Eigentümer einer Maildatei können Zugriffe auf Mails und Kalender über “Werkzeuge – Vorgaben – Zugriff und Delegierung” selbstständig steuern.
Bei der geplanten Archivierung von Mails ergeben sich daraus aber Probleme beim Zugriff auf archivierte Dokumente.
Ein Archivsystem sichert neben den eigentlichen Inhalten der Mail auch die zu diesem Zeitpunkt existierende ACL.
Lt. der abgebildeten ACL darf also neben dem Eigentümer der Maildate auch der Administrator lesend auf die Mails zugreifen und somit auch auf archivierte Mails.
Wird der Zugriff für den Leser Administrator wieder entfernt, so kann er weder auf die Datenbank noch auf Mails zugreifen, die nach diesem Zeitpunkt archiviert wurden. Sehr wohl kann er aber noch über die Archivrecherche auf Mails zugreifen, die vor dem Zeitpunkt der Löschung seines Zugriffs aus der ACL in das Archiv gespeichert wurden.
Die Probleme, die sich daraus ergeben können, sollen hier nicht weiter erläutert werden.
Ein in der Praxis wohl häufiger auftretendes Problem erfordert aber unbedingte AUfmerksamkeit; eine Lösung muss VOR Beginn der Mailarchivierung implementiert werden.
Dabei geht es um folgendes Szenario:
Ein Vorgesetzter delegiert den Zugriff auf seine Mails an eine Assistentin, die namentlich in die ACL eingetragen wird. Ã?ber einen gewissen Zeitraum werden nun Mails mit diesen Zugriffsberechtigungen archiviert.
Die bisherige Assistentin wird dann einem neuen Vorgesetzten zur Seite gestellt, oder vertritt eine Kollegin.
In Variante 1 hat dann die neue Assistentin keinen Zugriff auf die bisher archivierten Mails, weil sie bisher ja keinen Zugriff auf die Datenbank ihres Vorgesetzen hatte.
In Variante 2 kann nicht auf die archivierten Mails der zusätzlichen Datenbank zugegriffen werden, weil es an den nötigen Berechtigungen zum Zeitpunk der Archivierung fehlt.
Lösen lässt sich dieses Dilemma, wenn man in die ACL der Datenbank eine Gruppe einfügt, die auf die Datenbank Lesezugriff hat.
Hier stösst man aber zugleich auf ein weiteres Problem. Alle Einträge, die in der ACL nicht als MANAGER oder ENTWICKLER eingetragen sind, können vom Eigentümer der Datenbank über die Vorgaben geändert werden. Das betrifft sowohl die Art des Zugriffs als auch das Löschen des Eintrags.
Da wir aber der Gruppe keine Berechtigung als Manager geben wollen, müssen wir anderweitig sicherstellen, daÃ? der MailBox Eigentümer die Rechte der Gruppe nicht ändern kann.
Das kann am Einfachsten dadurch erreicht werden, daÃ? die Gruppe für den Eigentümer gar nicht sichtbar ist.
Mit einem kleinen Eingriff in die Gestaltung der Maildatei kommt man zum Ziel. Bei Einführung einer Mailarchivierung wird man in der Regel sowieso die Maildatei modifizieren müssen; bei der einen Lösung mehr, bei einer anderen weniger.
Die Modifikation zum Verstecken der Gruppe(n) sind so minimal, daÃ? sie im Prinzip nicht ins Gewicht fallen. Trotzdem sollten die Codeänderungen dokumentiert werden. 🙂
In der Script Bibliothek “ACLManagement” wird der Code ab Zeile 578 ( +/- 2 Zeilen ) folgendermaÃ?en geändert
alt:
Case ACLLEVEL_READER
x = Ubound(Me.ReadMail)
Me.ReadMail(x) = Me.aclentry.Name
Redim Preserve Me.ReadMail(x+1)
Call IsPublicReader()
Call IsPublicWriter()
neu:
Case ACLLEVEL_READER
x = Ubound(Me.ReadMail)
'############## 26.10.2007,Ulrich Krause ################
If ( Not Instr(Me.aclentry.Name, "#Arc" ) > 0 ) Then
Me.ReadMail(x) = Me.aclentry.Name
Redim Preserve Me.ReadMail(x+1)
Call IsPublicReader()
Call IsPublicWriter()
End If
Durch diese einfache Ã?nderung ist es nun möglich, in die ACL der Maildatenbanken Gruppen einzufügen, die mit dem Prefix “#Arc” beginnen. Der Eintrag in das Domino Directory und die Pflege der Gruppenmitglieder erfolgt dann bei Bedarf manuell.
Der Name der Gruppe wird aus dem Prefix und z.B. den Namen des Mail Box Eigentümers gebildet. Damit lässt sich dann der Zugriff datenbankspeziefisch steuern. Eine weitere Gruppe “#ArcDefaultReaders” mit ACLLEVEL_READER kann dann in gleicher Weise zur datenbankübergreifenden Recherche verwendet werden.
Dies ist die aus meiner Sicht einfachste Lösung um sicherzustellen, daÃ? unterschiedliche Personen auf archivierte Mails zugreifen können.
Ich verstehe nicht ganz, welche E-Mail-Archivierung sich so wie beschrieben verhalten soll. In meinem E-Mail-Archiv (Notes-Standardfunktion) werden keine Leserechte je Dokument = E-Mail vergeben, sondern es gilt jeweils ausschlieÃ?lich die aktuelle ACL der Archiv-DB.
