910 Benutzer verwalten
Die Benutzerverwaltung wurde mit Version 7.7 durch eine neue Verwaltung über die Management Konsole des infra:NET Servers ersetzt. Siehe ausführliche Beschreibung im Datenbankhandbuch INFRADB.PDF.
Um infra:NET vor unbefugten Benutzern zu schützen, können in diesem Arbeitsgebiet Benutzer und deren Rechte verwaltet werden. Es existieren dafür zwei Programme, in denen
-
die Benutzer und deren Bereichsrechte, Sonderrechte, Mitgliedschaften und Kennworte (siehe 911 Benutzernamen, Rechte) und
-
benötigte Bereichsrechte und ggf. zusätzliche Kennworte für die Programme (siehe 912 Benutzerrechte je Programm)
verwaltet werden.
Die Bereichsrechte werden in Form von Ziffern (0 bis 8) festgelegt. Dabei ist zu beachten, dass sich hinter den einzelnen Bereichsrechten keine fest programmierten "Zulässigkeiten" für die Benutzer verbergen, sondern schlicht eine Rangfolge, die der einzelne Betrieb selber festlegt.
-
In "911 Benutzernamen, Rechte" bestimmen die Kennziffern, welche Rechte der Benutzer für einen bestimmten Modulbereich hat (0 -" Benutzer hat keine Rechte, 8 -" Benutzer hat alle Rechte).
-
In "912 Benutzerrechte je Programm" bestimmen die Kennziffern, welche Bereichsrechte benötigt werden, um ein bestimmtes Programm anwählen zu können (0 -" keine Rechte nötig, 8 -" alle Rechte nötig).
Die Benutzergruppen, Benutzerkonten und ihre Rechte sollten vor Beginn der Arbeiten mit infra:NET eingetragen werden. Für diese ersten Arbeiten sind die Benutzer, "Administrator" und "infra" jeweils ohne Kennwort vordefiniert. Der Benutzer "Administrator" (Mitglied der Gruppe "Administratoren") verfügt dabei immer über maximale Rechte in allen Bereichen und kann nicht gelöscht werden. Der Benutzer "infra" hat Supervisor-Rechte und darf damit mehr als ein normaler Benutzer, aber (im Auslieferungszustand) weniger als der "Administrator" - zum Beispiel keine Benutzer verwalten. Aus Sicherheitsgründen sollte diesen beiden vordefinierten Benutzerkonten unmittelbar nach Installation ein Kennwort zugewiesen werden.
Achtung
Bei einer Aktualisierung von einer früheren infra-Version ohne Administrator-Benutzerkonto verliert der bisherige infra-Supervisor die Rechte zur Anwahl folgender Programme: "911 Benutzernamen, Rechte", "912 Benutzerrechte je Programm", "934 Konfigurationsparameter MWI", "935 Konfigurationsparameter AUF und MwSt", "936 Konfigurationsparameter FST", "937 Konfigurationsparameter VNK", "938 Konfigurationsparameter MBP", "920 Kapazitätsermittlung, Dateien definieren", "9963 Bestände prüfen"
Außerdem berechtigt das Supervisorrecht allein nicht mehr zur Verwaltung von Benutzern in Modul "911 Benutzernamen, Rechte". Auch für das Schreiben von Vorbelegungssätzen in den infra-Stammdatenprogrammen werden zusätzliche Rechte benötigt.
Wenn ein Benutzer ein Programm anwählt, wird geprüft, ob er mindestens die für das Programm festgelegten Bereichsrechte besitzt.
Dabei werden drei Fälle unterschieden:
-
Der Benutzer besitzt nicht die erforderlichen Bereichsrechte (zum Beispiel hat der Benutzer das Bereichsrecht 4 und das Programm erfordert das Recht 5).Er kann das Programm also nicht anwählen.
-
Der Benutzer besitzt genau die erforderlichen Rechte (zum Beispiel hat der Benutzer das Bereichsrecht 5 und das Programm erfordert das Recht 5).In diesem Fall fordert das Programm den Benutzer zur Eingabe eines Kennworts auf, sofern ein Kennwort hinterlegt wurde.
-
Der Benutzer besitzt mehr als die erforderlichen Bereichsrechte (zum Beispiel hat der Benutzer das Recht 6 und das Programm erfordert das Recht 5).Unter diesen Umständen kann der Benutzer das Programm anwählen, ohne dass das Programm ein Kennwort verlangt wird.
Zusätzlich zu den in "911 Benutzernamen, Rechte" und "912 Benutzerrechte je Programm" vergebenen Rechten können im Arbeitsgebiet 990 für die Stammdatenprogramme Rechte je Programm und Feld vergeben werden.
Beispiele
Der Benutzer "Mayer" hat in ""911 Benutzernamen, Rechte" für den Bereich "Auftragsverwaltung und Fakturierung" das Bereichsrecht 3, Benutzer "Müller" hat für denselben Bereich das Recht 5, also eine höhere "Rangstufe".
Nun soll festgelegt werden, dass Mayer zwar Aufträge bearbeiten, aber keine Rechnungen schreiben darf. Für Rechnungen ist Müller zuständig. Um das zu gewährleisten, wird in "912 Benutzerrechte je Programm" für die Rechnungsverwaltungsprogramme das Recht 5 vergeben, für die Auftragsverwaltungsprogramme das Recht 3. Damit ist gewährleistet, dass Mayer die Rechnungsverwaltungsprogramme nicht anwählen kann.
Mit dieser Konstellation ist es jedoch möglich, dass Müller Aufträge bearbeitet. Wenn nun aber gerade das verhindert werden soll, müssen neue Bereichsrechte für einen der beiden Mitarbeiter und für die Programme vergeben werden. Also erhält Müller ebenso wie Mayer für den Bereich "Auftragsverwaltung und Fakturierung" das Recht 3. Die Rechnungsverwaltungsprogramme dürfen nun ebenfalls nur das Recht 3 verlangen. Um sicherzustellen, dass wirklich jeder der beiden Mitarbeiter nicht mit den Programmen des jeweils anderen arbeiten kann, werden alle Auftragsverwaltungsprogramme und alle Rechnungsverwaltungsprogramme zusätzlich mit einem Kennwort geschützt, das nur dem jeweiligen Mitarbeiter - also Mayer bzw. Müller - bekannt ist. Dieses Kennwort wird abgefragt, sobald einer der beiden Benutzer ein Rechnungsprogramm oder ein Auftragsverwaltungsprogramm starten möchte. Die Abfrage erfolgt, weil das vom jeweiligen Programm geforderte Recht (3) mit dem jeweiligen Bereichsrecht des Benutzers (3) übereinstimmt.
