Serverbezogene Rechte

Während der Zugriff auf Struktur- und Zeitelemente in den einzelnen Datasets über datasetbezogene Rechte geregelt wird, werden spezielle Rechte für den ganzen Server zentral vergeben. Davon sind folgende Bereiche betroffen:

Lokale Benutzergruppen[Bearbeiten]

Bei der Installation von professional planner werden folgende Benutzergruppen automatisch auf Ihrem Server angelegt und mit verschiedenen Rechten versehen:

• OLCAPAdministrator: Diese Rolle ermöglicht einen uneingeschränkten Zugriff auf den OLCAP Server. Benutzer die Mitglied dieser Gruppe sind, verfügen über alle Rechte in allen Datasets unabhängig von den vergebenen datasetbezogenen Rechten.

• OLCAPUser: Diese Gruppe beinhaltet jene Benutzer, die über die Rechte verfügen sich am OLCAP Server anzumelden. Jeder Benutzer, der mit professional planner arbeiten möchte und nicht OLCAPAdministrator ist, muss dieser Rolle zugeordnet werden. Die Rechte dieser Gruppe erlauben nicht das Anlegen, Löschen, Umstellen und Reorganisieren von Datasets. Ebenso können keine administrativen Verwaltungstätigkeiten, wie die Vergabe von datasetbezogenen Rechten vorgenommen werden. Welche Rechte die Benutzer dieser Gruppe innerhalb der Datasets auf Element- und Periodenstruktur haben, ist abhängig von den datasetbezogenen Rechten.

• OLCAPDatabaseOperator: Die Benutzer dieser Gruppe haben das Recht Datasets anzulegen und zu löschen. Um diese Rechte nutzen zu können, müssen die Benutzer dieser Gruppe auch Mitglieder der Gruppe OLCAPUser sein, um sich am OLCAP Server anmelden zu können. Welche Rechte die Benutzer dieser Gruppe innerhalb der Datasets auf Element- und Periodenstruktur haben, ist abhängig von den datasetbezogenen Rechten.

• OLCAPOperator: Die Benutzer dieser Gruppe haben das Recht Umstellungen, Reorganisationen und das Speichern unter von Datasets durchzuführen. Des Weiteren besteht die Möglichkeit die datasetbezogenen Rechte zu verwalten. Das Löschen und Anlegen von Datasets ist nicht in den Rechten dieser Gruppe enthalten. Um alle diese Rechte nutzen zu können, müssen die Benutzer dieser Gruppe auch Mitglieder der Gruppe OLCAPUser und OLCAPDatabaseOperator sein. Nur so können sich die Benutzer am OLCAP Server anmelden und es können, im Zuge von Datasetreorganisationen oder Datasetumstellungen, die automatischen Sicherungen der Datasets erstellt werden. Welche Rechte die Benutzer dieser Gruppe innerhalb der Datasets auf Element- und Periodenstruktur haben, ist abhängig von den datasetbezogenen Rechten.

• OLCAPReportingUser: Diese Gruppe sieht für Ihre Mitglieder unabhängig von den datasetbezogenen Rechten nur Leserechte vor. Um sich am OLCAP Server anmelden zu können, müssen die Benutzer dieser Gruppe auch Mitglieder der Gruppe OLCAPUser sein.

Bei der automatischen Anlage der lokalen Benutzerkonten für professional planner werden alle Mitglieder der Standardgruppe Administratoren in die neue Gruppe OLCAPAdministrator eingetragen. Unabhängig davon, ob der lokale Benutzer Administrator tatsächlich Mitglied in dieser Gruppe ist, verfügt er immer über alle Rechte am OLCAP Server.

