Definition einer Berechtigungsstruktur
| |
| Definition einer Berechtigungsstruktur | 
|
| Vorgehen bei der Definition von Archiv- und Arbeitsmappenrechten | |
Innerhalb von ArcFlow können Berechtigungen auf bis zu fünf verschiedenen Ebenen vergeben werden:
- Menü der Benutzergruppe Ganze Teile der Applikation (Terminkontrolle, Benutzerparameter usw.) können ausgeblendet werden.
- Rechte an der Applikation Funktionen der Applikation (Bearbeiten von Archiven oder Workflows, Papierkorb leeren usw.) können deaktiviert werden.
- Rechte an Arbeitsmappen und Archive durch eine Benutzergruppe]] Definition der Berechtigungen an Arbeitsmappen und Archiven durch die Zugehörigkeit des Benutzers zu einer Benutzergruppe.
- Rechte an Arbeitsmappen und Archive durch einen Benutzer Definition der Berechtigungen an Arbeitsmappen und Archiven für einzelne Benutzer.
- Rechte an Archiven durch Besitzrechte Berechtigungen für einzelne Benutzer.
Grundsätzlich werden Benutzer zu Gruppen oder Rollen zusammengefasst. Dadurch ist es einfacher die Übersicht über die Berechtigungen zu behalten. Benutzer in gleichen Abteilungen bekommen so die gleichen Berechtigungen. Die Verwendung von Benutzergruppen ist auch dann empfehlenswert, wenn sich nur ein Benutzer in der Gruppe befindet, da sich so auch das Applikationsmenü und die generellen Rechte an der Applikation definieren lassen.
|
Die Berechtigungen der Benutzergruppe "Administratoren" und des Benutzers "admin" können nicht verändert werden. Sie haben immer Zugriff auf alle Funktionen und Bereiche von ArcFlow. Eine Ausnahme bilden die Besitzrechte (siehe unten). |
Ausgangssituation
In dem Beispiel gehen wir von einem Unternehmen aus, das lediglich aus zwei Abteilungen (Vertrieb und Technik) mit unterschiedlichen Berechtigungen besteht. Zusammen sind diesen Gruppen drei Benutzer zugeordnet:
| Name | Kürzel | Funktion |
|---|---|---|
| Patrick Streicher | PST | Mitarbeiter im Vertrieb |
| Silvia Dolz | SDO | Mitarbeiterin in der Technik |
| Peter Klopf | PKL | Auszubildender in der Technik |
Die Ablagestruktur für Dokumente besteht aus einem Bereich in dem die Kunden und Lieferanten angelegt und deren Dokumente in einer fest vorgegebenen Unterstruktur abgelegt werden. In einem zweiten Bereich werden Dokumente gesammelt, um eine Wissensbasis rund um den IT-Bereich auszubauen.
Die Ablagestruktur darf lediglich durch Mitarbeiter des Vertriebs um neue Arbeitsmappen für Kunden / Lieferanten erweitert werden. In allen anderen Arbeitsmappen dürfen keine weiteren Unterstrukturen hinzugefügt werden.
In den oberen Ebenen der Arbeitsmappen dürfen keine Archive abgelegt werden. Das ist nur innerhalb der untergeordneten Arbeitsmappen beim Kunden ("Anschreiben", "Aufträge", ...) oder den Untermappen unterhalb von "Wissen" ("Administratoren", "Anwender", ...) möglich. Dabei ist Anlegen neuer Archive im Bereich "Wissen" den Benutzern der Abteilung "Technik" vorbehalten.
Der Auszubildende soll nur lesend auf ArcFlow zugreifen können. Dabei ist vorgesehen, dass er in Zukunft die Abteilung wechseln und im weiteren Verlauf seine Ausbildung beenden wird. Die Berechtigungen sollen möglichst einfach anzupassen sein. Das Löschen von Archiven oder Arbeitsmappen ist keinem Benutzer erlaubt.
