Zugriffssteuerung

Mit Hilfe der Zugriffssteuerung von DataNAUT CS können Sie Ihre Daten vor unbefugten Zugriffen schützen. Bereits das Template-Prinzip von DataNAUT CS bietet einen gewissen Zugriffsschutz, da über ein Template nur auf genau definierte Daten zugegriffen werden kann. Solange aber der Zugriff auf alle Templates möglich ist, greift dieser Schutz nur bedingt. Die Zugriffssteuerung schließt diese Lücke: Sie können gezielt für Pools und Kataloge steuern, wer Templates aus diesen verwenden darf.

Mit DataNAUT CS können Sie sämtliche Zugriffe auf Ihre Daten über ein einziges Programm steuern, ganz egal wo diese Daten liegen. Aber eine solche zentrale Schnittstelle muss Ihre Daten auch zwingend vor ungewolltem bzw. unbefugtem Zugriff schützen. Denn nicht zuletzt aus Datenschutzgründen darf nicht jeder vollen Zugriff auf alle verfügbaren Daten haben. Um dies zu gewährleisten, kann über die Zugriffssteuerung von DataNAUT der Zugriff auf bestimmte Templates eingeschränkt werden. Dies geschieht allerdings nicht direkt auf Template-Ebene, sondern auf Pool- bzw. Katalog-Ebene.

DataNAUT CS bietet zwei grundsätzliche Methoden für die Zugriffssteuerung auf Pools und Kataloge: Der Zugriff kann entweder über die vom Client verwendete Lizenz oder über sogenannte Access Control Lists (ACLs) gesteuert werden. Bei der Lizenz-Methode entscheidet die bei der Anmeldung am Client verwendete Lizenz, also Lizenzname und Passwort, welche Zugriffsrechte der angemeldete Benutzer bekommt. Bei ACLs hingegen werden die Zugriffsrechte anhand der Windows-Anmeldedaten vergeben. Dabei werden der Name des angemeldeten Benutzers berücksichtigt sowie auch der Name der Arbeitsstation, also der Computername, von dem aus der Client ausgeführt wird und der Name der Domäne bzw. Arbeitsgruppe, in dem sich der Computer befindet. Die ACLs erlauben also sowohl eine grobe, als auch sehr feine Zugriffssteuerung. Daher sind sie vor allem für die Verwendung in größeren Netzwerken geeignet. Es können aber auch beide Methoden kombiniert werden.

Für eine sinnvolle Zugriffssteuerung ist eine sinnvolle Einteilung der Templates in Pools und Kataloge Voraussetzung. Kommt es dabei zu Überschneidungen, z.B. bei einem Template das sich in einem Katalog befindet, auf den der jeweilige Benutzer Zugriff hat, dieses Template aber aus einem Pool stammt, auf den der Zugriff nicht gestattet ist, dann ist der Zugriff grundsätzlich nicht möglich. Um ein Template verwenden zu können, müssen Zugriffsrechte immer für Pool und Katalog gemeinsam gegeben sein.

Mit den beschriebenen Mechanismen von Zugriffssteuerung mittels Lizenzen und ACLs sowie der Aufteilung auf Pools und Kataloge, lassen sich auch komplexe Regelungen einfach implementieren.

Zum Bearbeiten der Zugriffsrechte auf Pools und Kataloge gehen Sie wie folgt vor:

1 Öffnen Sie die Zugriffssteuerung über Hauptmenü / Programmeinstellungen / Zugriffssteuerung.

2 Wählen Sie im Kasten Rechte anpassen für die Option Pools oder Kataloge aus, abhängig davon, ob Sie die Zugriffsrechte für Pools oder Kataloge anpassen wollen.

3 Markieren Sie in der Auswahlliste den Pool bzw. Katalog, dessen Rechte Sie anpassen wollen.

4 Geben Sie im Eingabefeld Berechtigungen über Lizenznamen die Namen der Lizenzen ein, über die Zugriff auf das gewählte Element gewährt werden soll. Je Zeile kann ein Lizenzname angegeben werden. Das Wildcard-Symbol * steht für beliebige Lizenzen.

