Dokumenten-Typ auf Benutzergruppen einschränken

acam_gruber

acam_gruber

Member
Hallo und einen schönen Tag.

Ist es möglich Dokumente (z.B. mit dem Typ "Auftrag") nur für bestimmte Benutzergruppen (z.B. Projektierung) anzuzeigen?
Bzw. allgemein den Zugriff zu beschränken? Aktuell kann jeder Benutzer auf die Dateien von anderen Benutzern zugreifen, was nicht sein sollte.

Danke, mit freundlichen Grüßen

Michael Gruber
 
Alexis Kälin

Alexis Kälin

Administrator
Teammitglied
Guten Tag Michael

Du kannst in CAS genesisWorld über Rechtefilter solche Anforderungen abbilden. Dabei ist es wichtig, dass ihr für die "normalen" Benutzer diese Dokumente rausfilterst. Dies machst du, indem du in der Managementkonsole im Bereich Gruppen die entsprechende Rechtegruppe auswählst und auf dem Datenobjekt folgenden Filter hinterlegst:


cas_genesisworld_rechtefilter_allgemein.jpg

Zusätzlich solltest du danach eine Gruppe einrichten, RG: Zugriff auf Auftragsdokumente. Da hinterlegst du dann die Benutzer, welche auf die Dokumente Zugriff haben dürfen. Den Filter kehrst du dann bei der Gruppe um -> Typ ist identisch mit Auftrag.

Was ebenfalls noch zu empfehlen ist: Bei der Auswahlliste des Feld Typs solltet ihr die Auswahl "Auftrag" auch nur für die sichtbar machen, welche die Dokumente sehen dürfen. Ansonsten könnte ein Benutzer ohne Rechte zwar so ein Dokument einfügen, würde es aber direkt nach dem Speichern nicht mehr sehen. Daher die Auswahl auch noch auf die RG: Zugriff auf Auftragsdokumente einschränken, siehe:

cas-genesisworld-eingabehilfen-rechtefilter.jpg

Ich hoffe der Lösungsansatz hilft weiter, ansonsten einfach nochmals melden!

Beste Grüsse

Alexis
 
acam_gruber

acam_gruber

Member
Danke, soweit scheint es zu funktionieren.

Es gehört in unserem System allerdings grundsätzlich die Rechte aufgeräumt
 
Alexis Kälin

Alexis Kälin

Administrator
Teammitglied
Schön zu hören, dass die Lösung weitergeholfen hat.

Generell lohnt es sich, die Rechte ggf. aufzuräumen und eine klare und nachvollziehbare Rechtegruppen/struktur aufzubauen. Hier hilft der Leitfaden der CAS Software sicherlich weiter, ein Grundverständnis für die optimale Abbildung zu bekommen.

Zudem empfehlen wir: Keep it simple! Auch wenn es manchmal nicht anders geht, mit zu vielen Einschränkungen und Rechtegruppen macht man sich das Leben oft nur selber schwer.

Beste Grüsse

Alexis
 
acam_gruber

acam_gruber

Member
Nochmals danke für die Info ;)

Sollte man einer Standard-Gruppe grundsätzliche alle Rechte "entziehen" und dann per Gruppe wieder zuweisen oder gibts einen Way-of-Working für so einen Fall?

Neue Benutzer nehmen die Rechte ja vom "STANDARD" Benutzer, aber woher ziehen die bereits angelegten Benutzer die Rechte?
 
Alexis Kälin

Alexis Kälin

Administrator
Teammitglied
Hallo Michael

Grundsätzlich ist der Standard-Benutzer und die Standard-Gruppe in CAS genesisWorld nur ein Template, welches verwendet wird, wenn du neue Benutzer oder Gruppen anlegst.

Ich würde daher der Standard-Gruppe tatsächlich alle Rechte entziehen - dies gehört nicht da definiert, siehe auch Auszug aus der Doku:

Dem Benutzer und der Gruppe STANDARD sollten an dieser Stelle alle Rechte genommen werden. Über eine Mehrfachauswahl der unter Rechte aufgelisteten Rechte ist dies mit wenig Aufwand möglich.

Unser Empfehlung ist folgende:
1. Den beiden "Standard" alle Rechte entziehen, falls da noch Rechte vorhanden sind
2. Mindestens eine Gruppe einrichten, welche als Rechtegruppe dient: Wir benennen diese jeweils mit dem Präfix RG: (für Rechtegruppe)
3. Der Rechtegruppe fügst du als Mitglied den User "Standard" hinzu - somit ist sichergestellt, dass alle neue Benutzer immer gleich in der Gruppe landen

Globale Änderungen auf bestehende Benutzer sind eigentlich auch ganz einfach: Dazu einfach in der MMK alle Benutzer auswählen und dann auf Eigenschaften klicken. Dann kannst du global zum Beispiel die Standard-Gruppe entfernen und die neue Rechtegruppe hinzufügen oder sonstige Änderungen vornehmen.

Wichtig: Hier natürlich vorsichtig vorgehen und zuerst an einem Benutzer testen, ob alles noch wie gewünscht funktioniert! Das Rechtethema ist nicht immer einfach und man kann damit auch schnell den Zugriff auf irgendwelche Objekte unterbinden.

Beste Grüsse

Alexis
 
acam_gruber

acam_gruber

Member
Ich habe noch eine Frage bzgl. den Rechten:
Wir haben unsere Rechtematrix soweit fertig, doch wie schränkt man die jeweiligen Datensätze nur auf die des aktuellen Benutzers ein?
So wie hier scheint es nicht zu funktionieren:
1623156647735.png
"Aktueller Benutzer" funktioniert aber im Navigationsbaum sehr wohl ;)
 
Alexis Kälin

Alexis Kälin

Administrator
Teammitglied
Hallo Michael

Es ist im CAS genesisWorld Rechtemanagement nicht vorgesehen, dass du in Rechtegruppen nach "Aktueller Benutzer" filtern kannst. Es würde beispielsweise auch nicht funktionieren, wenn als Teilnehmer Gruppen oder ähnliches hinterlegt sind - was ja durchaus auch mal vorkommen kann.

Wenn du erreichen möchtest, dass die Benutzern untereinander ihre Aufgaben nicht sehen dürfen, musst du dies über die Fremdzugriffsrechte lösen. Dazu musst du an der Stelle folgende Option deaktivieren:

cas-genesisworld-fremdzugriffsrecht.jpg
Danach musst du die Fremdzugriffsrechte auf Gruppenebene individuell hinterlegen, siehe Beispiel:

cas-genesisworld-fremdzugriffsrecht-gruppe.jpg

Im obigen Beispiele würdest du so lesende Zugriffsrechte auf andere Objekte geben (was dem Standard entspricht), aber zum Beispiel explizit nicht auf die Aufgaben.

Ich möchte trotzdem anregen, so restriktive Rechteeinschränkungen zu hinterfragen. Gerade bei den Aufgaben kann es sehr nützlich sein, wenn zum Beispiel ein Kollege beim Kunden sieht, da ist noch was offen/in Bearbeitung. Die Vorteile einer CRM-Philosophie (öffentliche Denkweise) gehen dadurch natürlich komplett verloren.

Aber ja, es mag auch Gründe geben, wo man dies explizit so möchte. Da sollte der obige Lösungsweg weiterhelfen.

Beste Grüsse

Alexis
 
acam_gruber

acam_gruber

Member
Danke für die Info bzw. Tipps.

Wir möchten ja quasi, dass das "Grundrecht" nur für die eigenen Aufgaben gilt, was sich so über den Fremdzugriff lösen lässt und sobald der Benutzer in einer anderen Gruppe ist, greift eh der andere Fremdzugriff - hoffe ich ;)

Noch einen schönen Tag
 
Alexis Kälin

Alexis Kälin

Administrator
Teammitglied
Guten Tag

Okay, dann erreicht ihr dies genau damit, die oben erwähnte Checkbox "Fremdzugriffsrecht durch Mitglied in Gruppe aktivieren" deaktiviert. Dann hat man erstmal nur Zugriff auf seine eigenen Datensätze - ohne dass ihr dafür nochmals explizit einen Filter pro Datensatz hinterlegen müsst. Die Zugriffsrechte auf andere Datensätze müssen dann individuell unter Fremdzugriffsrechte vergeben werden.

Beste Grüsse und dir ebenfalls einen schönen Tag.

Alexis
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben Unten