Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Administratorzugriff beschränken
Sie können für verschiedene Administratortypen in Ihrem Unternehmen unterschiedliche Zugriffsebenen festlegen. Eventuell möchten Sie nur einigen wenigen Personen Systemadministratorzugriff gewähren, während alle Administratoren in Ihrem Team als Datenbankadministratoren eingerichtet sind.

Warum und wann dieser Vorgang ausgeführt wird

Administratorzugriffsrechte werden hierarchisch gewährt. Die Berechtigungshierarchie sieht wie folgt aus:

Administratoren mit voller Berechtigung - Erhält alle Rechte und Berechtigungen aller aufgeführten Administratorzugriffsebenen.
Administratoren - Erhält alle Rechte und Berechtigungen eines Datenbankadministrators und eines Administrators mit voller Remotekonsolen-Berechtigung (jedoch nicht mit den Rechten eines Systemadministrators).
Administratoren mit voller Remotekonsolen-Berechtigung - Erhält die Rechte und Berechtigungen eines leseberechtigten Konsolenadministrators (jedoch nicht mit den Rechten eines Systemadministrators)
Systemadministrator - Erhält die Rechte und Berechtigungen eines eingeschränkten Systemadministrators

Es ist nicht erforderlich, einen Benutzer in jedem Feld einzeln aufzuführen. Wenn Sie einen Benutzer zur höchsten Administratorzugriffsebene hinzufügen, erhält dieser Benutzer automatisch alle Berechtigungen, die für die untergeordneten Ebenen in der Hierarchie aufgelistet sind.

So beschränken Sie den Administratorzugriff

Prozedur

1. Klicken Sie in Domino Administrator auf das Register Konfiguration und öffnen Sie das Serverdokument.

2. Klicken Sie auf das Register Sicherheit.

3. Geben Sie im Abschnitt Administratoren Werte in eines oder mehrere der folgenden Felder ein und speichern Sie anschließend das Dokument. Für alle diese Felder können Sie individuelle hierarchische Namen, Gruppen und Platzhalter (z. B. */Vertrieb/Renovations) angeben. Trennen Sie mehrere Eingaben durch Kommas.

Anmerkung:

Mit Ausnahme des Felds

Administratoren

sind diese Felder standardmäßig leer. Dies bedeutet, dass diese Zugriffsrechte niemandem gewährt wurden.

Tabelle 1. Beschreibungen des Administratorzugriffs

Feld Aktion

Administratoren mit voller Berechtigung Geben Sie die Namen der Administratoren ein, die über vollen Zugriff zum Verwalten des Servers verfügen. Dies stellt die höchste Ebene von Administratorberechtigungen dar.

Administratoren Geben Sie die Namen der Administratoren ein, die den Server verwalten können. Der Vorgabewert für dieses Feld ist der Name des Administrators, der den Server ursprünglich eingerichtet hat. Die hier aufgeführten Administratoren verfügen über die folgenden Rechte:

Managerzugriff auf die Web-Administrator-Datenbank (WEBADMIN.NSF).
Erstellen, Aktualisieren und Löschen von Ordner- und Datenbanklinks
Erstellen, Aktualisieren und Löschen von Verzeichnislink-ACLs
Komprimieren und Löschen von Datenbanken
Erstellen, Aktualisieren und Löschen von Volltextindizes
Erstellen von Datenbanken, Repliken und Masterschablonen
Abrufen und Einstellen bestimmter Datenbankoptionen (zum Beispiel in/außer Betrieb, Größenbeschränkungen von Datenbanken usw.)
Verwenden der Mailverfolgung und Verfolgen von Betreffzeilen
Verwenden der Konsole zur Remote-Verwaltung von UNIX™-Servern
Ausführen eines beliebigen Remotekonsolenbefehls

Anmerkung: Wenn Sie den (Java™) Server-Controller verwenden und einen Gruppennamen in dieses Feld eingeben, muss die Gruppe den Gruppentyp Mehrere Zwecke" haben, damit die Administratornamen im Feld "Administratoren" angezeigt werden.
Anmerkung: Wenn bei Domino 6.0 und nachfolgenden Versionen die NOTES.INI-Variable Server_Restricted zum Einschränken des Serverzugriffs verwendet wird, können Administratoren dennoch Datenbanken auf dem Server öffnen.

