzugriff für die Gruppe »Administratoren« und den Benutzer »DVU-[Servername]« geben Sie folgenden Gruppen und Benutzern die angegebenen Rechte:
Verzeichnis »DAVID«: DVG-Gruppe bekommt das Recht »Lesen«
Verzeichnis »DAVID\APPS«: DVG-Gruppe bekommt das Recht »Lesen«
Verzeichnis »DAVID\APPS\FAXWARE«: DVG-Gruppe bekommt das Recht »Lesen«
Verzeichnis »DAVID\APPS\FAXWARE\OUT«: DVG-Gruppe bekommt das Recht »Lesen«
Verzeichnis »DAVID\APPS\FAXWARE\OUT\API«: DVG-Gruppe und ERSTELLER-BESITZER bekommen das Recht »Vollzugriff«
Verzeichnis »DAVID\CLIENTS« (inkl. Unterverzeichnisse): DVG-Gruppe bekommt das Recht »Lesen«
Verzeichnis »DAVID\ARCHIVE«: DVG-Gruppe bekommt das Recht »beschränkter Verzeichniszugriff: Ausführen«
Verzeichnis »DAVID\ARCHIVE\USER«: DVG-Gruppe bekommt das Recht »beschränkter Verzeichniszugriff: Ausführen«
Verzeichnis »DAVID\ARCHIVE\USER\[USER-ID]« (inkl. Unterverzeichnisse): Statt der Gruppe »DVG-[Servername]« erhält der entsprechende Benutzer »Vollzugriff« auf "sein" Archiv. Die User-ID der jeweiligen Benutzer können Sie im DvISE Administrator unterhalb von »Konfiguration -> Benutzer« auslesen.

Wenn die Gruppe »DVG-Servername« ebenfalls Vollzugriff auf die einzelnen Benutzer-Archive hätte, wäre es den Benutzern möglich, auf die persönlichen Archive der anderen Benutzer zuzugreifen.

Des weiteren können Sie die Rechte frei vergeben, um einem Benutzer ein bestimmtes Archive im Tobit InfoCenter zur Verfügug zu stellen.

3.2 Rechtevergabe unter Windows 2000/2003 und Windows XP Professional
Unter »Eigenschaften -> Sicherheitseinstellungen« finden Sie die Rechteverwaltung für das betreffende Verzeichnis. Beachten Sie, dass Sie beim Betrieb von Windows XP zuerst die "Einfache Dateifreigabe" deaktivieren müssen. Diese Einstellung finden Sie unter »Ordneroptionen -> Ansicht -> Erweiterte Einstellungen -> Einfache Dateifreigabe verwenden (empfohlen)«. Entfernen Sie den Haken, um diese Option zu deaktivieren.
Verzeichnis »DAVID«:
a) Registerkarte "Freigabe": Geben Sie hier den Personenkreis an, der das »DAVID«-Verzeichnis grundsätzlich sehen kann. Standardmäßig ist das »Jeder«. Sie können jedoch auch den Personenkreis einschränken, indem Sie z.B. »Administratoren« und »Domänen-Benutzer« angeben.
b) Registerkarte "Sicherheitseinstellungen": Entfernen Sie den Benutzer »Jeder«. Deaktivieren Sie die vererbbaren Berechtigungen durch entfernen des Hakens im entsprechenden Kästchen. Die folgende Abfrage bestätigen Sie mit "Kopieren". Nun geben Sie der Gruppe der »Administratoren« Vollzugriff. Die Gruppe »DVG-[Servername]« muss ebenfalls hinzugefügt werden. Gehen Sie über "Erweitert..." und geben Sie dieser Gruppe für "Diesen Ordner, Unterordner und Dateien" die Berechtigungen "Ordner auflisten/Daten lesen" und "Attribute lesen".
Verzeichnis »DAVID\ARCHIVE«:
Die Rechte wurden automatisch wie für das »DAVID«-Verzeichnis vergeben. Deaktivieren Sie jedoch auch hier die Vererbung durch entfernen des Hakens im entsprechenden Kästchen. Die folgende Abfrage muss mit "Kopieren" bestätigt werden. Fügen Sie unter "Erweitert..." die Berechtigung "Berechtigungen lesen" für die Gruppe »DVG-[Servername]« hinzu und nehmen Sie die Berechtigung "Ordner auflisten/Daten lesen" heraus, damit im Tobit InfoCenter auch nur die Archive angezeigt werden, auf die der einzelne Benutzer Rechte hat. Die Rechte für die Unterverzeichnisse »ADDRESS«, »GROUP« und »RESOURCE« müssen jedoch erhalten bleiben.
Verzeichnis »DAVID\ARCHIVE\USER«:
Die Berechtigungen für dieses Verzeichnis wurden ebenfalls automatisch übernommen und bedürfen keiner Änderung. Einen Sonderfall stellt das persönliche Verzeichnis des Benutzers dar (»DAVID\ARCHIVE\USER\[USER-ID]«). Auf dieses Verzeichnis darf die Gruppe »DVG-[Servername]« keinen Zugriff erhalten. Deaktivieren Sie anschließend erneut die Vererbung. Tragen Sie statt der DVG-Gruppe nur den jeweiligen Benutzer ein. Die User-ID der jeweiligen Benutzer können Sie im DvISE Administrator unterhalb von »Konfiguration -> Benutzer« auslesen. Die Gruppe der »Administratoren« behält die Zugriffsrechte.
Verzeichnis »DAVID\CLIENTS«:
Auf dieses Verzeichnis benötigt die Gruppe »Administratoren« »Vollzugriff«. Die DVG-Gruppe und der Benutzer »Jeder« erhalten das Recht "Lesen/Ausführen". Unter "Erweitert..." müssen keine weiteren Einstellungen vorgenommen werden.Falls Sie mit einer Domänenstruktur arbeiten, empfiehlt es sich statt dem Benutzer »Jeder« die Gruppe »Domänen-Benutzer« einzutragen.Soll dem jeweiligen Benutzer ermöglicht werden, das Tobit InfoCenter selber zu installieren, muss dieser Benutzer an seiner Workstation als Hauptbenutzer eingerichtet werden.
Verzeichnis »DAVID\APPS\FAXWARE\OUT\API«:
Auch hier behält die Gruppe der »Administratoren« das Recht »Vollzugriff«. Der Gruppe »DVG-[Servername]« geben Sie alle Berechtigungen außer »Vollzugriff«. Eine Feineinstellung unterhalb von "Erweitert..." ist hier nicht erforderlich.

