Zu Content springen
Deutsch
Anmelden
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Rechtekonzept

In diesem Artikel erfahren Sie, wie Sie im Pleasant Password Server Zugriffsrechte effektiv verwalten und vergeben können.

Im Pleasant Password Server stehen Ihnen verschiedene Methoden zur Verfügung, um Benutzern Zugriffsrechte auf Ordner und Datensätze zu gewähren. Zudem gibt es diverse Berechtigungen, die es den Benutzern ermöglichen, spezifische Aktionen in der Datenbank durchzuführen, wie beispielsweise das Verwalten von Benutzern. Die folgenden Elemente sind dabei von Bedeutung:

Benutzer

Über die Benutzer Accounts können sich die einzelnen Mitarbeiter an der Datenbank anmelden. Benutzer können zwar direkt auf Datensätze bzw. Ordner berechtigt werden, dies wird aber nicht empfohlen. Der schönere Weg ist, nur über Rollen zu berechtigen. (Rollen Based Access Control - RBAC). Dieses Verfahren bietet eine bessere Skalierbarkeit. 

Rollen

Mit Rollen können mehrere Benutzer gruppiert werden, wodurch eine gebündelte Berechtigung ermöglicht wird. Dadurch entfällt die Notwendigkeit, jeden einzelnen Benutzer separat zu berechtigen.

Datensätze

In den Datensätzen werden Ihre Zugangsdaten, wie beispielsweise Benutzername und Passwort, sicher gespeichert. Sowohl Benutzer als auch Rollen können Berechtigungen für diese Datensätze erhalten. Zudem haben die Datensätze die Möglichkeit, die Zugriffsrechte der übergeordneten Ordner zu erben, in denen sie abgelegt sind. 

Ordner

Ordner sind in einer hierarchischen Struktur angeordnet und dienen der Organisation von Datensätzen. Jeder Ordner verfügt über spezifische Berechtigungen, die entweder von einem übergeordneten Ordner vererbt oder direkt am jeweiligen Ordner festgelegt werden können. Diese Flexibilität ermöglicht eine gezielte Verwaltung der Zugriffsrechte auf die enthaltenen Datensätze.

Zugriffsebenen

Eine Besonderheit im Pleasant Password Server stellen die Zugriffsebenen dar. Während es in anderen Tools nur vordefinierte Rechte wie z.B. Read Only oder Full Access gibt, können im Pleasant Password Server stattdessen beliebig viele Zugriffsebenen definiert werden. Sie können also selbst festlegen, was beispielsweise unter Read Only zu verstehen ist. 

Zonen

Zonen stellen gesicherte Bereiche innerhalb des Pleasant Password Servers dar. Benutzer, die entsprechend konfiguriert sind, haben die Möglichkeit, in höhere Zonen aufzusteigen. Dies ermöglicht ihnen den Zugriff auf spezifische Ordner, Passwörter sowie erweiterte Benutzerrechte. Ein praktisches Beispiel für diese Funktionalität ist, dass ein Benutzer sich selbst von einem normalen Benutzerstatus zu einem Administratorstatus erheben kann, ohne dass ein zusätzlicher Account oder eine separate Lizenz erforderlich ist. 

Rechte auf Ordner und Datensätze

Um die Zugriffsrechte eines Ordners zu überprüfen oder anzupassen, klicken Sie zunächst mit rechts auf den gewünschten Ordner und wählen anschließend die Option Benutzerzugriff. In dem daraufhin geöffneten Dialogfeld haben Sie die Möglichkeit, die Berechtigungen entsprechend anzupassen oder neu zu vergeben: 

  1. Im Tab Zugriffsebenen setzen Sie die Rechte auf den Ordner selbst
  2. Im Tab Zugang Genehmigungen können Sie definieren, welche User Freigaben erteilen dürfen. Weitere Infos finden Sie unter: Beantratung von Zugriffsrechten
  3. Hier wählen Sie zunächst aus, ob Sie User, Rollen oder Zonen berechtigen wollen
  4. Selektieren Sie hier den User, die Rolle bzw. die Zone welche berechtigt werden soll
  5. Hier legen Sie fest, welche Zugriffsebene vergeben werden soll
  6. Möchten Sie den Datensatz ablaufen lassen, können Sie hier ein Datum definieren

Die Berechtigung auf Datensätze erfolgt analog zur Berechtigung auf Ordner. 

