Berechtigungskonzept

Rechteverwaltung in VB Office

Begriffsbestimmungen:

Objekt
Ein Objekt im Rahmen der Rechteverwaltung ist ein Datenbereich auf den Administratoren und berechtigte Benutzer mit u. U. unterschiedlichen Rechten (lesen/ansehen, schreiben/bearbeiten, löschen/verschieben, erzeugen neuer Daten)zugreifen dürfen.
Element
ist sinngemäß wie ein Objekt.
Rechte
Die Rechte einer Benutzergruppe oder eines Benutzers stellen dar, welche Rechte die Benutzergruppe oder der einzelne Benutzer auf die Daten anwenden kann (lesen/ansehen, schreiben/bearbeiten, löschen/verschieben, erzeugen neuer Daten).
Benutzer
Der „Benutzer" wird zur Authentifizierung im Rahmen der Berechtigungsprüfungen verwendet. Jeder Benutzer erhält in VB-Office eigene Rechte für den Zugriff auf die Daten. Hinter einem Benutzer in VB-Office steht immer eine im System arbeitende Person.
Benutzergruppe
Eine Benutzergruppe ist die Gruppierung mehrerer VB-Office-Benutzer mit dem Ziel, ihre Berechtigungen zur Nutzung einzelner Funktionen und Datenbereiche der Software in einer Gruppe strukturiert zu verwalten. Die Rechte einer Gruppe hat jeder Benutzer, der in dieser Gruppe eingetragen ist.
Besitzer
Mit "Besitzer" ist der aktuelle Besitzer von Daten gemeint. Legt ein Benutzer Daten in VB-Office an, wird er zum Besitzer der Daten. Der Besitzer hat solange alle Rechte an den Daten, bis er den Besitz daran abgibt oder der Besitz durch einen Administrator von einem Besitzer an einen anderen Besitzer übertragen wird.
Administrator
Ein Administrator ist ein Benutzer mit erweiterten Rechten. Der Administrator hat Rechte, die sich auf administrative Tätigkeiten in den Systemeinstellungen und Pflege Tabellen beziehen. Ein Administrator kann grundsätzlich nur in der Gruppe Administratoren angelegt werden. Wird ein Benutzer aus einer normalen Benutzergruppe in die Gruppe Administratoren verschoben, so hat dieser automatisch Administratorrechte. Ein Administrator hat grundsätzlich alle Rechte auf alle Daten.
Besitz übertragen
Sowohl der Besitzer von Daten als auch ein Administrator kann den Besitz auf einen anderen Benutzer übertragen. Überträgt ein Benutzer seinen Besitz auf einen anderen Benutzer, so verliert er den Besitz daran.

Grundsätzliche Aussagen:

OBJEKT
  • Ein Objekt wird auch als Element (Ein Element im Objektbaum) bezeichnet. (Nicht zu verwechseln mit einem Bauobjekt / Immobilie)
  • Ein Objekt ist die kleinste Einheit auf die ein Benutzerrecht ausgeübt werden kann.
  • Ein Objekt kann in VB-Office eine Tabelle z.B. Hilfstabelle (LOV - List of Values) sein.
  • Ein Objekt kann in VB-Office ein Datensatz sein.
  • Ein einzelnes Datenfeld ist in VB-Office kein Objekt.
  • Ein Objekt wird stets einem Besitzer und einer Gruppe zugeordnet.
  • Wird ein neues Objekt angelegt, wird der angemeldete VB-Office Benutzer als Besitzer dieses Objektes festgelegt.
  • Bei Neuanlage eines Objektes wird es der Gruppe zugeordnet, welcher der anlegende Benutzer angehört.
RECHTE

Es gibt vier verschiedene Rechte, die ein Benutzer auf ein Objekt anwenden kann:

