Berechtigungen

Aus prevero Competence Center
(Weitergeleitet von Berechtigungssystem)
Wechseln zu: Navigation, Suche

professional planner Berechtigungssystem[Bearbeiten]

professional planner Server-Systeme verfügen über ein ausgefeiltes Berechtigungssystem, das auf das Berechtigungssystem von Microsoft Windows aufsetzt. Es werden also die Benutzer und Benutzergruppen der jeweiligen Servermaschine oder der Domäne übernommen und professional planner-spezifische Rechte vergeben. Eine gesonderte Anmeldung auf professional planner ist daher in der Regel nicht erforderlich; die Benutzeranmeldung an das Betriebssystem ist ausreichend. Standardmäßig ist das Berechtigungssystem deaktiviert, kann aber über die Servereinstellungen unter Security usage aktiviert werden.


Bei den professional planner-spezifischen Berechtigungen werden zwei Gruppen unterschieden:

  • Serverbezogene Rechte: Geben dem berechtigten Benutzer die Möglichkeit, bestimmte Aufgaben für alle Datasets auf dem jeweiligen Server zu erledigen. Dazu gehören zum Beispiel die Serverrechte für die Anmeldung am OLCAP Server oder das Recht zum Anlegen, Löschen und Umstellen von Datasets.
  • Datasetbezogene Rechte: Erlauben den Schreib-, Lese- oder Strukturzugriff auf die Elemente der einzelnen Datasets.


Die eigentliche Benutzerverwaltung, die Vergabe und die Veränderung von Passwörtern und die Zuordnung von Benutzern zu Gruppen werden mit Hilfe der entsprechenden Werkzeuge von Microsoft Windows durchgeführt. Die serverbezogenen Rechte werden über die Zugehörigkeit von Benutzern zu bestimmten OLCAP-Benutzergruppen festgelegt. Danach können die Rechte der Benutzer in den einzelnen Datasets über den Rechtevergabe-Dialog definiert werden.


Eine Kurzanleitung zur Vergabe von Rechten für professional planner finden Sie im Artikel HowTo:Berechtigungen vergeben. Für Detailinformationen stehen Ihnen aufbauend auf die Anleitung die Artikel Serverbezogene Rechte und Datasetbezogene Rechte zur Verfügung


Berechtigungen für Teilbereiche[Bearbeiten]

Getrennt vom Berchtigungssystem können noch für drei weitere Bereiche Rechte über das Datenbanksystem oder über Registry-Schlüssel festgelegt werden:

  • Rechte für das Schreiben auf bestimmte Feldbzüge: Grundsätzlich können Benutzer alle Feldbezüge beschreiben, wenn Sie über die notwendigen datasetbezogenen Rechte verfügen. Für die Feldbezüge des Status Planungsprozess können jedoch getrennt davon Schreibrechte über Registry-Schlüssel festegelegt werden.


professional planner Server-Systeme verfügen über ein ausgefeiltes Berechtigungssystem, das auf das Berechtigungssystem von Microsoft Windows aufsetzt. Es werden also die Benutzer und Benutzergruppen der jeweiligen Servermaschine oder der Domäne übernommen und professional planner-spezifische Rechte vergeben. Eine gesonderte Anmeldung auf professional planner ist daher in der Regel nicht erforderlich; die Benutzeranmeldung an das Betriebssystem ist ausreichend. Standardmäßig ist das Berechtigungssystem deaktiviert, kann aber mit Hilfe der Servereinstellungen die Option Security Verwendung aktiviert werden.

Bei den professional planner-spezifischen Berechtigungen werden drei Gruppen unterschieden:

  • Datasetbezogene Rechte: Erlauben den Schreib-, Lese- oder Strukturzugriff auf die Elemente der einzelnen Datasets.
  • Serverbezogene Rechte: Geben dem berechtigten Benutzer die Möglichkeit, bestimmte Aufgaben für alle Datasets auf dem jeweiligen Server zu erledigen. Dazu gehören etwa die Serverrechte für die Datenübernahme oder die Bewilligungsvergabe im Rahmen des Workflow–Systems. Zu den serverbezogenen Rechten gehört auch das Administratorrecht, d.h. das Recht, Rechte zu vergeben und bestimmte Aktionen durchzuführen, die nur Administratoren erlaubt sind.
  • Datenbankbezogene Rechte (Pass-through): Erlauben den direkten Zugriff auf die Datenbank und den Einsatz von Pass-through-Abfragen.

Die eigentliche Benutzerverwaltung, die Vergabe und die Veränderung von Passwörtern und die Zuordnung von Benutzern zu Gruppen werden mit Hilfe der entsprechenden Werkzeuge von Microsoft Windows durchgeführt und hier nicht gesondert beschrieben. Die Rechtevergabe in den einzelnen Datasets wird mit der professional planner Benutzerverwaltung durchgeführt. Serverrechte werden mit Windows–Werkzeugen durch Freigabe bzw. Sperre bestimmter Registry–Schlüssel oder auf Filesystemebene verwaltet.


professional planner Server-Systeme verfügen über ein ausgefeiltes Berechtigungssystem, das auf das Berechtigungssystem von Microsoft Windows aufsetzt. Es werden also die Benutzer und Benutzergruppen der jeweiligen Servermaschine oder der Domäne übernommen und professional planner-spezifische Rechte vergeben. Eine gesonderte Anmeldung auf professional planner ist daher in der Regel nicht erforderlich; die Benutzeranmeldung an das Betriebssystem ist ausreichend.

