Передача всех админ. прав

[oleg7]

Есть необходимость удалить учетную запись администратора, при этом все уго права передать другому человеку. Как это сделать правильно?
Надо чтобы все права администратора принадлежали только одному человеку.

 

[Klido]

это серьёзный вопрос... стоило задать его пару недель назад вместе с остальными вопросами про ограничение доступа старого админа :KillMe:

в общем случае ответ прост: дать новому челу все права, а учётку старого удалить, обязательно с занесением в группу запрета доступа.

по факту же - всё зависит от правильности исторических действий предыдущего админа по настройке доступов и прав. В приближении к идеалу речь идёт о внесении нового админа в одну или несколько административных групп плюс некоторые ньюансы в специальных случаях вроде доступов на восстановление .ид.

 

[oleg7]

этот админ указан только один например в Domino Directory в настройках сервера. Мне надо в ручную добавлять другого человека или можно как-то передать все его права другому пользователю?

Добавлено: если я заменю этого пользователя на группу LocalDominoAdmin и укажу в этой группе необходимого человека, то это будет правильным решением или нет?

 

[Klido]

указан только один например в Domino Directory в настройках сервера

не факт - я же привел пример неочевидных прав (восстановление .id), виртуально неизвестно что там у вас и как....

я заменю этого пользователя на группу LocalDominoAdmin

в целом - да, только админскую группу желательно сделать свою, на крайний случай её же можно включить в локальных админов (смысл в том, что группа локальных админов есть у 99% лотусосетей и может быть использована для несанкционированного доступа)

Т.е. Вводим группу везде, где есть старый админ с аналогичными правами, вводим в группу нового админа, удаляем учётку старого.

 

[oleg7]

может глупый вопрос, но .... а где задаются права для восстановления .id?

 

[Klido]

де задаются права для восстановления .id

оно у вас настроено? если нет - не надо и заморачиваться пока что...

В целом простая замена старого на нового достаточна. Из страшного может быть - если старый админ зашифровал базы своим ключом, а не серверным или что-то в таком роде. Благодаря FA новый админ всегда сможет получить нужные доступы в будущем, если что-то пойдет не так....

 

[oleg7]

скажите пожалуйста, а нет такой возможности, чтобы в Lotus передать полностью все права одного человека на другого?

 

[Klido]

Переименовываешь пользователя, меняешь ему ключи - и всё тип-топ. По правам, но могут возникнуть ньюансы с конкретными приложениями - должны быть включены опции замены names полей и напрямую не использоваться списки псевдодоступов (, например, лотусиные имена в текстовых полях документов, оп которым что-нить вычисляется...) иначе надо дорабатывать понятно каким инструментом...

 

[ToxaRat]

скажите пожалуйста, а нет такой возможности, чтобы в Lotus передать полностью все права одного человека на другого?

ренейм

 

[oleg7]

ренейм - т.е. я переименовываю например администратора на свое ФИО, а удаляю себя? я имею все права, но получается опять таки доступ от старого id-администратора останется возможным или нет?
что хочу получить:
1. избавиться от возможности доступа под id-админа(старой id, которая указана во всех настройка)
2. передать права другому пользователю
3. новый пользователь имеет все права, которые указаны в п.1

 

[Klido]

за последние 2 недели вопросов можно было уже не раз прочитать пару книг по администрированию домино и по его безопасности, в частности...

доступ от старого id-администратора останется возможным или нет?

в общем случае достаточно поместить лотуснейм юзера в группу запрета доступа и доступ получен не будет, а если ещё и удалена запись - то вообще не будет :google:

1. (включена принудительная проверка ключей на сервере)
а) удалить запись, старое имя в запрет доступа
б) переименование, смена ключей, старое имя в запрет доступа

2. при б) "права" наследуются автоматом, написал в кавычках - т.к. долго пояснять разновидности прав
3. ???