Bei deinen beschriebenen Fällen könnte also einfach gleichzeitig zur Ã?nderung der ACL der Mail-DB selbst auch die ACL des Archivs angepasst werden und z. B. die neue Vertretung hätte sofort Zugriff auch auf E-Mails, die vor langer Zeit archiviert wurden.
Oder habe ich was übersehen?
Ciao
Thomas
http://www.assono.de/blog/
Ich meine nicht die Standard Mail Archiv Funktion von Notes, sondern Produkte, wie EASY Notes oder andere Archivsysteme.
Hier werden die Mails ja nicht in Notes Datenbanken abgelegt, sondern z.B. in einer SQl Datenbank.
Ich habe das hier ( http://screencast.com/t/e0lcyQZl ) einmal versucht, in einem kleinen Video zu visualisieren. Ich denke, damit wird das Problem deutlicher.
User EASY ADMIN archiviert eine Mail. Zu diesem zeitpunk hat User HEIN BLOED noch keinen Zugriff auf die Datenbank. Nach Archivierung der Mail delegiert EASY ADMIN den Zugriff an HEIN BLOED. Dieser kann auf die Datenbank zugreifen, kann jedoch nicht die archivierte Mail einsehen.
Wird der Zugriff VOR Archivierung erteilt oder arbeitet man mit Gruppen, kann HEIN BLOED die archivierte Mail öffnen und lesen. ( http://screencast.com/t/cxaiaPK9ah )
Bitte die Fehlermeldung nicht kommentieren. Die stammt vom Hersteller der Software. Ich kann mir denken, was der Programmierer sagen will. … 🙂
Sehr interessante Darstellung.
Wir sind auch gerade dabei die Archivierung über EASY umzusetzen und haben uns natürlich auch Gedanken über diese Problem gemacht. Bedeutet der Eintrag einer oder mehrer “Archivgruppen” in die ACL nicht einen erheblichen administrativen Aufwand? Oder wie habt ihr das gelöst?
Das Eintragen der Gruppen in die ACL und auch in das Domino Directory kann man über einen Agenten regeln.
Man darf aber nicht vergessen, bei jeder neuen DB diese Einträge nachzuhalten.
AbschlieÃ?end habe ich noch keine Lösung, arbeite aber daran. Ich werde auf jeden Fall hier oder auf atnotes.de berichten, wie es weitergeht.
Ich habe versucht, das Ausgangsproblem in den Griff zu bekommen. Hier das Ergebnis http://screencast.com/t/BuHypqUW8V
Ich werde hier aus gutem Grund erst mal keinen Code posten. Es sei nur soviel verraten, daÃ? die Ã?nderungen an der Mailschablone hauptsächlich im Weglassen bestimmter Dinge bestehen.
Zur Steuerung der ganzen Angelegenheit verwende ich Trigger Happy von Damien Katz. Das hat während der Entwicklungszeit ( das hat übrigens nicht mehr als 2 Stunden gedauert ) des Codes den Vorteil, daÃ? man bei Ã?nderungen nicht jedes Mal die Gestaltung der Maildatenbank(en) aktualisieren muss sondern in aller Seelenruhe entwickeln kann. Der Code wird dann durch das Update-Event des Calendar Profiles getriggert …
Hallo,
auch wenn es sich um einen alten Artikel handelt, möchte ich gerne was dazuschreiben.
Ab der Version 2.2 von EASY NOTES wurde das Problem gelöst. Sobald ein Benutzer Berechtigung auf die Maildatenbank eines anderen Benutzers bekommen hat, kann er archivierte Mails dieser Maildatenbank recherieren. Der Suchprozess wird dann im Kontext des Besitzers der Datenbank ausgeführt. Sobald dem delegierten Benutzer die Rechte zum Zugriff auf die Maildatenbank genommen wird, kann er auch keine Mails der entsprechenden Datenbank finden.
Durch diese Lösung sind keinerlei Änderungen am DD und an der Maildatenbankkonfiguration (außer der Standarddelegierung) notwendig.
Wenn der Benutzer über einen anderen Client als EASY NOTES Mail in einem Mail-Archiv sucht kann er nur seine eigenen Mails oder Mails finden auf die er zum Zeitpunkt der Archivierung über die ACL mindestens Leserechte hatte. Dies trifft auch bie der Suche über EASY NOTES Forms bzw. das EASY NOTES PlugIn zu, die mit der Version 3.0 eingeführt wurden.
Eine zwischenzeitliche Umbenennung des Benutzers wird bei der Authentifizierung berücksichtigt.
Danke für die Info; gebt es zu, habt ihr erst angefangen zu entwickeln, nachdem ich so laut gemeckert habe 🙂
Und wenn ich jetzt noch die Updates automatisch bekommen könnte, wäre ich ( erst einmal ) glücklich.
😉 .. nein. Wir entwickeln auch ohne meckern 😉 ..
Die Version habt ihr doch schon im Einsatz. Ist mit EASY NOTES 2.2 im Standard drin. Wenn es sonst noch Probleme oder Fragen gibt weißt Du ja wie/wo ich zu erreichen bin.
Stimmt, hast Recht. Habe ich dann auch gesehen, nachdem ich den Kommentar geschrieben hatte.