Schönen guten Tag
In Act ist es ja möglich für jeden einzelnen Datensatz die Zugriffsrechte zu definieren. Dies ist sehr nützlich. Ich habe jedoch Gerüchte gehört, dass man irgendwie diese Zugriffsrechte umgehen kann auf eine Art und Weise. Ich habe aber selber nicht herausgefunden wie dies geht. Nun ist meine Frage, ob man diese Zugriffsrecht umgehen kann oder nicht?
Freundliche Grüsse
vk
Zugriffrechte
Moderatoren: Ingrid Weigoldt, Schlesselmann, Amrou, mtimmermann, Robert Schellmann, Thomas Benn
Zugriffsrechte für Dateianlagen
Hallo,
da sich niemand dieser Frage angenommen hat, antworte ich einfach mal darauf. Ja, die Sicherheitsbeschränkungen von ACT lassen sich umgehen. Dies betrifft aber nicht die Daten in der SQL Datenbank, sondern die Anlagen, die über einen UNC Pfad am Server freigegeben werden (Windows Freigabe). Beim direkten Zugriff auf die Freigabe werden natürlich ACT beschränkungen für private anlagen und ähnliches nicht berücksichtigt.
Ich hoffe das beantwortet die Frage hinreichend
Gruß,
Philipp
da sich niemand dieser Frage angenommen hat, antworte ich einfach mal darauf. Ja, die Sicherheitsbeschränkungen von ACT lassen sich umgehen. Dies betrifft aber nicht die Daten in der SQL Datenbank, sondern die Anlagen, die über einen UNC Pfad am Server freigegeben werden (Windows Freigabe). Beim direkten Zugriff auf die Freigabe werden natürlich ACT beschränkungen für private anlagen und ähnliches nicht berücksichtigt.
Ich hoffe das beantwortet die Frage hinreichend
Gruß,
Philipp
Die UNC Freigabe betreffend habe ich auch eine Frage. Kann man die Freigabe auch in eine Versteckte Freigabe ($) verwandeln und die Zugriffsrechte beschränken, so dass nur Domänenmitglieder Zugriff erhalten können? Ich finde das die Sicherheitsvorkehrungen wie sie out-of-the-box sind nicht gerade befriedigend. Schliesslich soll ja nicht jeder die Datenkopieren oder löschen können.
Zugriff Einschränken
Jein.
Der Zugriff lässt sich zwar mit Ntfs und Freigabeberechtigungen beschränken, aber zu viel kan man auch nicht daran verbessern.
Ich habe eine Domänen-Gruppe ACT-Benutzer, welche Zugriff auf die ACT Datenbankverzeichnisse haben (NTFS). Zusätzlich habe ich auch Verzeichnisebene nur lesenden Zugriff auf die Verzeichnisse "Templates | Layouts" gesetzt, da diese bei uns statisch sind.
Die Freigabeberechtigung habe ich auf Jeder - Vollzugriff gelassen, da diese von ACT bei Bedarf neu Angelegt wird und jeder wieder Vollzugriff erhält.
Probelmatisch finde ich hierbei, dass der ACT Network Sync Dienst Dateien immer unter seinem eigenen Benutzereraccount erstellt. Es geht somit die Info verloren, wechem Benutzer diese Datei gehört. Ausserdem werden NTFS Berechtigungen nicht im Backup von ACT mit eingeschlossen, so daß eine weitere Verfeinerung der NTFS Berechtigungen sinnlos wäre. Man kann mit einem zusätlichen ntbackup Job die Anlagen und NTFS Berechtigungen sichern - aber, es wird immer eine wackelige Angelegenheit bleiben hier nachzubessern und muss beim Wiederherstellen der Datenbank aus einem Backup berücksichtigt werden.
Rein Theoretisch wäre es toll, wenn ACT Unterverzeichnisse für jeden Benutzer unter /Attachments erstellen würde, auf die nur der Benzutzer und ACT Network Sync zugriff haben. Darin liessen sich private Anlagen einigermassen sicher ablegen, synchronisieren und vor neugierigen Blicken verstecken. Leider ist das nicht so vorgesehen bei ACT.
Das Verstecken der Freigabe durch "$" wird nicht funktionieren, da ACT beim laden der Datenbank dann selber die Datenbankzusatzdateien nicht finden kann. Ausserdem wird der Freigabename automatisch von ACT festgelegt, wenn die Datenbank freigegeben wird. Jedenfalls glaube ich zu erinnern, daß es sich so dargestellt hat
Ich habe schon überlegt, ob man für Remote-Datenbanken die Anlagen einfach gar nicht synchronisiert und mit einem separatem Tool (z.b. Robocopy aus dem Administration Tools Pack von Windwos) die Verzeichnisse samt NTFS Berechtigungen und Unterverzeichnisse (wenn vorhanden) in regelmässigen Interwallen synchronisiert. Praktisch probiert habe ich das jedoch noch nicht - es wäre eben eine Bastellösung und nicht mehr ACT. So liessen sich aber eventuell Benutzerrechte besser verwalten, so daß z.B. jeder Benutzer nur ihre eigenen Anlagen löschen und editieren kann, nicht aber die, anderer Benutzer usw. Auch Templates liessen sich dann in Unterordner organisieren und könnten von speziellen Benutzern oder Benutzergruppen geändert werden ...
Da es aber noch genug andere Ecken von ACT zum Bearbeiten gibt, hat das keine sehr hohe Priorität für mich. Wer es probiert, kann mir gerne seine Erfahrungen schiildern )
Der Zugriff lässt sich zwar mit Ntfs und Freigabeberechtigungen beschränken, aber zu viel kan man auch nicht daran verbessern.
Ich habe eine Domänen-Gruppe ACT-Benutzer, welche Zugriff auf die ACT Datenbankverzeichnisse haben (NTFS). Zusätzlich habe ich auch Verzeichnisebene nur lesenden Zugriff auf die Verzeichnisse "Templates | Layouts" gesetzt, da diese bei uns statisch sind.
Die Freigabeberechtigung habe ich auf Jeder - Vollzugriff gelassen, da diese von ACT bei Bedarf neu Angelegt wird und jeder wieder Vollzugriff erhält.
Probelmatisch finde ich hierbei, dass der ACT Network Sync Dienst Dateien immer unter seinem eigenen Benutzereraccount erstellt. Es geht somit die Info verloren, wechem Benutzer diese Datei gehört. Ausserdem werden NTFS Berechtigungen nicht im Backup von ACT mit eingeschlossen, so daß eine weitere Verfeinerung der NTFS Berechtigungen sinnlos wäre. Man kann mit einem zusätlichen ntbackup Job die Anlagen und NTFS Berechtigungen sichern - aber, es wird immer eine wackelige Angelegenheit bleiben hier nachzubessern und muss beim Wiederherstellen der Datenbank aus einem Backup berücksichtigt werden.
Rein Theoretisch wäre es toll, wenn ACT Unterverzeichnisse für jeden Benutzer unter /Attachments erstellen würde, auf die nur der Benzutzer und ACT Network Sync zugriff haben. Darin liessen sich private Anlagen einigermassen sicher ablegen, synchronisieren und vor neugierigen Blicken verstecken. Leider ist das nicht so vorgesehen bei ACT.
Das Verstecken der Freigabe durch "$" wird nicht funktionieren, da ACT beim laden der Datenbank dann selber die Datenbankzusatzdateien nicht finden kann. Ausserdem wird der Freigabename automatisch von ACT festgelegt, wenn die Datenbank freigegeben wird. Jedenfalls glaube ich zu erinnern, daß es sich so dargestellt hat
Ich habe schon überlegt, ob man für Remote-Datenbanken die Anlagen einfach gar nicht synchronisiert und mit einem separatem Tool (z.b. Robocopy aus dem Administration Tools Pack von Windwos) die Verzeichnisse samt NTFS Berechtigungen und Unterverzeichnisse (wenn vorhanden) in regelmässigen Interwallen synchronisiert. Praktisch probiert habe ich das jedoch noch nicht - es wäre eben eine Bastellösung und nicht mehr ACT. So liessen sich aber eventuell Benutzerrechte besser verwalten, so daß z.B. jeder Benutzer nur ihre eigenen Anlagen löschen und editieren kann, nicht aber die, anderer Benutzer usw. Auch Templates liessen sich dann in Unterordner organisieren und könnten von speziellen Benutzern oder Benutzergruppen geändert werden ...
Da es aber noch genug andere Ecken von ACT zum Bearbeiten gibt, hat das keine sehr hohe Priorität für mich. Wer es probiert, kann mir gerne seine Erfahrungen schiildern )