Datenbankadministratoren Geben Sie die Namen von Administratoren ein, die für die Verwaltung von Datenbanken auf dem Server verantwortlich sind. Beachten Sie, dass Datenbankadministratoren nicht automatisch Managerzugriff auf Serverdatenbanken gewährt wird und sie auch nicht über Zugriff auf die Web-Administrator-Datenbank verfügen. Die hier aufgeführten Benutzer verfügen lediglich über die folgenden Rechte:

Erstellen, Aktualisieren und Löschen von Ordner- und Datenbanklinks
Erstellen, Aktualisieren und Löschen von Verzeichnislink-ACLs
Komprimieren und Löschen von Datenbanken
Erstellen, Aktualisieren und Löschen von Volltextindizes
Erstellen von Datenbanken, Repliken und Masterschablonen
Abrufen und Einstellen bestimmter Datenbankoptionen (zum Beispiel in/außer Betrieb, Größenbeschränkungen von Datenbanken usw.)

Administratoren mit voller Remotekonsolen-Berechtigung Geben Sie die Namen der Administratoren ein, die die Remotekonsole zum Ausführen von Befehlen an diesen Server verwenden können.

Leseberechtigte Administratoren Geben Sie die Namen von Administratoren ein, die die Remotekonsole zum Ausführen nur der Befehle verwenden können, die Systemstatusinformationen liefern, wie SHOW TASKS und SHOW SERVER.
Leseberechtigte Administratoren können keine Befehle ausgeben, die sich auf den Serverbetrieb auswirken.

Systemadministrator Geben Sie die Namen der Administratoren ein, die sämtliche Betriebssystembefehle auf dem Server ausführen dürfen.
Die Art und die Anzahl der Befehle richtet sich nach dem Serverbetriebssystem. Beispielsweise können Administratoren für einen Linux™-Server nur Linux-Befehle ausführen.
Anmerkung: Für diese Funktion müssen Sie den Domino-Server-Controller auf dem Server ausführen.

Eingeschränkte Systemadministratoren Geben Sie die Namen von Administratoren ein, die nur die Betriebssystembefehle ausführen dürfen, die im Feld Beschränkte Systembefehle aufgeführt sind.
Anmerkung: Für diese Funktion müssen Sie den Domino-Server-Controller auf dem Server ausführen.

Beschränkte Systembefehle Geben Sie eine Untermenge der Betriebssystembefehle ein, die von Systemadministratoren mit eingeschränkten Rechten ausgeführt werden dürfen. Die Befehle richten sich nach dem Betriebssystem des Servers und den Aufgaben, die von eingeschränkten Systemadministratoren durchgeführt werden müssen.
Zum Beispiel soll ein eingeschränkter Systemadministrator UNIX-Druckwarteschlangen verwalten können. Geben Sie in dieses Feld die UNIX-Befehle zum Verwalten von Druckwarteschlangen ein. Alle von Ihnen im Feld Eingeschränkte Systemadministratoren angegebenen Namen haben dann lediglich auf diese Befehle Zugriff.

Server über einen Browser verwalten (ab Domino 6 nicht mehr verfügbar) Diese Einstellung steht lediglich für Server-Versionen vor Domino R6 zur Abwärtskompatibilität zur Verfügung. Der Domino-Web-Administrator-Client funktioniert lediglich mit Domino 6- und höheren Servern. Wenn ein Domino-Verzeichnis einer bereits vorhandenen Domäne von Domino 5 auf eine höhere Domino-Version aktualisiert wird, benötigen die Server, die nicht aktualisiert wurden, diese Einstellung weiterhin in ihren Serverdokumenten, damit sie frühere Versionen von Web-Administrator verwenden können.

Ergebnisse

ACHTUNG: Administratoren, die im Register "Sicherheit" eines Serverdokuments in den Feldern "Administratoren mit voller Berechtigung", "Administratoren" und "Datenbankadministratoren" aufgeführt sind, dürfen sämtliche Datenbanken auf diesem Server löschen, selbst wenn sie nicht als Manager in der Datenbank-ACL aufgeführt sind.

Administratoren mit voller Berechtigung

Warum und wann dieser Vorgang ausgeführt wird

Administratoren mit voller Berechtigung verfügen über die höchste Verwaltungszugriffsebene für den Server. Ist diese Funktion vorhanden, muss auf einem Server kein Notes-Client lokal ausgeführt werden. Die Einrichtung eines Administrators mit voller Berechtigung beseitigt Zugriffssteuerungsprobleme, die sich z. B. ergeben können, wenn die einzigen Manager einer Datenbank-ACL ein Unternehmen verlassen haben.

