4.14. Arbeiten mit Empfängerlisten¶
Empfängerlisten stellen ein in Version 2.3 neu hinzugekommenes Produktmerkmal von IDERI note dar. Empfängerlisten ergänzen die Rechteverwaltung von IDERI note in sinnvoller Weise und erlauben, fein granuliert festzulegen, welche Sicherheitsprinzipale (also Benutzer oder Gruppen) an welche anderen Sicherheitsprinzipale Nachrichten welchen Typs senden dürfen. Mit den im Abschnitt 4.4 vorgestellten Sicherheitseinstellungen lässt sich zwar festlegen, welche Sicherheitsprinzipale Nachrichten anlegen dürfen, aber mit diesen Einstellungen lässt sich beispielsweise nicht der potentielle Empfängerkreis für einen Nachrichtenersteller einschränken. Es lässt sich damit auch nicht festlegen, dass ein bestimmter Nachrichtenersteller nur Informationsnachrichten, nicht aber Warnungsmeldungen oder Alarmmeldungen versenden darf. Weiterhin lässt sich mit den in diesem Abschnitt vorgestellten Sicherheitsrichtlinien nicht festlegen, ob eine Rückmeldung von Nachrichtenempfang oder -quittierung für Nachrichten vorgenommen werden darf (in vielen Umgebungen darf beispielsweise eine Rückmeldung über Nachrichtenempfang oder -quittierung nicht ohne weiteres vorgenommen werden, weil es sich dabei um personenbezogene Daten der Mitarbeiter handelt).
Auf einen Nenner gebracht, handelt es sich bei den Einstellungen in Abschnitt 4.4 um globale Einstellungen: Sicherheitsprinzipale, denen dort das Recht, Nachrichten zu erzeugen, zugeteilt wurde, dürfen an jeden Empfänger im Netzwerk jedwede Art von Nachrichten mit allen Freiheiten, was Nachrichtentyp oder Rückmeldungen angeht, versenden. Umgekehrt dürfen Sicherheitsprinzipale, denen dort das Recht, Nachrichten zu erzeugen, verweigert wird, an niemanden im Netzwerk überhaupt irgendwelche Nachrichten senden. In vielen Umgebungen kann diese simple Rechtevergabe durchaus ausreichend sein. In grösseren Umgebungen kann allerdings eine feiner granulierte Rechtevergabe, was das Versenden von Nachrichten angeht, durchaus wünschenswert sein. An dieser Stelle kommen nun die Empfängerlisten ins Spiel.
Im folgenden Beispiel soll in der uns aus den vorangegangenen Abschnitten bekannten Umgebung dem Benutzer Albert.Tross die Möglichkeit gegeben werden, ausschliesslich an seine Kollegen Maria.Cron und Arno.Nym, aber an sonst niemanden, Nachrichten zu schicken. Er soll an diese Empfänger keine Alarmmeldungen verschicken dürfen, aber es soll ihm gestattet sein, für seine Nachrichten eine Empfangsrückmeldung und eine Quittierungsrückmeldung einzustellen. Wir gehen im folgenden davon aus, dass Albert.Tross kein Mitglied der lokalen Gruppe der Administratoren auf unserem IDERI note Server SV01 ist und auch nicht Mitglied in der Gruppe “IDERI note Admins” aus Abschnitt 4.4 ist, denen wir ja dort das Recht, beliebige Nachrichten anzulegen, gegeben haben. Wenn Albert.Tross nun den IDERI note Administrator startet, und versucht, eine Nachricht anzulegen, erhält er eine Fehlermeldung, dass für ihn der Zugriff verweigert ist. Er kann auch beispielsweise seine Sendeberechtigungen überprüfen und in der Multifunktionsleiste im Feld “Empfängerlisten” auf dem Reiter “Einstellungen” die Schaltfläche “Meine Empfänger anzeigen” betätigen und es erscheint dann eine Meldung wie in Abbildung 4.56.
Um nun Albert.Tross zu gestatten, an die genannten Kollegen Nachrichten zu versenden, muss nun ein Benutzer mit dem Recht “Empfängerlisten bearbeiten”, wie im Abschnitt 4.4 kurz erwähnt, den IDERI note Administrator starten und eine Empfängerliste anlegen. In unserer Umgebung macht das der Benutzer Adam.Sam, der ja auf dem IDERI note Server SV01 Mitglied der lokalen Gruppe Administratoren ist und daher standardmäßig dieses Recht hat. Adam.Sam betätigt hierzu zunächst in der Multifunktionsleiste im Feld “Empfängerlisten” auf dem Reiter “Einstellungen” die Schaltfläche “Empfängerlisten anzeigen” und es erscheint dann ein Dialog wie in Abbildung 4.57.
Hier sind bisher noch keine Empfängerlisten angelegt worden. Wenn Adam.Sam nun die Schaltfläche “Hinzufügen” betätigt, wird ein Dialog wie in Abbildung 4.58 angezeigt. Hier gibt Adam.Sam der neuen Empfängerliste einen Namen, in unserem Beispiel “Nachrichtenersteller” und trägt als Empfänger die Benutzer Arno.Nym und Maria.Cron ein, sowie Albert.Tross als denjenigen, dem das Senden von Nachrichten gestattet ist. Ausserdem setzt Adam.Sam die Häkchen bei den Nachrichtentypen “Information” und “Warnung”, nicht aber bei “Alarm” sowie bei den Kästchen mit der Empfangsrückmeldung und der Quittierungsrückmeldung, wie die Abbildung 4.58 zeigt.