Definition des Menüs der Benutzergruppe
Für jede Benutzergruppe kann unter Einstellungen / Berechtigungen / Benutzergruppen ein Applikationsmenü definiert werden. Soll eine Benutzergruppe keinen Zugriff auf bestimmte Funktionen in ArcFlow haben, können die entsprechenden Menüeinträge entfernt werden. Benutzer dieser Gruppe können dann die entsprechenden Funktionen nicht aufrufen.
Im obigen Beispiel hat eine Benutzergruppe keinen Zugriff auf die Einstellungen, die Skript API, das Veränderungsprotokoll, die Mappenselektion und das Auffinden von Duplikaten.
Ist ein Benutzer in mehreren Benutzergruppen, werden die Menüs beider Gruppen vereinigt. D.h. es genügt der Eintrag in einem Gruppenmenü, um dem Benutzer die entsprechende Funktion zur Verfügung zu stellen.
Für unser Beispiel legen wir eine Benutzergruppe "Anwender" an. Da alle Benutzer die gleichen Funktionen haben sollen, reicht ein Applikationsmenü aus. Die Benutzer werden dann dieser Gruppe zugewiesen.
Rechte an der Applikation
In diesem Bereich werden die Berechtigungen innerhalb der Applikation definiert. Die Rechte werden in den Einstellungen unter Einstellungen / Berechtigungen / Benutzergruppen angegeben.
Befindet sich ein Benutzer in mehreren Benutzergruppen, wird die Summe aus allen zugelassenen Funktionen gebildet.
In unserem Beispiel können wir die Applikationsrechte ebenfalls in der Benutzergruppe "Anwender" definieren, da alle Benutzer die gleichen Applikationsrechte haben werden. Die Unterschiede zum Beispiel beim Anlegen von Arbeitsmappen werden dann bei den Mappenrechten definiert.
In diesem Beispiel wird den Mitgliedern der Benutzergruppe kein Papierkorb angezeigt und sie können keine Stempel mit dem Dokument vereinen oder Arbeitsmappen verschieben. Workflows können angelegt und geändert, aber nicht gelöscht werden. Diese Funktionen stehen auch dann nicht zur Verfügung, wenn entsprechende Rechte an den Arbeitsmappen (siehe unten) vorhanden wären. Ebenso ist der Zugriff über ArcFlow.Next nicht erlaubt. Die Applikationsrechte bilden die Grundlage für alle weiteren Rechte.
Rechte an Arbeitsmappen und Archive durch eine Benutzergruppe
In dem Bereich Einstellungen / Berechtigungen / Benutzergruppen werden die Rechte der Benutzer an den Archiven und Arbeitsmappen definiert. Für das Beispiel benötigen wir drei weitere Benutzergruppen. Wir haben dann folgende Benutzergruppen:
| Benutzergruppe | Mitglieder der Gruppe | Beschreibung |
|---|---|---|
| Administratoren | admin | Gruppe für Konfiguration von ArcFlow |
| Anwender | SDO, PST, PLK | Gruppe für alle Anwender |
| Technik | SDO, PKL | Mitarbeiter in der Abteilung Technik |
| Vertrieb | PST | Mitarbeiter in der Abteilung Vertrieb |
| Auszubildende | PKL | Auszubildende in der Firma |
In einer Benutzergruppe kann ein Recht (zum Beispiel "Arbeitsmappe lesen") nicht gesetzt, erlaubt oder verboten sein. Ist ein Recht nicht gesetzt, besteht die Möglichkeit durch die Mitgliedschaft in einer anderen Benutzergruppe eine Erlaubnis zu bekommen. Ist das Recht verboten, kann ich das Recht nicht durch eine andere Benutzergruppe bekommen.
In den Gruppen "Technik" und "Vertrieb" werden Rechte erlaubt, während in der Gruppe "Auszubildende" Rechte verboten werden. Durch die Trennung in Gruppen, die Funktionen erlauben und Gruppen, die Funktionen verbieten, haben wir eine bessere Übersicht über die Berechtigungen.
