[Gelöst] Berechtigungskonzept erstellen
14. Juni 2012 16:51
Hallo,
ich muss ein Berechtigungskonzept erstellen. Im Moment sind alle User Superuser.
Hat jemand schon mal sowas gemacht und kann mir ein Beispielkonzept geben, oder irgendwelche Infos wie ich das am besten angehe?
Gruß
Ralf
ich muss ein Berechtigungskonzept erstellen. Im Moment sind alle User Superuser.
Hat jemand schon mal sowas gemacht und kann mir ein Beispielkonzept geben, oder irgendwelche Infos wie ich das am besten angehe?
Gruß
Ralf
Zuletzt geändert von ralf5 am 22. Juni 2012 20:27, insgesamt 1-mal geändert.
Re: Berechtigungskonzept erstellen
14. Juni 2012 19:04
Grundsätzlich gibt es drei Basis-Konzepte:
Wie man die Rollen definiert ist von der Unternehmensgröße abhängig.
Prinzipiell gilt: Je genauer eine Rolle abgegrenzt ist, umso präziser kann man die Rechte steuern.
Beispiel: Für einen im Verkauf tätigen Benutzer sollte man lieber die zwei Rollen VK-ANLEGEN und VK-BUCHEN zuordnen, anstatt einfach nur eine Rolle VERKAUF zu definieren.
So kann man für die dort tätigen Benutzer festlegen, ob sie Belege nicht nur anlegen/bearbeiten dürfen, sondern ob sie die auch buchen dürfen.
Ich hoffe, das Prinzip ist verständlich.
- Alle Objekte dürfen ausgeführt werden, die Einschränkungen erfolgen auf TableData-Ebene.
(Relativ sicher und einfach einzurichten, jedoch aus Anwendersicht etwas abstrakt. Dies ist auch das Konzept, welches in der CRONUS-Datenbank eingerichtet ist.) - Alle Tabellendaten dürfen gelesen, eingefügt, bearbeitet und gelöscht werden, die Einschränkungen erfolgen auf Objekt-Ebene.
(Nicht sehr sicher, jedoch sehr häufig bei Kundeninstallationen angetroffen, da es "greifbarer" erscheint, da die Anwender Forms und Reports aufrufen.) - Einschränkungen auf Objekt- und Tabellendaten-Ebene.
(Sehr sicher, jedoch auch relativ kompliziert einzurichten, bis endlich alle Benutzer die wirklich benötigten Rechte haben.)
Wie man die Rollen definiert ist von der Unternehmensgröße abhängig.
Prinzipiell gilt: Je genauer eine Rolle abgegrenzt ist, umso präziser kann man die Rechte steuern.
Beispiel: Für einen im Verkauf tätigen Benutzer sollte man lieber die zwei Rollen VK-ANLEGEN und VK-BUCHEN zuordnen, anstatt einfach nur eine Rolle VERKAUF zu definieren.
So kann man für die dort tätigen Benutzer festlegen, ob sie Belege nicht nur anlegen/bearbeiten dürfen, sondern ob sie die auch buchen dürfen.
Ich hoffe, das Prinzip ist verständlich.
Re: Berechtigungskonzept erstellen
15. Juni 2012 08:56
Entscheidend ist hier auch ob nur CC oder auch RTC eingesetzt wird.
Re: Berechtigungskonzept erstellen
15. Juni 2012 09:00
JanGD hat geschrieben:Entscheidend ist hier auch ob nur CC oder auch RTC eingesetzt wird.
Inwiefern?
Re: Berechtigungskonzept erstellen
15. Juni 2012 09:18
Im RTC kannst Du keine einzelnen "Departments" ausblenden wie im CC.
Somit hat jeder mit dem Recht Page 0, auch (Lese-)Rechte in der FiBu (Chart of Accounts für alle
). Ausgenommen der komplette Departments tab ist ausgeblendet.
Bei übergreifenden Tätigkeiten ist dies aber hinderlich statt hilfreich.
Somit hat jeder mit dem Recht Page 0, auch (Lese-)Rechte in der FiBu (Chart of Accounts für alle
). Ausgenommen der komplette Departments tab ist ausgeblendet.Bei übergreifenden Tätigkeiten ist dies aber hinderlich statt hilfreich.
