FB
Hallo zusammen,
bei einigen unserer ARIS-Nutzer, die auf die gleiche DB mit allen Rechten (rwd) zugreifen, besteht das Problem, dass bei Anlegen eines neuen Modells durch user1, danach user2 dieses Modell nicht sehen kann. user2 ruft dann beim Admin an und der muss wieder rwd auf das Verzeichnis, in dem das neue Modell erstellt worden ist, für user2 herstellen.
Was muss hier eingestellt bzw. beachtet werden, damit neue Modelle automatisch auch wieder allen zur Verfügung gestellt werden?
Danke im Voraus und freundliche Grüße,
Frank
Hallo,
die Rechteverwaltung ermöglicht dediziert das Freigeben von Inhalten in der ARIS-Datenbank. Da dies durch die Gruppenstruktur festgelegt wird, ist dieser Mechanismus natürlich sehr mächtig, führt dann aber eben auch zu denen von Ihnen geschilderten Umständen.
Es ist deshalb wichtig, sich grundsätzlich über die Strukturierung der Datenbank Gedanken zu machen. So kann die Probleme etwas entschärfen. Die Tatsache, dass der Nutzer "user1" sich selbst Gruppen anlegen kann führt dazu, dass aus Sicherheitsgründen nicht automatisch auch für alle anderen die Inhalte zu sehen sind.
Meine Empfehlung hierfür: erst Gruppenstruktur anlegen, Rechte vergeben und dann in bestehenden Strukturen arbeiten. Will der Benutzer erst in seinem "privaten Bereich" modellieren, so könnte er durchaus in seiner eigenen Gruppe modellieren und anschließend in den "public" Bereich verschieben (Modelle können auch inklusive der enthaltenen Objekte verschoben werden).
Mit besten Grüßen,
Frank
Hallo,
also so richtig klar wird mir das gerade nicht. Aktuell können wir das erste beschriebene Problem nicht mehr nachstellen. Egal ob user1 neue Gruppen oder neue Modelle innerhalb einer vorhandenen Gruppe anlegt, alle anderen user (also auch user2) können es sehen. Ich habe aktuell keine Begründung wie das Problem entstehen konnte. Ich habe es ebenfalls mit unserem Fachbereich getestet und auch hier existiert das Problem nicht mehr.
Meine damalige Lösung war als Admin einfach die Rechte von user2 auf die gesamte Gruppe wieder herzustellen. Nur das war vorher auch eingestellt.
Folgende Fragen ergeben sich:
1. Wie kann man einen privaten Bereich anlegen bzw. wie konnte dieses Problem entstehen?
1.a) So weit ich es vermute, wird alles über die Administration und dann über die Benutzerverwaltung eingestellt, oder?
2. Gibt es eigentlich die Möglichkeit, dass ein normaler User (mit Designer) keine Gruppen anlegen kann? So dass nur Admins die Gruppenstruktur kontrollieren.
Danke für Hilfe!
Gruß,
frank
Thu, 03/10/2011 - 18:07
Die Antwort leuchtet mir auch nicht ein, weil als Problem nur das Erstellen von Modellen geschildert wurde, nicht das Erstellen von Gruppen. Auch war von "privatem Bereich" nicht die Rede, weil ja alle user mit RWD zugreifen. In dem Fall sollten die Zugriffsrechte auf die Gruppe (Verzeichnis) auch auf neu erstellte Modelle und Objekte vererbt werden, also keine Korrektur durch einen Admin nötig sein.
Nach meiner mehrjärigen Erfahrung über mehrere Versionen von Aris gibt es aber gewisse Schwankungen und Unschärfen im System. Im Aris Toolset/EasyDesign gibt es Ansicht > Optionen > Explorer > Neue Gruppen mit Vererbung der Zugriffsrechte anlegen. Wenn in der Historie der Datenbank jemand Gruppen ohne diese Option angelegt hat, könnte es die verschleppte Ursache für das Problem bei Frank Beyer sein.
Im Business Architect 7.1 gibt es diese Option nicht mehr. Heißt das im Umkehrschluß, dass Rechte immer vererbt werden? Dokumentiert ist das nicht. Ich bin aber auch schon darauf gestoßen, dass Zugriffsrechte nicht wie erwartet vererbt wurden, speziell beim Merge in eine DB mit einschlägigen Merge-Optionen. In den Service Release newsletters des letzten Jahres gab es nur unscheinbare Hinweise auf fixes ("funktioniert jetzt wieder"), aber wie so oft keine Beschreibung des Problems oder möglicher Folgen.
Unserer Gruppenstruktur und Benutzerrollen (Rechte werden nur an Benutzergruppen vergeben) sind recht gut durchdacht, Modellierer haben z.B. bis zu einer gewissen Tiefe der Gruppenhierarchie nur Leserecht, um ungewollte Veränderungen der Gruppenstruktur zu vermeiden. Trotzdem gibt mir die Vererbung oft genug Rätsel auf.
@Frank Weyand
Könnten Sie bitte die aktuell gültige "Vererbungslehre" mal erklären? (als Artikel oder auch Ergänzung der Aris Doku oder Hilfe)
@Frank Beyer
zu 1.) Eine privaten, versteckten Bereich kann man nur dadurch schaffen, dass ein Benutzer individuell mind. RW-- auf "seine" Modellgruppe/Verzeichnis erhält und alle anderen nicht (explizit "keine Rechte" zuweisen und vererben). Das gelingt wohl kaum zufällig. Wg. des hohen Aufwands bei Benutzeradministration oder Kontrolle der Inhalte ist das aber nur schwer durchzuhalten und widerspricht auch dem Gedanken des shared model.
zu 1a) + 2) Der Clienttyp Designer oder Architect ist nicht relevant, sondern nur die Vergabe von Rechten an Benutzer bzw. -gruppen. Dazu sollten man abgestufte Rollen als Benutzergruppen anlegen, z.B.
- Admin (=system Benutzer)
- Redakteure, Modellarchitekten, QS mit weitgehenden Schreib+ Löschrechten, z.B. zum Konsolidieren, ggf. Versionieren
- Modellierer mit RW für ihre Themen, aber ohne Löschrechte, um z.B. gemeinsam genutzte Objekte nicht zu beschädigen. Diese Rolle benutzt auch nur Designer.
- Ggf. Leser, wenn dafür nicht andere Modellpublikationen erzeugt werden.
Hallo Martin,
danke für deine Infos. Da stehe ich wenigstens nicht allein da ;)
Deine Antworten auf meine Fragen decken sich komplett mit meinen Erwartungen. Bei den Gruppen fällt mir bloß auf, dass man zwar explizit nur RW vergeben werden kann, aber beschädigen kann derjenige trotzdem noch genug, in dem er einfach in einem Modell alle Objekte markiert und entfernt (zwar sind die Objekte noch in der DB, aber die Struktur ist weg). Hier hilft wahrscheinlich die Versionierung, die wir bisher nicht nutzen.
Falls das ganz oben genannte Problem nochmal auftritt, werde ich den genauen Werdegang nochmal versuchen zu beschreiben.
Schön wäre, wie bereits angesprochen, eine Beschreibung der aktuell gültigen Vererbungslehre.
MfG,
Frank
