Wie erfolgt die Rechteverwaltung im Enterprise Server?

Standard-Serverrichtlinien

Bevor Sie damit beginnen, Benutzern und Gruppen Berechtigungen zuzuweisen, empfehlen wir Ihnen, zunächst die Standard- bzw. globalen Serverrichtlinien zu überprüfen.

Die Serverrichtlinien erreichen Sie im Server-Manager über Verwalten -> Serverrichtlinien.

Die Rechte in den Serverrichtlinien können drei Zustände haben:

• Nicht definiert
• Aktiviert
• Deaktiviert

Hierbei ist Folgendes zu beachten:

• Wenn ein Zugriffsrecht in den Serverrichtlinien gewährt wurde, es also den Zustand Aktiviert besitzt, dann ist es für alle Benutzer verfügbar. Es kann jedoch für einzelne Benutzer und Gruppen in den Berechtigungen der Datenbank noch deaktiviert werden.
• Wenn ein Zugriffsrecht in den Serverrichtlinien nicht gewährt wurde, es also den Zustand Deaktiviert besitzt, ist es für alle Benutzer NICHT verfügbar und kann auch nicht mehr für einzelne Benutzer und Gruppen in den Berechtigungen der Datenbank nachträglich aktiviert werden.
• Wenn ein Zugriffsrecht in den Serverrichtlinien nicht definiert wurde, kann es für einzelne Benutzer und Gruppen in den Berechtigungen der Datenbank anschließend wunschgemäß gesetzt werden.

In der Regel sollten Sie die Rechte in den Serverrichtlinien undefiniert lassen (Zustand: Nicht definiert) und sie erst in den individuellen Zugriffsrechten einzelner Datenbanken definieren.

Beispiele für die Nutzung der Serverrichtlinie:

Wenn Sie im gesamten Unternehmen das Drucken von Kennwörtern bei Server-Datenbanken nicht zulassen möchten, dann deaktivieren Sie Drucken von Einträgen, indem Sie diese Option auf Deaktiviert setzen.

Wenn Sie allen Benutzern im Unternehmen die Verwendung der Browser-Add-Ons ohne Einschränkungen erlauben möchten, aktivieren Sie die Optionen Autom. Ausfüllen über Browser-Add-Ons und Neue Einträge aus Browser-Add-Ons übernehmen.

Berechtigungen vergeben

Nachdem Sie die Einstellungen in den Serverrichtlinien überprüft und wunschgemäß gesetzt haben, können Sie den einzelnen Benutzern und Gruppen individuelle Rechte innerhalb der gewünschten Datenbank zuweisen.

Dazu klicken Sie im Bereich Datenbanken mit der rechten Maustaste auf eine Datenbank und wählen dann Berechtigungen aus. Sie sehen im Anschluss in der Hauptansicht des Server-Managers alle Benutzer/Gruppen, die aktuell Zugriff auf die entsprechende Datenbank haben.

Wenn Sie einer Datenbank neue Benutzer oder Gruppen hinzufügen möchten, so wählen Sie im Bereich Datenbanken die gewünschte Datei per Doppelklick aus und klicken Sie anschließend auf + Neu im rechten Bereich des Server-Managers. Wählen Sie per Doppelklick ein Benutzer- oder Gruppenobjekt aus. Das Dialogfeld Berechtigungen öffnet sich. Hier können Sie in den Tabs Datenbank sowie Einträge und Ordner die gewünschten Zugriffsrechte einstellen.

Ist bei der Option Zugriff auf die Datenbank "Erlauben" aktiviert, so kann der Benutzer die Datenbank in der Auflistung der vorhandenen Datenbanken sehen. Wenn Lesen von Einträgen aktiviert ist, so kann der Benutzer alle Einträge und Ordner, die sich im Stammverzeichnis der Datenbank befinden, lesen. Wenn Sie die Optionen Lesen von Einträgen aktivieren, wird die Option Zugriff auf die Datenbank automatisch auch aktiviert, weil es nicht möglich ist, das Lesen von Einträgen und Ordnern ohne den Zugriff auf die Datenbank zu erlauben.

Wenn Sie die Berechtigung Zugriff auf die Datenbank aktivieren, aber die Optionen Lesen/Ändern/Hinzufügen/Löschen von Einträgen deaktivieren, so kann der Benutzer die Datenbank zwar sehen und sie vom Server empfangen, allerdings kann er innerhalb der entsprechenden Datenbank dann keine Einträge sehen. Sie können dem Benutzer oder der Gruppe in diesem Fall anschließend aber den Zugriff auf einzelne Einträge und/oder Ordner innerhalb der Datenbank erlauben (siehe weiter unten).

Datenbank-Ebene:

Was bedeuten die Zugriffsrechte im Einzelnen?