  • Dokument Sicherheitseinstellungen: Standardmäßig ist das Berechtigungssystem deaktiviert, kann aber mit Hilfe dieses Dokuments aktiviert werden.
  • Datasetbezogene Rechte: Erlauben den Schreib-, Lese- oder Strukturzugriff auf die Elemente der einzelnen Datasets.
  • Serverbezogene Rechte: Geben dem berechtigten Benutzer die Möglichkeit, bestimmte Aufgaben für alle Datasets auf dem jeweiligen Server zu erledigen. Dazu gehören etwa die Serverrechte für die Datenübernahme oder die Bewilligungsvergabe im Rahmen des Workflow–Systems. Zu den serverbezogenen Rechten gehört auch das Administratorrecht, d.h. das Recht, Rechte zu vergeben und bestimmte Aktionen durchzuführen, die nur Administratoren erlaubt sind.
  • Datenbankbezogene Rechte (Pass-through): Erlauben den direkten Zugriff auf die Datenbank und den Einsatz von Pass-through-Abfragen.


Erweiterte Rechteverarbeitung in professional planner 2008[Bearbeiten]

professional planner 2008 in der Version 4.5.0.317 bietet im Unterschied zu Vorgängerversionen die Möglichkeit, auf eine erweiterte Rechteverarbeitung zurückzugreifen.

Bisher führte professional planner eine benutzerabhängige Rechteüberprüfung durch. Bei einer Abfrage oder Eingabe durch den Benutzer überprüft das Rechtesystem, ob der Benutzer die erforderlichen Rechte in der Organisation und Periode besitzt. Sollten die notwendigen Rechte nicht durch den Benutzer selbst erreicht werden, durchläuft das Rechtesystem die GroupUserDependency und ermittelt dadurch alle Gruppen, denen der Benutzer angehört. Im Anschluss durchläuft das Rechtesystem jede Gruppe und überprüft, ob über eine Gruppenzugehörigkeit dem Benutzer die notwendigen Rechte zugeteilt werden können. Können auch über eine Gruppenzugehörigkeit die notwendigen Rechte nicht gegeben werden, wird die Abfrage oder Eingabe unterbunden.

Die GroupUserDependency wird jeweils beim Öffnen des Datasets und in regelmäßigen Abständen (im Stundentakt) aktualisiert. Dabei werden alle Gruppen nacheinander in einem Hintergrund-Thread aktualisiert. Für jede Gruppe der Groups-Liste werden über das Active Directory die Benutzer angefordert. Danach erfolgt ein Abgleich mit der User-Liste und der GroupUserDependency-Liste aus dem professional planner-Rechtesystem.


Änderungen am Rechtesystem über die Feldbezugsgruppe 327XX wurden bisher nur beim Schließen des Datasets in die Datenbank zurückgeschrieben. Dieses Verhalten wurde mit Version professional planner 2008 4.5.0.317 dahingehend geändert, dass nun nach jedem Schreibvorgang im Rechtebereich die Daten unmittelbar an die Datenbank weitergereicht werden. Dadurch gehen auch bei einem späteren, eventuell nicht ordnungsgemäßen Schließen der Datasets Änderungen im Rechtebereich nicht verloren.

Rechteverarbeitung über Registry Key: SecureServer = 5[Bearbeiten]

Hinweis: Die folgenden Neuerungen in der Rechteverarbeitung kommen nur dann zum Tragen, wenn der Registry Key SecureServer auf 5 gesetzt wurde.

Eine wesentliche Änderung mit Version 4.5.0.317 erfolgt im Abgleich der GroupUserDependency-Liste. Die Aktualisierung der GroupUserDependency-Liste erfolgt über den Security Token der Anmeldung des Benutzers. Aus diesem Token werden alle notwendigen Gruppeninformationen ausgelesen. Aus diesen Gruppeninformationen erfolgt dann ein Abgleich der GroupUserDependency-Liste auf Basis des Benutzers. Da sämtliche Informationen im Token vorliegen, ist nun kein Zugriff auf das Active Directory mehr notwendig. Dies kann vor allem bei stark ausgelasteten oder sehr großen Active Directories die Performance wesentlich steigern.

Mit der erweiterten Rechteverarbeitung ist es nun auch möglich, verschachtelte Gruppen sowohl innerhalb einer Domain als auch über Domain-Grenzen hinweg aufzulösen.


Feldbezüge für die Rechteverarbeitung[Bearbeiten]

User-Namen (FB32703) und Gruppennamen (FB32713) können erstmals auch direkt in professional planner umbenannt werden. Ein Löschen der alten Namen und eine Neuanlage mit neuen Namen und anschließender erneuter Rechtevergabe sind daher nicht mehr notwendig. Die bestehenden Feldbezüge wurden wie folgt ergänzt:

  • FB32707 SID des Users
  • FB32708 Common Name des Users (nur lesen)
  • FB32709 SID der Gruppe
  • FB32710 Common Name der Gruppe (nur lesen)

Daraus resultiert die Möglichkeit, die Wartung der Rechteeinträge über diese erweiterten Feldbezüge durchzuführen. Beispielsweise ist bei einer Änderung des Common Name einer Gruppe im Active Directory und bei unverändertem SAM-Namen keine Anpassung in professional planner erforderlich. Die Wartung der Rechte kann aber auch über den SID erfolgen. Die Eingabe auf den Common Name ist jedoch nicht möglich.

Von „http://competence.prevero.com/index.php?title=Berechtigungen&oldid=29197