  • Lesen / Ansehen [READ]
  • Schreiben / Bearbeiten [WRITE]
  • Löschen / Verschieben [DELETE]
  • Erzeugen von neuen Daten (Verzeichnisse) [CREATE]
BENUTZER
  • Ein Benutzer kann beliebigen vorhandenen Benutzergruppen zugeordnet werden.
  • Wird ein Benutzer neben seiner eigenen Benutzergruppe zusätzlich anderen Benutzergruppen zugeordnet, erhält er die gleichen Rechte wie die in dieser Gruppe vorhandenen Benutzer.
  • Wird ein Benutzer gelöscht, und befindet sich im Papierkorb, kommt beim Anmeldeversuch der Hinweis dass der Benutzer bekannt ist, aber gelöscht wurde. Alle vorher in seinem Besitz befindlichen Objekte bleiben weiterhin in seinem Besitz.
  • Wird ein gelöschter Benutzer aus dem Papierkorb wiederhergestellt, funktioniert alles so wie vorher.
  • Wird ein Besitzer gelöscht und aus dem Papierkorb dauerhaft entfernt, wird als Besitzer des Objekte vom System „unbekannt" eingetragen.
  • Wird ein Benutzer aus einer Benutzergruppe in die Gruppe „Administratoren" verschoben, so wird dieser Benutzer ein Administrator mit erweiterten Rechten.
GRUPPE (Benutzergruppe)
  • Es gibt zwei unterschiedliche Arten von Benutzergruppen.
    • Gruppe der Administratoren
      die Gruppe der Administratoren wird bereits mit der Installation von VB Office angelegt. Es können keine weiteren Administratoren-Gruppen angelegt werden. innerhalb der Gruppe der Administratoren können beliebig viele Administratoren angelegt werden.
    • Gruppen der normalen Benutzer
      Die Gruppen für normale Benutzer werden von einem VB Office-Administrator angelegt. Es lassen sich beliebig viele Gruppen für normale Benutzer anlegen.
  • Jede Benutzergruppe kann unterschiedliche Berechtigungen auf die Daten erhalten.
  • In einer Gruppe können beliebig viele Benutzer angelegt werden. Die in der Gruppe befindlichen Benutzer erhalten die in der Gruppe angelegten Berechtigungen.
  • Wird eine Gruppe gelöscht und aus dem Papierkorb entfernt, wird für ein Objekt/Element „unbekannt" als Gruppenzugehörigkeit eingetragen.
BESITZER
  • Ein Objekt hat immer einen Besitzer.
  • Ein Objekt kann nur einen Besitzer haben.
  • Der Besitzer eines Objektes hat immer alle Rechte auf das Objekt.
  • Der Besitzer eines Objektes kann den Besitz auf einen anderen Benutzer übertragen.
ADMINISTRATOR
  • Ein Administrator ist ein Benutzer, mit erweiterten Rechten, die vom System vorgegeben sind.
  • Die Gruppe „Administratoren" ist eine Systemgruppe und kann weder von einem Benutzer noch von einem Administrator gelöscht werden.
  • Ein Administrator kann ausschließlich in der Gruppe Administratoren angelegt werden.
  • Der Benutzer mit der Bezeichnung „Administrator", der in der Gruppe Administratoren abgelegt ist, ist eine Systemvorgabe. Er kann nicht in eine andere Gruppe verschoben werden.
  • Der Benutzer mit der Bezeichnung „Administrator", der in der Gruppe Administratoren abgelegt ist, ist eine Systemvorgabe. Er kann nicht gelöscht werden. Es kommt zwar die Löschrückfrage aber der Löschvorgang wird nicht durchgeführt und mit einem Systemton quittiert.
  • Ein Administrator kann nur der Gruppe Administratoren angehören.
  • Ein Administrator hat immer alle Rechte auf alle Objekte, die es gibt.
  • Ein Administrator kann den Besitz des Objektes an einen anderen Benutzer übertragen.
  • Ein Administrator kann ein Objekt an eine andere Gruppe übertragen.
  • Ein Administrator kann die Zugriffsrechte für ein Objekt und gegebenenfalls alle darunterliegenden Objekte vergeben oder löschen.
BESITZ ÜBERTRAGEN
  • Der Besitz an einem Objekt kann an einen anderen Benutzer und eine andere Gruppe übertragen werden.

Rechtevergabe

Wie oben bereits erwähnt lassen sich Benutzern und Benutzergruppen Rechte auf die Elemente bzw. Objekte zu ordnen.\ Nachfolgendes Beispiel zeigt wie es funktioniert.