Re: Berechtigungskonzept erstellen
15. Juni 2012 09:27
Hallo Ralf (für CC),
ich würde die Variante 1 empfehlen und die Standardrollen miteinander kombinieren. Die Rolle "Alle" spielt dabei eine wichtige Rolle, da man hier die Rechte zum Ausführen der Objekte erhält. Die Einschränkungen erfolgen, dann nur über die Tabellendaten (TABLEDATA). Sprich man kann dann zwar theoretisch jede Form,Report usw. öffnen, aber hat nicht die Rechte die Daten, der damit im Zusammenhang stehenden Tabellen zu sehen und es würde eine Fehlermeldung erscheinen.
Bei neu hinzugefügten Tabellen müsstest du dann, nach dem gleichen Vorbild, eine eigene Rolle erstellen. Am Besten auch wenigstens eine Rolle mit Lese- und eine mit Schreibrechten.
Für die Einschränkung nach Mandanten hinter der Rolle "Alle" den jeweiligen Mandanten angeben. Bei mehreren Mandanten die Rolle "Alle" mehrfach mit der Mandanten-Einschränkung aufnehmen.
Rolle "Alle" "Mandant1"
Rolle "Alle" "Mandant2"
Beispiel: (Link)
Das machst du mit jedem Bereich der Zugriff in eueren Unternehmen auf Navision haben soll. Beispielsweise: Einkauf, Verkauf, Buchhaltung. Wenn jetzt ein neuer Mitarbeiter in einer Abteilung kommt kopierst du einfach die Zugriffsrechte von einem Benutzer zu dem neuen Benutzer in dieser Abteilung.
Falls ihr den Classik-Client verwendet solltest du dann auch noch den Navigationsbereichdesiger anpassen, damit nicht jeder alle Forms und Reports aufrufen kann und dann ständig Fehlermeldungen bekommt. Einmal gemacht kann man diese Einstellungen dann auch auf andere Benutzer übertragen. (Link)
mfg,
winfy
ich würde die Variante 1 empfehlen und die Standardrollen miteinander kombinieren. Die Rolle "Alle" spielt dabei eine wichtige Rolle, da man hier die Rechte zum Ausführen der Objekte erhält. Die Einschränkungen erfolgen, dann nur über die Tabellendaten (TABLEDATA). Sprich man kann dann zwar theoretisch jede Form,Report usw. öffnen, aber hat nicht die Rechte die Daten, der damit im Zusammenhang stehenden Tabellen zu sehen und es würde eine Fehlermeldung erscheinen.
Bei neu hinzugefügten Tabellen müsstest du dann, nach dem gleichen Vorbild, eine eigene Rolle erstellen. Am Besten auch wenigstens eine Rolle mit Lese- und eine mit Schreibrechten.
Für die Einschränkung nach Mandanten hinter der Rolle "Alle" den jeweiligen Mandanten angeben. Bei mehreren Mandanten die Rolle "Alle" mehrfach mit der Mandanten-Einschränkung aufnehmen.
Rolle "Alle" "Mandant1"
Rolle "Alle" "Mandant2"
Beispiel: (Link)
Das machst du mit jedem Bereich der Zugriff in eueren Unternehmen auf Navision haben soll. Beispielsweise: Einkauf, Verkauf, Buchhaltung. Wenn jetzt ein neuer Mitarbeiter in einer Abteilung kommt kopierst du einfach die Zugriffsrechte von einem Benutzer zu dem neuen Benutzer in dieser Abteilung.
Falls ihr den Classik-Client verwendet solltest du dann auch noch den Navigationsbereichdesiger anpassen, damit nicht jeder alle Forms und Reports aufrufen kann und dann ständig Fehlermeldungen bekommt. Einmal gemacht kann man diese Einstellungen dann auch auf andere Benutzer übertragen. (Link)
mfg,
winfy
Re: Berechtigungskonzept erstellen
15. Juni 2012 09:57
Hallo,
gerade die Rolle "ALLE" darf keinen Mandanten- Filter haben, weil darin Mandanten übergreifende Objekte enthalten sind, die keinen Mandanten haben. Das gilt auch für andere Rollen, die Mandanten- übergreifende Tabellen enthalten.