Administratoren mit voller Berechtigung verfügen über die folgenden Rechte:

Alle Rechte für Administratoren auf allen Zugriffsebenen (siehe Tabelle 1).
Managerzugriff, wobei sämtliche Zugriffsberechtigungen für alle Datenbanken auf dem Server aktiviert sind, unabhängig von den Datenbank-ACL-Einstellungen.
Anmerkung: ACL-Rollen müssen für Administratoren mit voller Berechtigung manuell aktiviert werden.
Managerzugriff auf die Web-Administrator-Datenbank (WEBADMIN.NSF), wobei alle Rollen und Zugriffsberechtigungen aktiviert sind.
Zugriff auf alle Dokumente in allen Datenbanken, unabhängig von den Feldern mit Lesernamen.
Die Möglichkeit, Agenten zu erstellen, die im unbeschränkten Modus mit vollen Administratorrechten ausgeführt werden.
Zugriff auf sämtliche unverschlüsselte Daten auf dem Server.
Anmerkung: Administrator mit voller Berechtigung ermöglicht keinen Zugriff auf verschlüsselte Daten. Die Verwendung des privaten Schlüssels des angegebenen Benutzers ist für die Entschlüsselung von Dokumenten erforderlich, die mit öffentlichen Schlüsseln verschlüsselt sind. Ähnlich verhält es sich mit einem geheimen Schlüssel, der für die Entschlüsselung von Dokumenten benötigt wird, die mit geheimen Schlüsseln verschlüsselt sind.

Modus "Administrator mit voller Berechtigung" aktivieren

Warum und wann dieser Vorgang ausgeführt wird

Um im Modus "Administrator mit voller Berechtigung" zu arbeiten, muss ein Administrator:

den Administrator-Client verwenden.
im Serverdokument im Abschnitt Administratoren mit voller Berechtigung des Registers Sicherheit im Feld Administratoren aufgelistet sein. Dieses Feld ist standardmäßig leer.
den Modus Administration mit voller Berechtigung auf dem Administrationsclient aktivieren, indem er die Option Administration -> Administration mit voller Berechtigung auswählt. Bei deaktiviertem Modus verfügen die Benutzer nicht über den vollen Administratorzugriff auf den Server, auch dann nicht, wenn sie im Serverdokument als Administrator mit voller Berechtigung aufgelistet sind. Stattdessen werden ihnen Administratorrechte gewährt.

Wenn der Modus "Administrator mit voller Berechtigung" aktiviert ist, wird dies im Fenstertitel, im Registertitel und in der Statusleiste des Clients angezeigt. Dies soll Benutzer daran erinnern, dass sie mit der höchsten Zugriffsebene auf den Server zugreifen und deshalb vorsichtig vorgehen sollten.

Wenn ein Administrator den Modus "Administrator mit voller Berechtigung" auf dem Administrationsclient aktiviert, wird dieser Modus auch für Domino Designer und für die Notes-Clients aktiviert. Dies wird dann ebenfalls in ihren Fenstertiteln, Registertiteln und Statusleisten angezeigt.

Wenn ein Benutzer zum Modus "Administrator mit voller Berechtigung" wechseln möchte, jedoch als solcher nicht im Serverdokument aufgeführt ist, wird dem Benutzer der volle Zugriff verweigert und es wird eine Nachricht in der Statusleiste und an der Serverkonsole angezeigt. Der Client befindet sich im vollen Zugriffsmodus, aber dieser Benutzer hat dann keinen vollen Administratorzugriff auf diesen speziellen Server. Wenn der Benutzer versucht, den Server zu wechseln, wird der Zugriff dieser Person mit dem Serverdokument des neuen Servers verglichen.

Funktion "Administrator mit voller Berechtigung" deaktivieren

Sie können das Feld Administratoren mit voller Berechtigung deaktivieren, indem Sie die Einstellung SECURE_DISABLE_FULLADMIN = 1 in der NOTES.INI-Datei festlegen. Mit dieser Einstellung wird die Berechtigung "Administrator mit voller Berechtigung" deaktiviert und sämtliche Namen in diesem Feld des Serverdokuments werden übergangen. Dieser NOTES.INI-Parameter kann nur von einem Benutzer mit direktem Zugriff auf den Server, der die NOTES.INI-Datei des Servers bearbeiten kann, festgelegt werden. Dieser Parameter kann nicht mit der Serverkonsole, der Remotekonsole oder im Serverdokument festgelegt werden.