Die Benutzergruppe "Anwender" hat keine Mappenrechte gesetzt, sie spielt in dem Bereich keine Rolle. Aus den in der Ausgangslage definierten Rechten ergeben sich für die verschiedenen Benutzergruppen folgende Rechte:
- Rechte der Benutzergruppe "Technik"
- In der Arbeitsmappe "Kunden / Lieferanten" bekommt die Benutzergruppe nur das Recht "Mappe lesen". Alle dort untergeordneten Mappen werden über die Vorlagemappe "VOR_Kunden" angelegt. Die Rechte werden in der Vorlagemappe definiert.
- Für die Arbeitsmappe "Wissen" werden folgende Rechte gesetzt:
- <img src="Rechte Beispiel Technik Wissen.jpg" border="0">
- In der Mappe "Wissen" selbst sollen keine Archive abgelegt werden können, daher sind die Rechte "Archiv lesen", "Archiv ändern" und "Archiv löschen" nicht gesetzt. Die Arbeitsmappe kann gelesen, aber nicht geändert werden. Neue Arbeitsmappen können nicht angelegt werden ("Untermappen anlegen" nicht gesetzt). Archive können ebenfalls nicht zugeordnet werden ("Archive zuordnen").
- Da ab dieser Ebene alle Arbeitsmappen die gleichen Rechte bekommen, werden die Rechte an die Untermappen vererbt. Da sich diese Rechte von den Rechten der Arbeitsmappe "Wissen" unterscheiden, ist zusätzlich "Spezielle Rechte vererben" angehakt.
- In allen untergeordneten Arbeitsmappen dürfen Archive gelesen, geändert und gelöscht werden. In den untergeordneten Mappen dürfen Archive hinzugefügt und entfernt werden, sowie weitere Untermappen angelegt werden. Es können also in der Mappe "Administratoren" weitere Untermappen angelegt und Archive zugewiesen werden. Dort angelegt Mappen dürfen aber nicht geändert bzw. gelöscht werden. Die Benutzer sollten sich überlegen, welche Mappen angelegt werden.
- Für die Vorlagemappe "VOR_Kunden" werden folgende Rechte gesetzt:
- <img src="Rechte Beispiel Technik VOR_Kunden.jpg" border="0">
- Alle Mappen unterhalb von "Kunden / Lieferanten" werden mit dieser Vorlagemappe erstellt. Die hier angegebenen Rechte werden automatisch von der erstellten Mappe übernommen. Mitarbeiter der Technik haben nur in den Untermappen des Kunden das Recht Archive zu lesen und zu ändern. In Untermappen können neue Archive hinzugefügt oder entfernt werden.
- Rechte der Benutzergruppe "Vertrieb"
- Die Gruppe "Vertrieb" hat in der Arbeitsmappe "Kunden / Lieferanten" nur die Rechte "Mappe lesen" und "Untermappe anlegen". Neue Kunden und Lieferanten werden mit der Vorlagemappe "VOR_Kunden" angelegt. Die Rechte werden in der Vorlagemappe definiert.
- Benutzer der Gruppe "Vertrieb" haben nur lesenden Zugriff in die Arbeitsmappe "Wissen" und deren untergeordnete Arbeitsmappen. Daraus ergeben sich folgende Rechte:
- In der Vorlagemappe "VOR_Kunden" darf die Gruppe auch bestehende Arbeitsmappen verändert. Gegenüber der Gruppe "Technik" haben sie zusätzlich das Recht "Mappe ändern".
- Rechte der Benutzergruppe "Auszubildende"
Rechte der Benutzergruppe Auszubildende - Auszubildende in der Firma dürfen keine Änderungen an den Arbeitsmappen oder den Archiven vornehmen, unabhängig, in welcher Abteilung sie gerade arbeiten. Die Benutzergruppe hat daher nur "verboten" Rechte definiert. Durch die Zuordnung eines Benutzers zur Gruppe, werden die Rechte, die er möglicherweise aus anderen Gruppen bekommt, wieder entzogen. Die Rechte für die Arbeitsmappen "Kunden / Lieferanten", "Wissen" und "VOR_Kunden" sehen gleich aus.
