---

Hallo Freunde,
ich brauche Eure Hilfe bei dem Thema: SICHERHEIT.

Einen meiner Mitarbeiter habe ich gerade erwischt, als er ein freigegebenes Dokument mit Hilfe des Datei-Explorers ändern wollte. 

Was er macht: Durch das „Angelegt am“ weiß er sofort an welcher Stelle man suchen muss. Gut, dass die Compass-Struktur so übersichtlich ist:

Data → Jahr (2002) → Monat (01) → Unterordner ( 0 ) → Dokumente

Dann das Dokument aussuchen, rechte Maustaste und Eigenschaften unter Attribute Schreibschutz Haken raus. Fertig. Jetzt kann er belibige Änderungen vornehmen ohne dass ich das weiß.  Schei... spiel. Oder??? 

Meine Frage:
Was kann ich dagegen tun ??

Gruß

Peter K

------------------
Jeden Tag eine gute Tat! 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Peter,

gibt mehrere Möglichkeiten:

1) Das Ding nennt sich Compass ACM (Access Control Manager). Ich trau's mich ja fast nicht sagen, aber das ist Zusatzmodul, das gekauft werden muss.

Die Funktionsweise ist grundsätzlich ganz einfach:
Zu jedem Compass-Benutzer muss es einen equivalenten Benutzer in Windos-Geben, für die Compass-Eigentümergruppen (das sind OFFICE_ und ENGINEERING_EMPLOYEES) eine entsprechende Windows-Gruppe.

Mit jeder Änderung an einem Compass-Dokument (Neuanlage, Statuswechsel etc.) wird eine Funktion angestoßen, die die akutellen Rechte der Benutzer und Gruppen aus Compass auf die Benutzer und Gruppen von Windows überträgt.
Der große Vorteil dabei ist, dass wirklich nur die Windows-Standardfunktion der Rechteverwaltung verwendet wird (es gibt also keine Tresore, Verschlüsselungen etc., von denen nicht jeder unbedingt begeistert ist).

2) Windows bietet eine Überwachungsfunktion für den Zugriff auf Ordner an.
Aktivierbar ist diese wie folgt:
- Rechtsklick auf einen Ordner, Kontextmenü "Eigenschaften"
- Registerkarte "Sicherheit"
- Befehl "Erweitert"
- Registerkarte "Überwachung"

Hier kann festgelegt werden, welche Benuzter und/oder Benutzergruppen für welche Art des Zugriffs überwacht werden.
Eine gesammelte Protokollierung aller Zugriffe ist im Windows-Erignisprotokoll zu finden.

Voraussetzung für den Einsatz ist die Verwendung des NTFS-Dateisystems am Server, auf dem die Daten überwacht werden sollen. Weiters wird eine Konzeptionsphase sinnvoll sein, in der festgelegt wird, welche Ordner auf welche Art des Zugriffs überwacht werden und für welche Benutzer(gruppen), da eine zu umfangreiche Protokollierung wiederum sehr zeitaufwendige Analysen nach sich zieht.

Wie das ganze genau funktioniert, welche Einstellungen zu treffen sind und worauf zu achten ist, weiß ich nicht, hab' mich noc nie näher damit beschäftigt.

3) Es gibt die Möglichkeit, über die Registrierung des jewiligen Rechners Laufwerke auszublenden. So kann z.B. der Zugriff auf die Compass-Daten über eine Freigabe gemappt und das entsprechende Laufwerk ausgeblendet werden.
Der Zugriff als solches (also vom rechtlichen Standpunkt) wird dadurch nicht beeinflussst, aber das Laufwerk ist nicht mehr im Explorer etc. sichtbar. Der Nachteil dabei: du musst den Eintrag in der Registrierung an jedem Rechner vornehmen. Außerdem bin ich mir nicht sicher, ob es nicht doch irgendwo eine Lücke gibt, auf das Laufwerk zuzugreifen (Kommandozeile etc.)
Wie's genau funktioniert, kann ich leider nicht sagen, ist aber im Internet zu finden. Vielleicht finde ich noch die Zusammenfassung, die ich da vor langer Zeit mal hatte, aber versprechen kann ich's nicht.

Hoffe, geholfen zu haben.