Rechtevererbung

Selbstverständlich ist es wenig zielführend die Rechte auf jeden Datensatz bzw. jeden Ordner manuell zu setzen. Durch die Rechtevererbung ist dies nicht nötig. Wenn Sie in einem Ordner einen neuen Ordner bzw. Datensatz erstellen, so erbt das neue Element direkt die Rechte des übergeordneten Ordners:

Hier ist zu sehen, dass die Rechte des Ordners (1) auf den Datensatz übertragen werden (2). Folgende Punkto sollte man bei der Vererbung beachten:

  • Die Rechtevererbung greift durch die komplette Struktur hindurch bis auf das letzte Element in der Hierarchie.
  • Vererbte Rechte können nicht direkt am Element gelöscht werden. 
  • Vererbte Rechte können direkt am Element durch weitere Rechte ergänzt werden.

  • Werden Rechte in einem übergeordneten Ordner ergänzt oder entfernt, so wird diese Änderung nach unten vererbt. Evtl. manuell hinzugefügte Rechte sind davon nicht betroffen.

Unterbrechung der Vererbung

In vielen Situationen kann es sinnvoll sein, die Vererbung der Rechte auszusetzen. Diese Entscheidung hat immer direkte Auswirkungen auf das jeweilige Element. Wenn Sie die Vererbung in einem Ordner unterbrechen, können Sie die Rechte für diesen Ordner manuell neu festlegen. Das neue Rechteschema wird dann standardmäßig auf die darunterliegenden Unterordner und Datensätze vererbt.

Beispiel:

In diesem Beispiel sind  Root -> Ordner 1 -> Unterordner 1 -> Datensatz 1 zu sehen. Da die Rechte durch die komplette Struktur hindurch vererbt wird, haben alle Elemente die gleichen Rechte. Es werden also die Rechte vom Root durch die anderen Ordner hindurch bis zum Datensatz vererbt. 

Nun wird die Rechtevererbung auf den Unterordner 1 deaktiviert. Dies ist am geänderten Icon des Ordners zu sehen:

Nach der Unterbrechung der Vererbung haben Root und Ordner 1 weiterhin die gleichen Rechte. Auf den Unterordner 1 wurden nun neue Rechte vergeben. Diese werden auf den Datensatz 1 durchvererbt. 

Darstellung von Ordnern ohne Berechtigung

Wenn ein Benutzer auf einen Datensatz berechtigt ist, nicht aber auf den Ordner in welchem sich der Datensatz befindet, so wird dem User dennoch der Ordner angezeigt. Somit kann der User bequem durch die Struktur hindurch bis zum Datensatz navigieren. In den jeweiligen Ordner hat der User jedoch keine Rechte. Er kann darin also keine Datensätze sehen, ändern oder löschen. 

Beispiel:

In folgendem diesem Beispiel verfügt der Benutzer ausschließlich über Zugriffsrechte auf den Datensatz, jedoch nicht auf die übergeordneten Ordner. Trotzdem werden alle erforderlichen Ordner angezeigt, die zur Navigation zum Datensatz notwendig sind:

Probleme und Lösungen

Ein Eintrag kann nicht bearbeitet werden

Generell lassen sich bestehende Rechte nicht ändern. Möchten Sie eine Anpassung durchführen, muss also zunächst der alte Eintrag gelöscht und dann durch einen neuen ersetzt werden. 

Ein Eintrag kann nicht gelöscht werden

Wenn ein Rechteeintrag nicht gelöscht werden kann weil der entsprechende Button ausgegraut ist, dann ist der angemeldete User Mitglied der zu löschende Rolle. Es muss zunächst der User aus der Rolle genommen werden. Anschließend kann man die Rolle löschen.

Um mehrere Berechtigungen gleichzeitig zu bearbeiten, kann es hilfreich sein, einen temporären Benutzer zu erstellen. Dieser Benutzer sollte lediglich in die Rolle Administration aufgenommen werden, um die erforderlichen Rechte zu erhalten. Mit diesem temporären Benutzer können dann sämtliche Berechtigungen angepasst werden, bevor der Benutzer schließlich wieder gelöscht wird.

Weiterführende Kapitel

In folgenden Kapiteln finden Sie ergänzende Informationen:

Beantragung von Zugriffsrechten

Private Ordner

Zugriffsebenen können nicht gelöscht werden