Suchen | Neu Gruppe/Recht | Speichern | Abbruch | Hilfe |
Übersicht (0/0) ≪ < 1 > ≫ - Beispiel-Gruppe (N) |
|
Ein Berechtigungssatz setzt sich zusammen aus einer Gruppe, dem Objekttyp und Objektnamen sowie einem Nutzerrecht, welches sich als Kombination von mindestens einem der einzelnen Nutzerrechte zusammensetzt. Die Objektnamen werden in Abhängigkeit vom gewählten Objekttyp passend eingeblendet.
Beispiel: Die admin-group: Hier sind Objekttyp und Objekt leer, 'Nutzerrecht' hat nur einen einzigen Haken bei 'Admin'. Damit sind alle Aktionen ausführbar. Die Berechtigungssätze für die vordefinierten Gruppen sind im obigen Menü lesbar.
Das 'execute Object'-Recht wird nur für Abfragen, Ausgabeseiten, Up- und Downloads berücksichtigt. Das 'create PDF'-Recht wird derzeit nur für Ausgabeseiten verwendet.
Ein Nutzer, der ein Objekt neu erstellt hat, ist Owner / Eigentümer dieses Objektes. Der Eigentümer eines Objektes kann niemals geändert werden. Besitzt er eines der drei Rechte read / edit / delete own Object, so kann er die entsprechende Tätigkeit für sein Objekt ausführen.
Eine Besonderheit des hiesigen Systems liegt darin, daß diese Owner-Regelung nicht nur für Systemobjekte, sondern ebenfalls für Zeilen benutzerdefinierter Tabellen gilt. Damit ist es möglich, Nutzern das Recht zum Lesen aller Zeilen, dem Hinzufügen neuer Zeilen und dem Editieren/Löschen eigener Objekte zu erteilen. Ein Nutzer kann damit alle Datensätze lesen, neue Zeilen hinzufügen und nur seine eigenen Datensätze ändern. Alternativ kann die Leseberechtigung auch nur für die eigenen Zeilen erteilt werden. Dann liefern die Views nur die vom aktuellen Nutzer erstellten Zeilen aus.
Zusätzlich zu den beiden Varianten 'alle Zeilen' und 'eigene Zeilen' steht mit den gruppenbezogenen Rechten (read groupRows usw.) eine Möglichkeit für eine horizontale Partitionierung von Tabellen zur Verfügung. Gehört ein Nutzer zu einer Gruppe, welcher diese Rechte in bezug auf Tabellenzeilen zugeordnet sind, wurde einigen Tabellenzeilen beim Erstellen zusätzlich eine Gruppen-ID (die ID eines anderen Nutzers) in der vordefinierten Spalte _Group zugewiesen und ist der Nutzer über das Menü 15: Gruppenmitglieder mit diesem verantwortlichen Nutzer (eventuell eingeschränkt auf eine Tabelle) verknüpft, dann kann er jene Aktionen (Lesen, Hinzufügen, Ändern und Löschen) für diese Teilmenge von Zeilen ausführen, wie sie über die Rechtevergabe erlaubt wurde. Innerhalb von Ausgabeseiten lassen sich diese Techniken über Vorbelegungen automatisieren.
StvAdmin/Admin zu sein heißt also, einerseits auf ein Objekt lesend/schreibend zugreifen zu dürfen. Andererseits ist es eine notwendige Bedingung zur Erstellung von Berechtigungssätzen. Diese StvAdmin/Admin-Berechtigung kann, aufgrund der Hierarchie von Objekttyp/Objekt, für alle Objekttypen, für alle Objekte eines Typs oder nur für ein einzelnes Objekt gelten. Das 'manage own Object' - Recht kann dagegen zwar global verliehen werden. Wird dem Nutzer jedoch nicht mindestens ein Add-Recht zur Erstellung eigener Objekte erlaubt, so bleibt dieses 'manage own Object' - Recht wirkungslos. Denn der Nutzer hat kein Objekt, welches er unter 'Objekt' auswählen und den erzeugten Datensatz erfolgreich speichern könnte. Ferner kann ein Nutzer mit 'manage own Object'-Recht und einer von ihm verwaltbaren Gruppe zu dieser Kombination nur Berechtigungssätze erstellen / bearbeiten / löschen, die keines der drei Rechte 'create PDF', 'StvAdmin' oder 'Admin' haben. In diesem Sinne ist das 'manage own Object'-Recht schwächer als 'StvAdmin' oder 'Admin' für dieses Objekt.
Für benutzerdefinierte Gruppen ('other group') gilt: Zur Erstellung von Gruppen ist zum Objekttyp 'Gruppen' das Add-Recht notwendig. Bei der Berechtigungsprüfung für das Menü 13 wird unterschieden, ob es sich um einen neuen Nutzer oder um eine neue Gruppe handelt. Da das Hinzufügen von Nutzern zu einer Gruppe eine administrative Tätigkeit darstellt, ist hierfür das StvAdmin/Admin-Recht oder das 'manage own Object' - Recht notwendig, letzteres, falls es sich um eine Gruppe im eigenen Besitz handelt. Dieselben Prinzipien gelten bei Berechtigungssätzen: Hier kann eine Gruppe verwendet werden, falls der ausführende Nutzer entweder mindestens StvAdmin für den Objekttyp 'Gruppen' ist oder er Besitzer der Gruppe mit Selbstverwaltungsrecht ist.
Für das Menü 13 / Nutzer und Gruppen gibt es zwei Berechtigungen: Der Objekttyp 'Nutzer' bedeutet, Daten anderer Nutzer lesen zu dürfen oder neue autorisierte Nutzer zu erstellen. Der Objekttyp 'Gruppen' bedeutet, Gruppen erstellen und ihnen Mitglieder zuweisen zu dürfen. Ein Hinzufügen eines neuen Datensatzes im Menü 13 führt zu zwei verschiedenen Sicherheitsprüfungen in Abhängigkeit davon, ob es sich um einen neuen Nutzer oder eine neue Gruppe handelt.
<Protokolldaten> bietet die Möglichkeit, die nutzerübergreifende Leseberechtigung mittes Read sowie das Recht zum Download von Protokolldaten und Löschen alter Protokolldaten mittels StvAdmin/Admin zuzuweisen. Alle anderen Berechtigungen werden ignoriert.
<Kundendaten> bietet den Zugriff auf die Untermenüs <Datenbank>, <Buchungen> sowie <Kundendaten> im Menü 14 - Eigene Daten. Mit dem Read-Recht können diese drei Masken aufgerufen werden. Das Write-Recht erlaubt die Speicherung einer geänderten Datenbank-Größe oder des Vorauszahlungszeitraumes. Für die Änderung der Kundenhauptdaten, welche den Daten der Erstanmeldung entsprechen, sind StvAdmin/Admin-Rechte notwendig.