Tipp:
Im Verzeichnis »DAVID\UTIL\WINDOWS« liegt das Tool DVPROP.EXE. Wenn Sie diese Datei ausführen, haben Sie bei den Archiven im Tobit InfoCenter die Möglichkeit über einen Rechtsklick "Advanced Properties" auszuwählen. Über diese Funktion rufen Sie direkt die Registerkarte "Eigenschaften" des entsprechenden Archives auf Betriebssystemebene auf. Sie haben somit direkten Zugriff auf die "Sicherheitseinstellungen" jedes einzelnen Archives im Tobit InfoCenter und können so jederzeit Feinabstimmungen vornehmen, wenn z.B. ein Benutzer zusätzliche Rechte erhalten soll.

Hinweis:
Eine fehlerhafte Rechtevergabe kann ggfs. zu Systemabstürzen führen!

Kurze Anmerkung meinerseits, nachdem ich trotz obiger Beschreibung stundenlang den Fehler gesucht habe:

In den Sicheheitseinstellungen hatte noch die Gruppe "SERVER\Benutzer" Leserechte auf dem Ordner ARCHIVE und demzufolge konnten alle Nutzer alle Daten einsehen. Nach Entfernen der Gruppe funktionierts jetzt. :]

Hallo Jozsi,

ja grundsätzlcih geht David so vor, dass er eine Benutzergruppe anlegt und alle Davidnutzer dieser angehören.

Möchtest du nun beispielsweise das nur ein Davidbenutzer zugriff auf ein bestimmtes Archive hat, so musst du zunächst die David-Benutzergruppe entfernen und anschließend nur diesen einen Benutzer in den Sicherheitseinstellungen zuweisen.

Sollte nur eine kleine Anmerkung zum Aufbau des Rechtessystems sein.

Gruß Markus

Hallo Markus,

gemeint war nicht die Gruppe DVG-LEXSRV sonden die Gruppe für die Benutzer des Servers, geerbt aus der Domain, die heisst LEXSRV\Benutzer. Diese zweite Gruppe hatte ebenfalls Leserechte, ich hab sie kurzerhand komplett entfernt.