5 Im Eingabefeld Berechtigungen über ACCESS CONTROL LISTS können die Berechtigungen über ACLs angegeben werden. Wieder sind die einzelnen Einträge zeilenweise einzugeben. Ein Eintrag hat die Form Domain\Station\User. Domain ist entweder die Domäne oder die Arbeitsgruppe, in der sich ein Computer befinden muss, damit er Zugriffsrechte bekommt. Station ist der Name der Arbeitsstation, von der aus Zugriff gewährt wird und User ist der Windows-Benutzername des Benutzers, der Zugriff erhalten soll. Jeder dieser Teile kann jeweils durch das Wildcard-Symbol * ersetzt werden, was zur Folge hat, dass jeweils alle Domänen, Stationen oder Benutzer Zugriff erhalten. ACL-Einträge sind nicht case-sensitiv, d.h. es wird nicht zwischen Groß- und Kleinschreibung unterschieden. Des Weiteren werden Leerzeichen in den ACL-Einträgen ignoriert, "Domain \ Station\ User " ist also dasselbe wie "Domain\Station\User". Grundsätzlich sollten solche Leerzeichen jedoch vermieden werden. Der Eintrag *\*\* erlaubt jedem den Zugriff von überall aus.

6 Übernehmen Sie schließlich die gemachten Änderungen mit einem Klick auf Speichern.

In einer Firma existieren drei Abteilungen: Marketing, Vertrieb und Lager. Die Computer von Marketing und Vertrieb verwenden die Arbeitsgruppen MARKETING und VERTRIEB, das Lager die Arbeitsgruppe LAGER. Über DataNAUT CS wird der Zugriff auf Adressdatenbank, Preislisten und Auftragsverwaltung gesteuert. Hierzu werden Templates verwendet, die zunächst auf die zwei Pools Datenbearbeitung und Datenausgabe verteilt sind. Templates, über die Daten geschrieben werden sind im Pool Datenbearbeitung, Templates zur reinen Anzeige von Daten im Pool Datenausgabe.

Zur weiteren Kategorisierung sind die Templates beider Pools in die Kataloge Adressdaten, Aufträge, und Preise sortiert, je nach Art der zu bearbeitenden bzw. anzuzeigenden Daten. Ein Katalog kann also Templates aus beiden Pools enthalten. Zum Beispiel könnte der Katalog Adressdaten sowohl ein Template zum reinen Abruf von Adressinformationen enthalten sowie ein Template zur Bearbeitung bestehender Daten oder zum Anlegen neuer Datensätze.

Beispiel für Pools (oben) und Kataloge (unten) mit den darin enthaltenen Templates.

Jede Abteilung soll nun nur Zugriff auf die von ihr benötigten Daten bekommen und zwar auch nur in der jeweils benötigten Form (lesend und/oder schreibend). Der Geschäftsführer (dessen Benutzername Manager lautet) soll Zugriff auf alle Templates bekommen. Marketing, Vertrieb und Geschäftsführung dürfen Daten bearbeiten, alle dürfen Daten ausgeben.

Adressdaten: Vertrieb und Marketing haben Zugriff auf die Templates der Adressdaten z.B. zur Eingabe und Auflistung von Adressen.

Aufträge: Aufträge können vom Vertrieb eingegeben und im Lager eingesehen werden.

	Anzeige-Templates	Bearbeitungs-Templates
Adressen	Marketing, Vertrieb, Manager	Marketing, Vertrieb, Manager
Aufträge	Vertrieb, Lager, Manager	Vertrieb, Manager
Preise	Manager	Manager

Diese Beispiel ist selbstverständlich stark vereinfacht. Für eine sinnvollere Zugriffssteuerung wäre unter anderem eine andere Steuerung für "Schreibrechte" nötig, also für den Zugriff auf Templates, die Daten bearbeiten können. Beachten Sie auch, dass hier nur der Zugriff auf Templates gesteuert wird. Jedes einzelne Template kann trotzdem auf beliebige Datenbanken zugreifen. Templates aus dem Katalog Aufträge können also auch Daten aus den Preislisten und der Adressdatenbank verwenden. Auch geht dieses Beispiel davon aus, dass für alle Lizenzen voller Zugriff gewährt wird.