Wenn Adam.Sam nun die Schaltfläche “OK” in diesem Dialog betätigt, wird die Empfängerliste angelegt und der Dialog mit der Übersicht über die Empfängerlisten wird aktualisiert wie in Abbildung 4.59.
Werden später einmal weitere Empfängerlisten angelegt, dann kann sich der Benutzer durch Anwählen der Empfängerlistennamen in dem linken Listenfeld sehr schnell einen Überblick über die einzelnen Empfängerlisten verschaffen. Betätigt Adam.Sam nun die Schaltfläche “Eigenschaften”, dann erscheint ein Eigenschaftsdialog für die angewählte Empfängerliste wie in Abbildung 4.60.
Die erste Seite dieses Eigenschaftsdialogs enthält allgemeine Einstellungen dieser Empfängerliste. Da die Empfängerliste im IDERI note Server als geschütztes Objekt mit einem Sicherheitsdeskriptor verwaltet wird, kann man durch Anwahl der zweiten Seite dieses Eigenschaftsdialogs wie in Abbildung 4.61 diese Sicherheitseinstellungen auch ansehen und gegebenenfalls ändern.
In dieser Abbildung ist erkennbar, dass standardmäßig authentifizierte Benutzer nur das Recht haben, den Inhalt der Empfängerliste zu lesen. Der Benutzer Adam.Sam als Besitzer der Empfängerliste hat das Recht, die Empfängerliste zu lesen, zu ändern und zu löschen, wie Abbildung 4.62 zeigt.
Albert.Tross dagegen hat einzig das Recht, Nachrichten an die Empfänger in der Empfängerliste zu schicken, wie Abbildung 4.63 zeigt.
Zu guter letzt haben die lokalen Administratoren des IDERI note Servers noch dieselben Rechte wie der Besitzer der Empfängerliste, wie Abbildung 4.64 zeigt.
Wenn nun nach dem Anlegen der Empfängerliste durch Adam.Sam der Benutzer Albert.Tross wieder den IDERI note Administrator startet und in der Multifunktionsleiste im Feld “Abgesicherte Empfänger” auf dem Reiter “Einstellungen” die Schaltfläche “Meine Empfänger anzeigen” betätigt, um seine Sendeberechtigungen zu überprüfen, erscheint ein Dialog wie in Abbildung 4.65.
In dieser Darstellung kann Albert.Tross nun erkennen, welche Art von Nachrichten er an welche Benutzer oder Gruppen versenden darf. Durch Anwahl der Knoten in der Baumstruktur mit den unterschiedlichen Nachrichten- und Rückmeldungstypen auf der linken Seite erhält er in der Empfängerliste auf der rechten Seite einen Überblick über seine möglichen Adressaten. Werden später noch weitere Empfängerlisten angelegt, bei denen Albert.Tross oder eine Gruppe, deren Mitglied Albert.Tross ist, das Recht zum Versenden von Nachrichten an die Empfänger in der Empfängerliste erhält, so beinhaltet dieser Dialog die akkumulierten Sendeberechtigungen von Albert.Tross.
Wenn Albert.Tross nun eine Informationsmeldung oder eine Warnungsmeldung an die Empfänger Maria.Cron oder Arno.Nym verfassen will, so kann er die Nachricht nun erfolgreich anlegen. Bitte beachten Sie aber, dass die in einer neu zu erstellenden Nachricht angegebenen Empfänger exakt so in einer Empfängerliste vorhanden sein müssen, wie sie dort auch angelegt wurden, denn es werden bei der Prüfung der Sendeberechtigung an die Empfänger einer Nachricht keine Gruppenmitgliedschaften in AD-Gruppen ausgewertet, die als Empfänger in einer Empfängerlisten angelegt wurden. Gibt man beispielsweise Albert.Tross anders als im obigen Beispiel mit einer Empfängerliste ausschliesslich das Recht, an die AD-Gruppe “Domänenbenutzer” statt an Maria.Cron und Arno.Nym Nachrichten zu senden, dann darf Albert.Tross nicht eine Nachricht mit dem alleinigen Empfänger Arno.Nym anlegen, obwohl Arno.Nym ein Domänenbenutzer ist. Bei der Berechtigungsprüfung, ob ein Sicherheitsprinzipal eine Nachricht anlegen darf, überprüft der IDERI note Server zuerst natürlich, ob das globale Recht Nachrichten anzulegen, wie in Abschnitt 4.4 vorgestellt, für den Ersteller der Nachricht vorhanden oder verweigert ist. Dann überprüft er jeden einzelnen angegebenen Empfänger der Nachricht, ob dieser als Empfänger in irgendeiner Empfängerliste vorhanden ist, für die der Ersteller das Senderecht hat. Ist also nur die Gruppe Domänenbenutzer in einer Empfängerliste vorhanden, für die Albert.Tross das Senderecht hat, und Albert.Tross gibt als Empfänger einer Nachricht nur den Benutzer Arno.Nym an, so wird dieser in keiner Empfängerliste, für die Albert.Tross das Senderecht hat, als Empfänger gefunden und daher wird Albert.Tross das Anlegen dieser Nachricht nicht gestattet.