- Die Rechte, die nicht verboten sind, sind nicht gesetzt und werden so von einer anderen Gruppe übernommen. Da die Benutzergruppen "Technik" und "Vertrieb" in beiden Strukturen "Kunden / Lieferanten" und "Wissen" lesenden Zugriff haben, wirkt sich ein Abteilungswechsel eines Auszubildenden nicht aus. Das Beispiel kann aber um zusätzliche Abteilungen mit unterschiedlichen Rechten erweitert werden.
Das Rechte "Rechtevergabe" erlaubt es einem Benutzer die Rechet der Arbeitsmappe selbst zu verwalten. Mit diesem Recht kann ein Administrator die Rechtevergabe zum Beispiel an einen Abteilungsleiter deligieren. Der entsprechende Benutzer kann alle oder einen Teil seiner Rechte für andere Benutzergruppen setzen.
Rechte an Arbeitsmappen und Archive durch einen Benutzer
Die Vergabe von Berechtigungen in dem Bereich Einstellungen / Berechtigungen / Benutzer entspricht von der Vorgehensweise der für die Benutzergruppen. Die Berechtigungen wirken sich allerdings nur auf den ausgewählten Benutzer und nicht auf alle Benutzer einer Benutzergruppe aus. Diese Möglichkeit sollte nur dann gewählt werden, wenn es sich um spezielle Benutzer mit erweiterten Berechtigungen handelt, bei dem es sich nicht lohnt eine separate Benutzergruppe anzulegen.
Die intensive Nutzung dieser Möglichkeit kann zu einer unübersichtlichen Berechtigungsstruktur führen.
Rechte an Archiven durch Besitzrechte
Das Besitzrecht kann nur verwendet werden, wenn in den Applikationsrechten die Rechte "Archivierung / Besitzrechte auf Archiv vergeben" oder "Besitzrechte auf Archiv vergeben (Supervisor)" vorhanden sind. Das Besitzrecht kann dann in den Eigenschaften des Archivs auf der Seite Sicherheit eingerichtet werden. Mit dem Recht kann unabhängig von der Berechtigung der Benutzergruppe und Arbeitsmappe selbst bestimmt werden, welche Benutzer Zugriff auf das Archiv hat. Mit dem "Besitzrechte auf Archiv vergeben (Supervisor)" kann auch Mitgliedern der Benutzergruppe "Administratoren" der Zugriff auf das Dokument verwehrt werden.
Um das bestehende Beispiel zu erweitern, legen wir eine weitere Benutzergruppe "Geschäftsleitung" an. Diese Benutzergruppe bekommt nur die beiden Applikationsrechte "Archivierung / Besitzrechte auf Archiv vergeben" und "Besitzrechte auf Archiv vergeben (Supervisor)". Die neue Benutzerin "Martina Königstein" (Kürzel "MKN") wird den Benutzergruppen "Anwender", "Vertrieb" und "Geschäftsleitung" zugewiesen. Sie hat damit die gleichen Rechte wie die Mitarbeiter des Vertriebs und zusätzlich die Möglichkeit noch nicht abgeschlossene Verträge oder Dokumente über mögliche Verhandlungsstrategien nur bestimmten Personen zugänglich zu machen. Dazu werden von einem angelegten Archiv die Eigenschaften aufgerufen.
Sind keine Besitzrechte definiert, ist die Option "Zugriff durch Standardberechtigung" aktiv. Bei "Zugriff nur durch Besitzer" können nur die in der Liste der Besitzer angegebenen Benutzer und die Benutzer der Gruppe "Administratoren" auf das Dokument zugreifen. Die Administratoren können durch das Anhaken von "Geschützt durch Supervisor Besitzrecht" ausgeschlossen werden.