Wir nehmen an, es gibt im Objektbaum vier große Datenbereiche:

  • Datenbereich: 01 Feuerbeschau
  • Datenbereich: 02 Einsatzpläne
  • Datenbereich: 03 Veranstaltungen
  • Datenbereich: 04 Sonstiges

Dann gibt es die VB-Office-Benutzer, die unterschiedlichen Benutzergruppen zugeordnet sind:

  • Gruppe 01 Feuerbeschau -> Benutzer: Lehmann, ...
  • Gruppe 02 Einsatzpläne -> Benutzer: Müller, ...
  • Gruppe 03 Veranstaltungen -> Benutzer: Meier, ...
  • Gruppe 04 Sonstiges -> Benutzer: ALLE

Die Datenbereiche und Gruppen haben wir in diesem Beispiel gleich benannt, damit es besser verständlich ist.

Folgende Festlegungen werden getroffen:

Alle Benutzer, die in einer Gruppe sind, sollen die gleichen Rechte an ihren Daten haben.

Die Benutzer Lehmann, Müller, Meier sollen in ihren eigenen Gruppen jeweils alle Rechte haben

  • Lesen / Ansehen [READ]
  • Schreiben / Bearbeiten [WRITE]
  • Löschen / Verschieben [DELETE]
  • Erzeugen von neuen Daten (Verzeichnisse) [CREATE]

Im Datenbereich von Lehmann (01 Feuerbeschau) sollen Mueller und Meyer nur Leserecht haben.

Im Datenbereich von Müller (02 Einsatzpläne) sollen Lehmann und Meyer nur Leserecht haben.

Im Datenbereich von Meyer (03 Veranstaltungen) sollen Lehmann und Mueller nur Leserecht haben.

Im Datenbereich für ALLE (04 Sonstiges) sollen alle Benutzer alle Rechte haben.

Fangen wir an mit den Rechten auf die Datenbereiche:

Schritt 1:

  1. Melden Sie sich als Administrator in VB-Office an.
  2. Klicken Sie mit der rechten Maustaste im Objektbaum auf den Ordner des Datenbereich "01 Feuerbeschau"
  1. Wählen Sie aus dem Kontextmenü den Eintrag Eigenschaften
  1. Es erscheint der Dialog zum Einstellen der Rechte auf diesen Ordner
  1. Klicken Sie auf den Button "Besitz übertragen"
    Es erscheint der Dialog "Besitz übertragen" (siehe Bild unten)
  2. Dann setzen Sie das Häkchen: "Neuer Besitzer" Die Liste mit allen Administratoren und Benutzern ist nun aktiv.
  3. Wählen Sie einen von ihnen zuvor in der Gruppe der Administratoren angelegten Administrator für diesen Datenbereich beispielsweise " Admin FB".
  4. Setzen Sie das Häkchen "Neue Gruppe"
  5. Wählen Sie aus der aktivierten Liste die Gruppe "01 Feuerbeschau"
  6. WICHTIG: Setzen Sie das Häkchen "Besitz auch für alle untergeordneten Elemente übertragen".
  1. Klicken Sie den OK-Button, um den Besitz der Elemente an den neuen Besitzer und die neue Gruppe inklusive aller untergeordneten Elemente zu übertragen
    Es kann nun etwas dauern, bis die Änderungen bei allen Elementen erfolgt sind. Die Dauer ist abhängig von der Datenmenge und der Leistung des Servers.
    Wenn die Änderungen erfolgt sind, verschwindet der Dialog ohne eine weitere Meldung.
  2. Rufen Sie nun im gleichen Datenbereich 01 Feuerbeschau noch mal den Eigenschaften Dialog auf und wechseln Sie auf den Kartenreiter "Zugriff"
  3. Setzen Sie zuerst das Häkchen Zugriff auch für alle untergeordneten Elemente setzen.
  4. Danach entfernen sie die 4 Häkchen aus dem Bereich "Zugriff für alle anderen"
  5. Bevor sie auf den OK-Button klicken kontrollieren Sie bitte noch mal, ob alle Häkchen so sind, wie sie sein müssen, inklusive "Zugriff für alle untergeordneten Elemente setzen".
  1. Nun haben alle Benutzer die der Gruppe 01 Feuerbeschau angehören, alle Rechte auf diese Datenbereiche.

Ende Schritt 1

Die gleiche Prozedur führen sie nun für die Datenbereiche 02 Einsatzpläne, 03 Veranstaltungen und 03 Sonstiges durch.