Удаление и редактирование только созданных собой документов каталога

Тема в разделе "Lotus - Администрирование", создана пользователем ELU, 16 авг 2007.

  1. ELU

    ELU Гость

    :unsure: знатоки Лотуса, к вам за советом!Помогите решить Такую задачку: в организации установлено Domino 6.5.4 с собственным сервером в каждом филиале. В голове есть основной админ. который выполняет всю работу, кроме заведения пользователей. Организация разрастается, есть потребность передать админам в филиалы кроме заведения, еще и редактирование и удаление пользователей, но только им же созданных. В ACL Names.nsf филиалам дали права авторов с ролью создавать и изменять пользователей и группы. В Certlog.nsf тоже все как положено. На своих серверах люди включены в группу"администратор баз данных" с правом создавать базы и реплики. Теперь проблема:
    1)при описаном раскладе не запускается административный процесс на удаление персоны ( то что вносит удаленного пользователя в блок лист и удаляет. п.я. и все его реплики)
    2)редактировать можно часть полей в учетной записи пользователя, и что самое печальное не решилась проблема измения только созданных собой документов. Изменять и удалять можно всех пользователей
     
  2. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Если ты даешь роль на изменение, то пользователь может менять любые документы данного типа. Без этой роли с доступом типа Author - только, если прописан в поле Administrators на закладке Administration. Но даже при этом, пока у него права ниже Editor, он не может редактировать все поля.

    Мне кажется, что подобные изыски возможны при включении в ACL "Enable Extended Access" на Advanced закладке. При этом можно добиться более гибкой настройке, но это надо настраивать. После включения на Basic увидишь кнопку Extended Access. И вперед...

    А какую ошибку выдает админ проц? Вроде он должен работать с правами сервера, на котором выполняется, а не пользователя, создавшего его.
     
  3. ELU

    ELU Гость

    Гуру спасибо за наводку!Extended Access - еще не освоенная мной территория. Сейчас попробую. Мы всего полгода как перешли с Microsoft Exchangе на Lotus Domino. Мыслю еще по стандартам Exchangе, но многих привычных вещей на Domino6.5 сделать просто не возможно... вот и приходится изобретательством заниматься.
    А админпроцесс не запускается у тех же филиальных админов, прав у вас говорит нет. Я уже добавила все что может влиять (по моему мнению) и в серверный документ и admin4.nsf. Но видимо все не то...
     
  4. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Для: ELU
    <!--QuoteBegin-ELU+17:08:2007, 12:26 -->
    <span class="vbquote">(ELU @ 17:08:2007, 12:26 )</span><!--QuoteEBegin-->прав у вас говорит нет
    [snapback]75628" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Права бывают разные. Каких прав нет? На что? У кого? Точно у админа? Может быть у сервера какого-нибудь? Какой процесс делаешь?

    Просто то, что ты пытаешься делать (разграничение прав) особенно не нужно, так как один админ может легко администрить до 100 серверов с кучей пользователей на них. Да лучше, когда так, а не отдается на откуп в филиалы. Мой опыт показывает, что это приводит к бардаку, так как знаний у людей не хватает.
     
  5. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    А после 100 серверов у главного админа уже мозгов не хватает, все в голове держать. Но ты прав: если домен один, то и админ один.
    Мое мнение: одна (большая!) организация - одно дерево имен, но НЕСКОЛЬКО доменов. В филиалах (доменах?) - свои сертификаторы нижнего уровня
     
  6. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+18:08:2007, 06:56 -->
    <span class="vbquote">(Constantin A Chervonenko @ 18:08:2007, 06:56 )</span><!--QuoteEBegin-->Мое мнение: одна (большая!) организация - одно дерево имен, но НЕСКОЛЬКО доменов. В филиалах (доменах?) - свои сертификаторы нижнего уровня
    [snapback]75649" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Отличное решение, если есть хотя бы один знающий админ!!! Главное:
    1) Не пугаться нескольких доменов
    2) Делать в доменах OU
    3) Не отдавать cert.id в филиалы
    4) Хорошо продумать кросссертификацию
    5) Иметь везде для себя Full Admin права
     
  7. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    1. +
    2. +
    3. +
    4. ? дерево-то одно, общее
    5. - FA - зло
     
  8. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+19:08:2007, 17:56 -->
    <span class="vbquote">(Constantin A Chervonenko @ 19:08:2007, 17:56 )</span><!--QuoteEBegin-->4. ? дерево-то одно, общее
    5. - FA - зло
    [snapback]75692" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    4. Я же забыл про твою любимую конфигурацию
    5. Так только же для себя любимого :) . Как говорится, после меня - хоть ...
     
  9. morpheus

    morpheus скриптописец

    Регистрация:
    7 авг 2006
    Сообщения:
    3.927
    Симпатии:
    0
    <!--QuoteBegin-puks+20:08:2007, 04:30 -->
    <span class="vbquote">(puks @ 20:08:2007, 04:30 )</span><!--QuoteEBegin-->Как говорится, после меня - хоть
    [snapback]75700" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    уууу... ох я бы таким абминам... руки бы
     
  10. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Если это школа, универ, etc.. - еще туда-сюда.
    А если комм.контора, да и гос. тоже - нафиг-нафиг.. брать на себя лишнюю ответственность, напрашиваться
     
  11. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Morpheus+20:08:2007, 02:01 -->
    <span class="vbquote">(Morpheus @ 20:08:2007, 02:01 )</span><!--QuoteEBegin-->уууу... ох я бы таким абминам... руки бы
    [snapback]75716" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    И я бы таким руки, но самому себе не получается. :D

    Нет, если серьезно, что такого плохого в Full Access Administration? Я даже создам тему отдельную. Даваете это обсудим.
     
Загрузка...

Поделиться этой страницей