Gruß, Fiddi
gerade die Rolle "ALLE" darf keinen Mandanten- Filter haben, weil darin Mandanten übergreifende Objekte enthalten sind, die keinen Mandanten haben. Das gilt auch für andere Rollen, die Mandanten- übergreifende Tabellen enthalten.
Gruß, Fiddi
Re: Berechtigungskonzept erstellen
15. Juni 2012 10:51
fiddi hat geschrieben:Hallo,
gerade die Rolle "ALLE" darf keinen Mandanten- Filter haben, weil darin Mandanten übergreifende Objekte enthalten sind, die keinen Mandanten haben. Das gilt auch für andere Rollen, die Mandanten- übergreifende Tabellen enthalten.
Gruß, Fiddi
Hallo fiddi,
wir setzen das schon Jahre bzw. mittlerweile Jahrzehnte ein und hatten damit noch nie Probleme.
Ich sehe auch keinen Grund warum man mit einem Mandantenfilter nicht auf mandantenübergreifende Tabellen zugreifen können sollte. Immerhin sind die übergreifenden Tabellen ja auch in jedem Mandanten sichtbar.
mfg,
winfy
Re: Berechtigungskonzept erstellen
15. Juni 2012 11:08
JanGD hat geschrieben:Im RTC kannst Du keine einzelnen "Departments" ausblenden wie im CC.
Somit hat jeder mit dem Recht Page 0, auch (Lese-)Rechte in der FiBu (Chart of Accounts für alle
Bei übergreifenden Tätigkeiten ist dies aber hinderlich statt hilfreich.
Oha. Verstehe.
Re: Berechtigungskonzept erstellen
15. Juni 2012 11:30
wir setzen das schon Jahre bzw. mittlerweile Jahrzehnte ein und hatten damit noch nie Probleme.
Also ich hab definitiv eine Kundeninstallation, die bei Mandantenfilter auf der Rolle "ALLE" mit der Fehlermeldung abbricht "keine Berechtigung zum Lesen der Tabelle Objekt".
Das lag/liegt daran, dass in der Rolle ALLE dort kein Recht auf Objekt hinterlegt war. Ohne Mandantenfilter interessiert NAV-(CC) das anscheinend nicht. Daraus folgt: Du kannst ALLE nur dann mit Mandantenfilter benutzen, wenn dort alle Tabellen aufgeführt sind, auch die die vom System benötigt werden.
Gruß, Fiddi
Re: Berechtigungskonzept erstellen
15. Juni 2012 11:50
fiddi hat geschrieben:Also ich hab definitiv eine Kundeninstallation, die bei Mandantenfilter auf der Rolle "ALLE" mit der Fehlermeldung abbricht "keine Berechtigung zum Lesen der Tabelle Objekt".
Das lag/liegt daran, dass in der Rolle ALLE dort kein Recht auf Objekt hinterlegt war. Ohne Mandantenfilter interessiert NAV-(CC) das anscheinend nicht. Daraus folgt: Du kannst ALLE nur dann mit Mandantenfilter benutzen, wenn dort alle Tabellen aufgeführt sind, auch die die vom System benötigt werden.
Gruß, Fiddi
Dann haben die dort wohl vorher schon in der Rolle geändert!
Dort sind standardmäßig ja auch die Leserechte auf die übergeifenden Tabellen enthalten. Der Mandantenfilter selbst schränkt aber den Zugriff hier nicht auf diese Tabellendaten ein, da sie eben übergreifend sind.
Der Lesezugriff auf Table Data 2000000001 "Object" sollte auch standardmäßig in der Rolle "Alle" sein.
Wie gesagt wir haben ca 40 Mandanten und auch nur Mitarbeiter die sich in den jeweiligen Mandanten bewegen dürfen.
Das hat bisher jahrelang bei uns so gut funktioniert.
mfg,
winfy
Re: Berechtigungskonzept erstellen
22. Juni 2012 20:26
Hallo,
vielen Dank an alle für die Antworten. Hat mir sehr geholfen.
Gruß
Ralf
vielen Dank an alle für die Antworten. Hat mir sehr geholfen.
Gruß
Ralf