Ciao,
WolfgangE

P.S.: Die Thematik wird übrigens immer wieder mal angesprochen. Dabei wird meist folgendes geantwortet: Compass ist in diesem Zusammenhang ein reines DokumentVERWALTUNGS-Programm, kein Archivierungssystem oder Security-Irgendwas. Da die Anforderung aber eben immer wieder gekommen ist, wurde der ACM dafür enwickel.

Änderung des Beitrags:
Eine Möglichkeit fällt mir auch noch ein: die Compass-Ordnerstuktur lässt sich natürlich auch ändern. Man könnte also z.B. die Dateien so ablegen lassen (nach irgend einem anderen Compass-Wert), dass sie ohne Compass garantiert nicht mehr gefunden werden (wir haben mal aus administrativen Gründen die Ablage so umgestellt, das pro EntityType und Dokumenttyp gespeichert wird).
Ist sicher keine schöne oder optimale Lösung für dein Problem, aber theoretisch denkbar und ich möchte es der Vollständigkeit halber erwähnen. Wenn sich allerdings jemand ein klein wenig besser mit Compass auskennt (Entwickler-Doku etc.), kriegt er den Pfad immer raus. Außerdem müssten die ganzen Bestandsdaten in das neue File-System übernommen werden.

------------------
An Optimist Is A Person Who Has Not Been Shown All The Facts Yet!!!

[Diese Nachricht wurde von WolfgangE am 22. Jan. 2004 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo PeterK, hallo WolfgangE,

die Idee mit der differenzierten Dateiablage von Wolfgang ist eigentlich der richtige Ansatz für Dich Peter.

Du musst über eine Anpassung einfach die freigegebenen Dokumente in ein anderes Verzeichnis verschieben lassen auf die man über die NT Bereichtigung nur lesenden Zugriff hat.

Es ist jetzt nur die Frage, ob Du eine Easy oder eine Pro hast. Bei der Pro ist das ganz einfach über eine Anpassung der Statusverwaltung möglich. Bei der Easy wird das glaub' ich ein bisschen komplizierter... , aber trotzdem machbar.

------------------
Angenehmen Tag noch... ;-)

Shadow01

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Wenn dies so realisiert wird, ist nur darauf zu achten, dass ein Dokument auch wieder "In Änderung" genommen werden kann. Da müsste die Datei dann wieder zurückverschoben werden!

------------------
An Optimist Is A Person Who Has Not Been Shown All The Facts Yet!!!

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

@Shadow01,

ich glaub, das wird so doch nicht funktionieren. Compass greift ja auf das Filesystem mit den Berechtigungen des aktuellen Windows-Benutzers zu. Wenn nun also bei der Freigabe eine Datei in einen Ordner verschoben werden soll, wo kein Schreibzugriff gegeben ist, kann die Datei ja nicht verschoben werden!

Es sei denn, du bringst es fertig, den Schreibzugriff für den Kopiervorgang zu geben und dann wieder zu nehmen.

------------------
An Optimist Is A Person Who Has Not Been Shown All The Facts Yet!!!

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Wolfgang,

in der Pro Version ist das kein Problem, da ich dann in einer DBP Routine die Rechte umstellen kann.

Generell würde ich die Lösung aber über eine gespeicherte Procedure im SQL Server erledigen lassen. Die läuft immer im Kontext des SQL Dienste Konto's. Da der SQL Server auch alle Dateioperationen durchführen kann ist das eine updatesichere Lösung die von einem normalen Benutzer auch nicht ohne erweiterte Kenntnisse beeinflusst werden kann. Wenn man die Procedure verschlüsselt kann man Sie auch nicht mehr verändern.

Im Detail:

Ein Trigger beobachtet ob es eine Statusänderung gibt. Wenn die Statusänderung auf 'Zu Prüfen' oder 'Freigegeben' durchgeführt wird. Wird das Dokument in ein anderes Verzeichnis geschoben und der Pfad in der Tabelle angepasst. Entsprechend bei einem Statuswechsel nah 'In Änderung nehmen'.

Das ist eine Lösung, die mit allen Compass Versionen funktioniert!

------------------
Angenehmen Tag noch... ;-)

Shadow01

[Diese Nachricht wurde von Shadow01 am 26. Jan. 2004 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP