Berechtigungsprüfer

Der Berechtigungsprüfer ist das zentrale Tool in agorum core, um die Berechtigungsstruktur eines Objekts anzuzeigen und nachzuvollziehen. Im Berechtigungsprüfer können Sie:

• Berechtigungen durch das Berechtigungssystem von Benutzergruppen und ACLs visualisieren und korrigieren
• die Berechtigungen eines Objekts überprüfen
• die Einschränkungen durch Systemflags analysieren und setzen
• nachvollziehen, warum Benutzer keinen Zugriff auf bestimmte Ordner oder Dateien haben
• prüfen, ob ein Objekt gesperrt ist, und ein Objekt sperren oder entsperren

Hintergrundinformationen und Voraussetzungen

---

Mit agorum core können Sie exakt steuern, welcher Anwender Zugriff auf welches Objekt (Ordner, Datei, Bild usw.) und welche Funktion hat.

Das Berechtigungssystem verwendet dafür verschiedene Einstellungen. Die meisten werden bei der Einrichtung des Systems festgelegt und durch einen Administrator eingestellt. Zusätzlich gibt es auch Systemfunktionen, die dazu führen können, dass etwa ein Anwender eine Datei nicht bearbeiten kann. Der Grund könnte sein, dass ein anderer Anwender die Datei bearbeitet und die Datei daher für die Bearbeitung durch andere Benutzer gesperrt ist.

Der Berechtigungsprüfer hilft Ihnen, die Einstellungen des Berechtigungssystems nachzuvollziehen. Einige Einstellungen können Sie auch direkt über den Berechtigungsprüfer bearbeiten und Inkonsistenzen oder Fehler beheben.

Vorwissen für die Verwendung

Für die Benutzung des Berechtigungsprüfers sollten Sie die Grundlagen des Berechtigungssystems von agorum core kennen und mit Ihren eigenen Systemeinstellungen vertraut sein, insbesondere bezüglich der eingerichteten Verzeichnisstruktur und den damit verknüpften Zugriffsrechten und den festgelegten Benutzergruppen. Wichtig ist auch, dass Sie wissen, welche Voreinstellungen Sie für die Revisionssicherheit festgelegt haben.

Im Berechtigungsprüfer werden die folgenden Begriffe und Konzepte vorausgesetzt. Die folgenden Links verweisen auf die Dokumentationen, in denen Sie Erklärungen dazu finden:

• Benutzergrupppen und ACLs
• Systemflags werden zum Beispiel für die Steuerung der revisionssicheren Ablage benötigt: Systemflags

Berechtigung

Sie können den Berechtigungsprüfer verwenden, wenn Sie Administrator sind und zur Verwendung der Werkzeuge für die Administration über folgende ACL berechtigt sind:

ACL_agorum admin tools

Öffnen des Berechtigungsprüfers

Klicken Sie oben rechts in der Kopfleiste auf  und dann auf Administration > Werkzeuge > Berechtigungsprüfer.

Übersicht über die Bedienoberfläche

---

Hauptbereiche der Einstiegsseite

Die Bedienoberfläche des Berechtigungsprüfers ist in mehrere Hauptbereiche unterteilt:

 

• Linke Fensterseite: Auswahl der Grundeinstellungen (Benutzer und Objekt)
  1. Auf der linken Fensterseite wählen Sie den Benutzer (oder die Benutzergruppe) aus, aus dessen Sicht die Zugriffsrechte auf das gewählte Objekt dargestellt werden sollen.
  2. Zusätzlich können Sie bei Bedarf das Objekt (die Datei oder den Ordner) direkt angeben, dessen Zugriffsrechte Sie sich anzeigen lassen möchten.
  3. In der Baumansicht oder Suchansicht können Sie nicht nur Objekte auswählen, sondern auch direkt über die Symbole einen Überblick über die Zugriffsrechte des ausgewählten Benutzers erhalten.
  4. Für den ausgewählten Benutzer können Sie zudem ein Informationsfenster mit einer Liste seiner Benutzergruppen und seiner ACLs öffnen.
• Rechte Fensterseite: Berechtigungsanzeige (Details)
  1. Ganz oben sehen Sie eine Zusammenfassung, welche Berechtigungen angezeigt werden.
  2. Auf der rechten Fensterseite finden Sie Informationen zu den Objektberechtigungen.
  3. Sie können die Systemflags einsehen und bei Bedarf setzen.
  4. Sie finden eine Liste der relevanten ACLs und können die ACL- und Gruppenstruktur öffnen und sich darin auch alle ACLs und Gruppen anzeigen lassen.
  5. Außerdem können Sie den Sperrstatus des Objekts überprüfen und bei Bedarf ändern.

Verwendete Symbole

Die folgenden Symbole werden verwendet, um Ihnen direkt in der Baum- oder Suchansicht des Dateisystems zu zeigen, über welche Zugriffsrechte der ausgewählte Benutzer auf das Objekt (den Ordner oder die Datei) verfügt.

Symbol	Bedeutung	Beschreibung
X	Kein Zugriff (no access)	Der Benutzer hat keinen Zugriff auf das Objekt.
R	Lesen (read)	Mit dem Leserecht kann der Benutzer dazugehörige Objekte nur lesen, aber nicht bearbeiten.
C	Auschecken (check_out)	Das Auschecken-Recht ermöglicht dem Benutzer kein direktes Schreibrecht, sondern nur, das Objekt auszuchecken, die Arbeitskopie zu bearbeiten und wieder einzuchecken.
P	Geschützt (protected)	Das protected-Recht gibt einem Benutzer vollen Zugriff auf die Objekte, die er selbst erstellt. Auf alle anderen Objekte hat er Leserecht.
W	Schreiben (write)	Das Schreibrecht gibt einem Benutzer Vollzugriff auf die Objekte, die er selbst erstellt. Alle anderen Objekte kann er ändern, aber nicht löschen.
A	Voll (all)	Das Vollrecht gibt einem Benutzer alle Rechte an einem Objekt.

Grundeinstellungen des Berechtigungsprüfers

---

Nachdem Sie den Berechtigungsprüfer geöffnet haben, werden Ihnen standardmäßig die Berechtigungen des angemeldeten Benutzers (normalerweise Ihnen selbst) für das Root-Verzeichnis des Dateisystems angezeigt. In der Regel wollen Sie aber die Berechtigungen eines anderen Benutzers oder einer Benutzergruppe auf bestimmte Objekte überprüfen. Hierzu wählen Sie den entsprechenden Benutzer aus und das zu überprüfende Objekte (Ordner oder Datei) aus. Wenn Sie ein Objekt im Dateisystem ausgewählt haben, können Sie auch nachträglich den ausgewählten Benutzer ändern, etwa um sich die Berechtigungen eines Vergleichsbenutzers anzeigen zu lassen.

Sie haben verschiedene Möglichkeiten, ein Objekt im Verzeichnissystem auszuwählen:

1. Wenn Sie das Zielobjekt kennen, können Sie es auswählen, indem Sie ID, UUID oder Pfad direkt angeben.
2. Sie können das Zielobjekt festlegen, indem Sie es in der Baumansicht des Verzeichnissystems anklicken.
3. Sie können die Suchansicht verwenden, um das Objekt zu suchen und in der Trefferliste auszuwählen.

Nachdem Sie Benutzer und Zielobjekt ausgewählt haben, werden die Berechtigungen des Benutzers auf das ausgewählte Objekt auf der rechten Fensterseite des Berechtigungsprüfers angezeigt.

Benutzer oder Benutzergruppe auswählen

Vorgehensweise: Wählen Sie auf der linken Fensterseite oben in der Auswahlliste Benutzer/Gruppe den gewünschten Benutzer oder die gewünschte Benutzergruppe aus.

Ergebnis: Sie sehen die Berechtigungen des ausgewählten Benutzers auf das angezeigte Objekt. Sie können ein anderes Objekt auswählen, um die Berechtigungen des Benutzers auf dieses andere Objekt zu sehen.

Wenn es sich bei dem ausgewählten Benutzer um einen Lesebenutzer handelt, wird ein entsprechender Hinweis eingeblendet.

Zielobjekt direkt angeben

Voraussetzung: Sie können das Zielobjekt direkt angeben, wenn Sie die ID, UUID oder den vollständigen Pfad des Objekts kennen, dessen Berechtigungen Sie untersuchen wollen.

1. Kopieren Sie die ID, die UUID oder den Pfad des Objekts in das Eingabefeld Zielobjekt oben auf der linken Fensterseite neben der Benutzerauswahl.
2. Klicken Sie auf die Schaltfläche Zielobjekt übernehmen.

   Ergebnis: Sie sehen die Berechtigungen des ausgewählten Benutzers auf das angegebene Objekt.

Zielobjekt in der Baumstruktur auswählen

Der Berechtigungsprüfer öffnet sich standardmäßig mit der Anzeige der Baumstruktur des Root-Ordners. Wenn die Baumansicht nicht geöffnet sein sollte, können Sie in die Baumansicht zurückkehren, indem Sie auf den Reiter Baumansicht am linken Fensterrand klicken.

In der Baumansicht sehen Sie zwei Fenster: Das linke Fenster dient zur Navigation durch die Ordnerstruktur. Im rechten Fenster wird der Ordnerinhalt angezeigt.

Im linken Fenster können Sie die Baumstruktur weiter öffnen und Ordner für die Detailanzeige auswählen.

Das rechte Fenster dient zur Anzeige des Inhalts des ausgewählten Ordners. In der Toolbar oberhalb der Anzeige des Ordnerinhalts finden Sie mehrere Symbole, die abhängig von der Einrichtung des Systems und Ihren Berechtigungen auch abweichen können.

Suche nach Objekten im angezeigten Ordner.

Anlegen eines neuen Ordners im angezeigten Ordner. Klicken Sie zum Erstellen des neuen Ordners auf das Symbol und geben Sie im nächsten Schritt den Namen an.

Objekteigenschaften aus dem ausgewählten Ordner kopieren.

Objekteigenschaften des ausgewählten Objekts kopieren.

Gehen Sie wie folgt vor, um ein Objekt in der Baumansicht auszuwählen:

1. Klappen Sie die Ordnerstruktur unterhalb des angezeigten Root-Ordners auf bis zu dem Ordner auf, der für Sie relevant ist.

   Ergebnis: Sie sehen die vollständige Baumansicht des Dateisystems bis zum ausgewählten Ordner. In der Detailansicht wird der Inhalt des ausgewählten Ordners angezeigt.

2. Klicken Sie auf das Objekt, dessen Berechtigungen Sie sehen wollen. Dazu können Sie einen Ordner in der Baum- oder Detailansicht auswählen oder eine Datei in der Detailansicht.

   Ergebnis: Sie sehen die Berechtigungen des ausgewählten Benutzers auf das angezeigte Objekt. Sie können ein anderes Objekt auswählen, um die Berechtigungen des Benutzers auf dieses andere Objekt zu sehen.

Zielobjekt suchen

Gehen Sie wie folgt vor, um die Suche für die Auswahl des Zielobjekts zu verwenden:

1. Klicken Sie auf den Reiter Suchansicht, um die Suche zu öffnen.
2. Geben Sie wie gewohnt den Suchbegriff in das Suchfeld ein und verwenden Sie die gewünschten Suchfilter.

   Ergebnis: Die Suchtreffer werden unterhalb des Suchfelds angezeigt.

3. Klicken Sie auf den gewünschten Suchtreffer.

   Ergebnis: Sie sehen die Berechtigungen des ausgewählten Benutzers auf das angezeigte Objekt. Sie können ein anderes Objekt auswählen, um die Berechtigungen des Benutzers auf dieses andere Objekt zu sehen.

Berechtigungsanzeige

---

Nachdem Sie Benutzer und Zielobjekt ausgewählt haben (siehe Grundeinstellungen), werden die Berechtigungen des Benutzers auf das ausgewählte Objekt auf der rechten Fensterseite des Berechtigungsprüfers angezeigt.

Ganz oben in der Berechtigungsanzeige sehen Sie zusammengefasst, wessen Berechtigung auf welches Objekt angezeigt wird. Hierüber können Sie sicherstellen, dass Sie den richtigen Benutzer und das richtige Zielobjekt ausgewählt haben.

 

 

Die Berechtigungsanzeige umfasst Details zu den Berechtigungen und einige Aktionen, um die Berechtigungen bei Bedarf direkt zu ändern.

Folgende Informationen zu den Objektberechtigungen werden angezeigt:

• Berechtigungen
• Systemflags
• ACLs
• Sperrstatus und Besitzer

Sie können folgende Aktionen unmittelbar im Berechtigungsprüfer durchführen:

• Systemflags setzen
• ACL- & Gruppenstruktur anzeigen
• Objekt sperren und entsperren

Berechtigungen

Die Berechtigungen eines Benutzers auf ein Objekt im Verzeichnissystem bestimmen, welche Aktionen der Benutzer auf das Objekt (z. B. Datei oder Ordner) ausführen kann.

Die Berechtigungsübersicht rechts oben im Berechtigungsprüfer gibt einen Überblick über das finale Recht des Benutzers auf das Objekt unter Berücksichtigung von ACLs und Systemflags.

Folgende Informationen werden angezeigt:

Berechtigung	Mögliche Werte	Beschreibung (Ja-Fall)
Lesen	Ja Nein	Der Benutzer kann den Inhalt der Datei oder des Ordners anzeigen. Dies umfasst das Öffnen von Dateien oder die Ansicht von Ordnerstrukturen.
Inhalt ändern	Ja Nein - (nicht relevant, etwa bei Auswahl eines Ordners)	Der Benutzer kann den Inhalt der Datei bearbeiten und ändern und den geänderten Inhalt abspeichern.
Attribute ändern	Ja Nein	Der Benutzer hat das Recht, Attribute des Objekts zu ändern, Attribute sind alles, was nicht den Inhalt betrifft. Für Inhaltsänderungen gibt es eine eigene Berechtigung.
Löschen	Ja Nein	Der Benutzer kann das Objekt löschen.
Objekt zu Ordner hinzufügen	Ja Nein - (nicht relevant, etwa bei Auswahl einer Datei)	Der Benutzer kann Dateien zum Ordner hinzufügen oder Unterordner anlegen.
Objekt aus Ordner entfernen	Ja Nein - (nicht relevant, etwa bei Auswahl einer Datei)	Der Benutzer kann Unterordner oder Dateien aus dem Ordner entfernen.
Auschecken	Ja Nein - (nicht relevant, etwa bei Auswahl eines Ordners)	Der Benutzer (oder ein vom Benutzer verwendeter Editor) kann die Datei auschecken und nach Bearbeitungsende wieder einchecken.

Systemflags

Die Systemflags dienen dazu, weitere Berechtigungen zu setzen, die über Benutzergruppen und ACLs hinausgehen. So dürfen revisionssichere Dokumente etwa nicht mehr bearbeitet werden, auch wenn der Benutzer sie eigentlich bearbeiten dürfte.

Im Berechtigungsprüfer finden Sie im Bereich Systemflags eine der folgenden Informationen:

• NO_FLAGS: Für das ausgewählte Objekt sind keine Systemflags gesetzt.
• Liste der gesetzten Systemflags. Für die Bedeutung der einzelnen Systemflags siehe Systemflags.

Systemflags setzen

Sie können bei Bedarf die Systemflags bearbeiten oder neu setzen:

1. Klicken Sie auf die Schaltfläche Systemflags setzen.

   Ergebnis: Das Fenster Systemflags setzen öffnet sich. Wenn bereits Systemflags gesetzt sind, werden diese angezeigt.

2. Setzen und entfernen Sie die Häkchen bei den Systemflags nach Bedarf, um die gesetzten Systemflags zu ändern.

   Hinweis: Beachten Sie hierbei, dass es bei den eingerückten Systemflags eine Besonderheit gibt. Wenn Sie USER_RESISTANT oder RESISTANT markieren, werden die darunter eingerückten Systemflags ebenfalls markiert, weil sie Teil des übergeordneten Systemflags sind. Wenn Sie die Auswahl eines untergeordneten Systemflags rückgängig machen, wird das Häkchen beim übergeordneten Systemflag ebenfalls entfernt.

3. Speichern Sie Ihre Änderungen.
4. Bestätigen Sie den Hinweis, dass die Systemflags gesetzt wurden, mit OK.

   Ergebnis: Die geänderten Systemflags werden im Berechtigungsprüfer angezeigt.

ACLs

Im Bereich ACLs wird die ACL des ausgewählten Objekts angezeigt. agorum core hat vier vorinstallierte ACLs. Oft wird daher eine der folgenden ACLs hier angezeigt:

Vorinstallierte ACL	Beschreibung
Private	Nur der Besitzer des Objekts hat Vollzugriff. Das ist die Standard-ACL für neue Objekte in Eigene Dateien.
Published	Benutzer haben nur ein Leserecht. Der Besitzer des Objekts hat Vollzugriff.
Protected	Benutzer haben nur ein Leserecht. Ist die ACL jedoch auf einen Ordner gesetzt, so dürfen Benutzer darunter Objekte anlegen, aber nur der Besitzer des Ordners hat Vollzugriff.
Public	Alle Benutzer haben Vollzugriff.

 

ACL und Gruppenstruktur anzeigen

Sie können sich die vollständige ACL und Gruppenstruktur des Benutzers auf das ausgewählte Objekt anzeigen lassen:

1. Klicken Sie auf ACL- & Gruppenstruktur anzeigen.

   Ergebnis: Das Fenster ACL- & Gruppenstruktur: <Benutzername> - <Objekt> öffnet sich. Der Zugriff wird durch die Symbolfarben gekennzeichnet, siehe Verwendete Symbole.

2. Sie können die Baumstruktur der ACLs und Benutzergruppen weiter öffnen, um sich die Details des ausgewählten Eintrags in der Detailansicht auf der rechten Fensterseite anzeigen zu lassen.
3. Optional: Markieren Sie die Checkbox Komplette ACL- und Gruppenübersicht, um weitere Benutzergruppen und ACLs einzublenden, denen der ausgewählte Benutzer nicht zugeordnet ist.
4. Optional: Sie können die Details des ausgewählten Eintrags in der Detailansicht auf der rechten Seite bei Bedarf bearbeiten. Klicken Sie dazu auf das Symbol (Bearbeiten) rechts oben in der Detailansicht. Die Anzeige im Berechtigungsprüfer aktualisiert sich, wenn Sie Einträge geändert haben.

 

 

Benutzergruppen und ACLs

Sie können sich im Berechtigungsprüfer darüber hinaus die Gruppen und ACLs des ausgewählten Benutzers anzeigen lassen. Dazu klicken Sie auf das Informationssymbol neben der Benutzerauswahl.

Sperrstatus und Besitzer

Objekte, die potenziell von mehreren Benutzern oder Prozessen gleichzeitig bearbeitet werden könnten, können für die Zeit der Bearbeitung gesperrt werden, damit es nicht zu Konflikten kommt. Das ist etwa der Fall bei Office-Dokumenten, die zur Bearbeitung geöffnet werden. Auch Workflows können während der Verarbeitung gesperrt sein. Ob ein Objekt gesperrt wird, ist abhängig davon, ob der Editor oder Prozess das Objekt für die Zeit der Verarbeitung sperrt.

Außerdem gibt es Objekte, die für die Zeit der Bearbeitung manuell ausgecheckt und mit einem neuen Stand wieder eingecheckt werden. Diese Möglichkeit besteht etwas im agorum core documentation system. Auch in diesem Fall ist das Dokument für die Bearbeitung gesperrt, solange es ausgecheckt ist.

Ob und ggf. wie das Objekt gesperrt wurde, erkennen Sie am Sperrstatus im Bereich Sperrstatus und Besitzer. Darüber hinaus sehen Sie, welcher Benutzer das Objekt gesperrt hat, und den Besitzer des Objekts. Sie können Objekte bei Bedarf auch gezielt sperren oder entsperren.

Sperrstatus	Beschreibung
Nicht gesperrt	Das Objekt ist nicht gesperrt und kann bearbeitet werden.
Hardlock	Das Objekt ist manuell durch einen Benutzer oder durch Auschecken des Objekts gesperrt worden.
Gesperrt für Session	Das Objekt wird durch einen Editor oder über das Netzwerk bearbeitet. Dieser Status zeigt normalerweise, dass das Dokument aktuell bearbeitet wird.
Geteilte Sperre	Dieser Status kann von Programmen gesetzt werden, die paralleles Editieren erlauben. Dieser Status zeigt normalerweise, dass das Dokument aktuell bearbeitet wird.

 

Objekt sperren

Sie können ein Objekt sperren, wenn es nicht gesperrt ist:

1. Prüfen Sie den Sperrstatus des Objekts. Wenn das Objekt nicht gesperrt ist, bekommen Sie die Schaltfläche Objekt sperren angezeigt.
2. Klicken Sie auf Objekt sperren.

   Ergebnis: Der Sperrstatus des Objekts ändert sich in der Anzeige auf Hardlock.

 

Objekt entsperren

Aus verschiedenen Gründen kann es vorkommen, dass Objekte (Dokumente) gesperrt sind, auch wenn sie nicht mehr gesperrt sein sollten. Ein möglicher Grund dafür sind Netzwerkprobleme, etwa wenn Dokumente lokal bearbeitet werden. Sie können in diesem Fall das Objekt entsperren, sollten vorher aber sicherstellen, dass das Dokument nicht mehr bearbeitet wird.

1. Prüfen Sie den Sperrstatus des Objekts und stellen Sie sicher, dass es nicht aktuell bearbeitet wird. Wenn das Objekt gesperrt ist, bekommen Sie die Schaltfläche Objekt entsperren angezeigt.
2. Klicken Sie auf Objekt entsperren.
3. Ergebnis: Der Sperrstatus des Objekts ändert sich in der Anzeige auf Nicht gesperrt.