• Zugriff auf die Datenbank: Benutzer können eine Datenbank in der Liste verfügbarer Datenbanken sehen und empfangen.
• Lesen von Einträgen: Benutzer können Einträge innerhalb der Datenbank sehen.
• Ändern von Einträgen: Benutzer dürfen vorhandene Einträge oder Ordner bearbeiten. Das Ändern-Recht funktioniert nur in Verbindung mit dem Recht Lesen, da es zum Bearbeiten eines Eintrags oder Ordners erforderlich ist, dass man diesen auch einsehen kann.
• Hinzufügen von Einträgen: Benutzer dürfen neue Einträge und Ordner hinzufügen.
• Löschen von Einträgen: Benutzer dürfen vorhandene Einträge und Ordner löschen.
• Nutzen der Funktion "Automatisches Ausfüllen": Benutzer dürfen die gleichnamige Funktion zum Ausfüllen von Web-Formularen verwenden.
• Autom. Ausfüllen über Browser Add-Ons: Benutzer dürfen Web-Formulare von den Add-Ons automatisch ausfüllen lassen.
• Neue Einträge aus Browser Add-Ons übernehmen: Benutzer können neue Einträge über die Add-Ons anlegen und diese im Anschluss automatisch Ihrer Datenbank hinzufügen.
• Drucken von Einträgen: Benutzer dürfen Einträge in lesbarer Form ausdrucken (Papier und/oder PDF).
• Exportieren von Einträgen: Benutzer können die Einträge in das XML- oder andere Formate exportieren. Exportierte Daten werden nicht verschlüsselt abgespeichert!
• Lokales Speichern der Datenbank: Benutzer können lokale Kopien der Server-Datenbank auf Ihrem System speichern. Hier wird immer nur die Ansicht der Datenbank lokal abgespeichert, die der entsprechende Benutzer auch bei aktiver Server-Verbindung sieht.
• Synchronisieren der Datenbank: Benutzer können unterschiedliche Datenbanken miteinander synchronisieren, beispielsweise um beide Datenbanken auf den gleichen Stand zu bringen.
• Anderen Benutzern Zugriff gewähren: Benutzer können über den Client Einträge mit anderen Benutzern teilen, ohne dass hierfür die Zugriffsrechte im Server-Manager durch den Admin geändert werden müssen. Der Zugriff kann dabei dauerhaft oder auch begrenzt gewährt werden.
• Einträge versiegeln: Auf Wunsch kann ein Benutzer einen Eintrag zusätzlich versiegeln, wenn er diesen mit einem anderen Benutzer auf dem Server teilen möchte.  Der Siegelstatus muss dann erst geändert werden, damit der Zugriff auf den versiegelten Eintrag erfolgen kann. Mehr dazu erfahren Sie auch hier.
• Admin-Rechte für Datenbank gewähren: Der Benutzer kann sich über die Steuerkonsole am Server anmelden und anderen Benutzern Rechte an der Datenbank zuweisen. Wenn ein Benutzer beispielsweise die Rolle "Datenbankadministrator" am Server besitzt, dann muss er gleichzeitig Admin-Rechte für eine bestimmte Datenbank haben, damit er innerhalb dieser die Rechteverwaltung ändern bzw. überhaupt vornehmen kann.

Einträge und Ordner

Im zweiten Register Einträge und Ordner können Sie Benutzern oder Gruppen Rechte für spezielle Ordner, Unterordner oder Einträge zuweisen.

Praxisbeispiel

Sie möchten der Gruppe Support Zugriff auf die Firmendatenbank gewähren, jedoch sollen die Mitglieder dieser Gruppe nur den Ordner IT innerhalb der Datenbank sehen und dort, also nur in diesem Ordner, aber alle Zugriffsrechte haben.

Im ersten Schritt erlauben Sie der Gruppe Support den Zugriff auf die Datenbank und definieren alle anderen Rechte wie folgt (wichtig sind hier die Rechte Lesen/Ändern/Hinzufügen/Löschen von Einträgen, alle anderen Rechte können Sie natürlich auf Wunsch auch anders definieren):

Da die Gruppe Support nun keine Einträge Lesen/Ändern/Hinzufügen/Löschen kann, reicht es aus, wenn Sie im nächsten Schritt für den Ordner IT diese Rechte gewähren (die Rechte für die anderen Ordner wurden im vorherigen Schritt definiert und geerbt - Sie müssen demnach für die anderen Ordner im Register Einträge und Ordner also keine Rechte mehr entziehen oder definieren):

Wenn innerhalb des Support-Ordners der Gruppe nun beispielsweise der Zugriff auf einen bestimmten einzelnen Eintrag verwehrt werden soll, so können Sie den Zugriff hierauf im nächsten Schritt verweigern, und zwar wie folgt dargestellt:

In diesem Fall hat die Gruppe Support innerhalb der Datenbank "AceBIT GmbH" nur Zugriff auf den Ordner IT, kann hier aber nur den Eintrag "Mantis" sehen, da ihr der Zugriff auf den Eintrag "Stack Overflow" verwehrt wurde.