Es ist darauf zu achten, dass bei der automatischen Anlage der lokalen Benutzergruppen alle Mitglieder der am Server bestehenden Standardgruppe Benutzer in die neuen Gruppen OLCAPUser, OLCAPDatabaseOperator und OLCAPOperator eingetragen werden. Die Kombination dieser Rechte erlaubt es den Benutzern sich am OLCAP Server anzumelden, Datasets anzulegen, zu löschen, umzustellen, zu reorganisieren, zu speichern und datasetbezogene Rechte zu vergeben. Sie sollten daher prüfen, ob auch wirklich alle Mitglieder der Standardgruppe Benutzer diese Rechte besitzen sollen. Im Besonderen sollte die Gruppe Authentifizierte Benutzer entfernt werden, wenn Sie vorhanden ist, da ansonsten alle Personen Zugriff auf professional planner haben, die sich auch am Rechner anmelden können.

Rechte für den Importmanager und bestimmte Feldbezüge[Bearbeiten]

Getrennt von der Berechtigungsvergabe über lokale Benutzergruppen können noch für zwei Teilbereiche serverbezogene Rechte vergeben werden:

• Import Manager: Der Import Manager ist ein mächtiges Datenimport–Werkzeug, das in professional planner integriert ist. Der Zugriff auf dieses Werkzeug kann auf bestimmte berechtigte Benutzer eingeschränkt werden.

• Feldbezüge: professional planner Elemente enthalten eine Fülle von Feldbezügen, d.h. Variablen, welche die Daten entsprechend der hinterlegten betriebswirtschaftlichen Logik verwalten. Ob der Inhalt eines Feldbezuges angezeigt wird oder verändert werden darf, wird normalerweise über das datasetbezogene Rechtesystem pro Strukturelement festgelegt. In einzelnen Fällen sollen bestimmte Feldbezüge nur von ausgewählten Benutzern verändert werden dürfen, während der Großteil der Feldbezüge von allen Benutzern verändert werden darf, die auf das Element Zugriff haben. Ein Beispiel dafür ist der Feldbezug „Status Planungsprozess A (5001)“, der im Rahmen der Workflow–Funktionen von professional planner verwendet wird. Mit diesem Feldbezug wird festgelegt, ob die Planung einer Kostenstelle oder eines Profitcenters vom Vorstand bestätigt oder abgelehnt worden ist. Daher soll dieser Feldbezug nur von den zuständigen Personen, nicht jedoch von Linienverantwortlichen verändert werden können.

Standardmäßig sind der Importmanager und die Feldbezüge für alle Benutzer freigeschalten. Um die Funktionen für bestimmte Benutzer zu sperren, müssen Sie die Zugriffsrechte auf bestimmte, in der Windows–Registry enthaltene Schlüssel, einschränken. Die entsprechenden Einstellungsmöglichkeiten finden Sie im Windows–Standardwerkzeug Regedt32 bzw. Regedit. Alle betroffenen Schlüssel befinden sich im Bereich HKey_Local_Machine unter Software/prevero/PP.

Unterhalb der Schlüssel finden Sie jeweils einen gleichnamigen DWORD–Wert, dessen Wert auf 1 gesetzt ist. Um den Zugriff einzuschränken oder zu erweitern, müssen die Berechtigungen der Schlüssel bearbeitet werden:

• Import Manager: Dieser Schlüssel regelt die Zugriffsmöglichkeit auf den Import Manager. Für das Arbeiten mit dem Import Manager müssen für den entsprechenden Benutzer zumindest Leserechte für den Registry-Schlüssel festgelegt sein.

• FBxxxx: Alle mit FB beginnenden Schlüssel beziehen sich auf Feldbezüge. Standardmäßig sind die Feldbezüge 5002 und 5005 vordefiniert, die zu den Workflow–Funktionen gehören. Durch Spezial- oder neue Standard-BCLs kann diese Liste erweitert werden. Wenn ein Benutzer Vollzugriff auf den Schlüssel hat, kann er den Wert des Feldbezuges lesen und schreiben. Wenn er nur über Leserechte verfügt, kann er den Wert des Feldbezugs lesen. Um Datasetoperationen durchführen zu können, muss der User über Lese- und Schreibrechte auf diese Feldbezüge verfügen.

Bitte beachten Sie, dass die Vererbung von Rechten jeweils ausgeschalten werden muss. Die Berechtigungen für die ausgewählten Benutzer werden jeweils explizit hinzugefügt.