Etwas flexibler ist der "Zugriff durch Besitzer oder Passworteingabe". Hier wird durch den Besitzer ein Kennwort festgelegt. Der Zugriff ist dann allen Benutzern möglich, die über das Kennwort verfügen. In beiden Fällen muss das Arciv noch gefunden werden können, d.h. der lesende Zugriff auf die Arbeitsmappe muss gewährleistet sein.
|
|
Der Zugriff über die Besitzrechte sollte die Ausnahme bleiben, da die Berechtigungen für jedes Archiv separat gesetzt werden müssen. Bei einer größeren Anzahl von Archiven, wird das schnell unübersichtlich. In so einem Fall kann ausgenutzt werden, dass Archive mehreren Arbeitsmappen zugewiesen werden können. Ist das Archiv einer Mappe zugewiesen, in der der Benutzer das Leserecht verboten bekommen hat, ist das Archiv auch in anderen Arbeitsmappen unsichtbar. |
Erweitern der Berechtigungsstruktur um Zugriff über ArcFlow.NEXT
Beim Zugriff über ArcFlow.NEXT erhöhen sich die Anforderungen an die Sicherheit bei der Anmeldung, da die Archive dann auch über den Internet-Browser angezeigt werden können. Hier empfiehlt es sich eine weitere Benutzergruppe anzulegen, in der nur das Applikationsrecht "ArcFlow.Next Lese-Modus" aktiviert ist. Benutzer, denen der Zugriff über ArcFlow.Next erlaubt werden soll, werden anschließend zusätzlich dieser Benutzergruppe zugewiesen. Sie haben dann, neben den Rechten aus den anderen Benutzergruppen, auch das Recht über ArcFlow.Next zuzugreifen.
|
|
Gerade beim Zugriff über ArcFlow.Next von außerhalb des eigenen Firmen-Netzwerkes sollte auf die Passwortsicherheit besonderen Wert gelegt werden. |
Zusätzlich behält der Administrator die Übersicht, welche Benutzer über ArcFlow.Next zugreifen können. Diese sind alle der entsprechenden Benutzergruppe zugewiesen.
Überprüfung der bestehenden Rechte
Nach der Definition der Berechtigungen können die Rechte der Benutzer überprüft werden. Dazu kann ein Benutzer der Administratorengruppe einzelne Arbeitsmappen prüfen, indem im Kontextmenü der Eintrag "Erweitert / Rechteverwaltung" angeklickt wird. Es kann dann ein Benutzer ausgewählt und die Seite "Effektive Berechtigungen" angezeigt werden.
Der Benutzer "PKL" ist in den Benutzergruppen "Vertrieb" und "Auszubildende". In den Untermappen einer Kundenmappe würde er zum Beispiel bei den Archiven das Lese- und das Änderungsrecht durch die Gruppe "Vertrieb" bekommen. Das Änderungsrecht wird aber durch das Verbot in der Gruppe "Auszubildende" überschrieben.
Besonderheiten bei der Vergabe von Berechtigungen
- Vererbung von Rechten
- Durch die Vererbung von Rechten, können allen Mappen eines Teilbaums des Mappenbaumes die gleichen Rechte gegeben werden. Alle bestehenden Mappen bekommen die Kennzeichnung "Archivrechte von Elternmappe erben" bzw. "Mappenrechte von Elternmappe erben". Es können aber neue Arbeitsmappen angelegt werden, die ihre eigenen Rechte mitbringen. Es ist damit möglich, dass in der Elternmappe "Rechte an Untermappen vererben" aktiviert ist, in einer Untermappe aber nicht "Rechte von Elternmappe erben".
- Änderungen der Rechte in Vorlagemappen
- Für immer wiederkehrende identische Strukturen (wie zum Beispiel bei Kunden oder Artikeln) sollen Vorlagemappen verwendet werden. Auf diese weise kann icht nur garantiert werden, dass alle Kunden die gleiche Ablagestruktur haben, auch Änderungen an der Struktur oder den Berechtigungen lassen sich einfach durchführen. Nach den Änderungen an der Vorlage können alle bestehenden Arbeitsmappen auf Basis der Vorlage aktualisiert werden.
- Kopieren von Arbeitsmappen
- Beim Kopieren einer Arbeitsmappe bleiben die Rechte der Benutzer an der Mappe erhalten. Wird zum Beispiel eine Arbeitsmappe aus dem Teilbaum "Wissen" in die Arbeitsmappe "Kunden / Lieferanten" kopiert oder verschoben, können Benutzer der Gruppe "Vertrieb" die Mappe trotzdem nicht ändern. Das ist auch unabhängig davon, dass die Rechte von "Kunden / Lieferanten" vererbt werden.