Optionen zum Verwalten der Funktion "Administrator mit voller Berechtigung"

Warum und wann dieser Vorgang ausgeführt wird

Es gibt mehrere Möglichkeiten, die volle Administratorberechtigung zu gewähren

Erstellen Sie eine spezielle ID-Datei für die Administration mit voller Berechtigung, z. B. Full Admin/Vertrieb/Renovations und fügen Sie nur diesen Namen in das Feld "Administratoren mit voller Berechtigung" ein. Für diese Zugriffsebene müssen Sie sich anschließend mit dieser Benutzer-ID anmelden oder zu dieser Benutzer-ID wechseln. Sie könnten diese ID-Datei auch so einrichten, dass Mehrfachkennwörter erforderlich sind.
Erstellen Sie einen Zertifizierer auf OU-Ebene zum Gewähren uneingeschränkter Administratorrechte und geben Sie zusätzliche IDs an vertrauenswürdige Administratoren aus, zum Beispiel Jane Admin/Full Admin/Acme.
Lassen Sie das Feld "Administratoren mit voller Berechtigung" leer. Fügen Sie für Notfallsituationen den Namen einer vertrauenswürdigen Person hinzu und entfernen Sie ihn, wenn die Situation vorüber ist.
Geben Sie im Feld "Administratoren mit voller Berechtigung" eine begrenzte Anzahl vertrauenswürdiger Administratoren ein.

Sie können auch verfolgen, wie diese Funktion eingesetzt wird:

Konfigurieren Sie den Ereignishandler so, dass über EVENTS4.NSF eine Benachrichtigung gesendet wird, sobald Administrationsrechte mit voller Berechtigung aktiviert werden.
Sämtliche Datenbankaktivitäten, die mit voller Administratorberechtigung durchgeführt wurden, werden im Datenbankaktivitätsprotokoll unter "Eigenschaften: Datenbank" aufgezeichnet.
Die Verwendung der Funktion wird vom Server protokolliert.

Zugehörige Konzepte
Server-Controller und Domino-Konsole

Zugehörige Tasks
Weiteren Administratoren Zugriff auf Web-Administrator gewähren

Zugehörige Verweise
Server_Restricted

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feld	Aktion
Administratoren mit voller Berechtigung	Geben Sie die Namen der Administratoren ein, die über vollen Zugriff zum Verwalten des Servers verfügen. Dies stellt die höchste Ebene von Administratorberechtigungen dar.
Administratoren	Geben Sie die Namen der Administratoren ein, die den Server verwalten können. Der Vorgabewert für dieses Feld ist der Name des Administrators, der den Server ursprünglich eingerichtet hat. Die hier aufgeführten Administratoren verfügen über die folgenden Rechte: Managerzugriff auf die Web-Administrator-Datenbank (`WEBADMIN.NSF`). Erstellen, Aktualisieren und Löschen von Ordner- und Datenbanklinks Erstellen, Aktualisieren und Löschen von Verzeichnislink-ACLs Komprimieren und Löschen von Datenbanken Erstellen, Aktualisieren und Löschen von Volltextindizes Erstellen von Datenbanken, Repliken und Masterschablonen Abrufen und Einstellen bestimmter Datenbankoptionen (zum Beispiel in/außer Betrieb, Größenbeschränkungen von Datenbanken usw.) Verwenden der Mailverfolgung und Verfolgen von Betreffzeilen Verwenden der Konsole zur Remote-Verwaltung von UNIX™-Servern Ausführen eines beliebigen Remotekonsolenbefehls Anmerkung: Wenn Sie den (Java™) Server-Controller verwenden und einen Gruppennamen in dieses Feld eingeben, muss die Gruppe den Gruppentyp Mehrere Zwecke" haben, damit die Administratornamen im Feld "Administratoren" angezeigt werden. Anmerkung: Wenn bei Domino 6.0 und nachfolgenden Versionen die `NOTES.INI`-Variable `Server_Restricted` zum Einschränken des Serverzugriffs verwendet wird, können Administratoren dennoch Datenbanken auf dem Server öffnen.
Datenbankadministratoren	Geben Sie die Namen von Administratoren ein, die für die Verwaltung von Datenbanken auf dem Server verantwortlich sind. Beachten Sie, dass Datenbankadministratoren nicht automatisch Managerzugriff auf Serverdatenbanken gewährt wird und sie auch nicht über Zugriff auf die Web-Administrator-Datenbank verfügen. Die hier aufgeführten Benutzer verfügen lediglich über die folgenden Rechte: Erstellen, Aktualisieren und Löschen von Ordner- und Datenbanklinks Erstellen, Aktualisieren und Löschen von Verzeichnislink-ACLs Komprimieren und Löschen von Datenbanken Erstellen, Aktualisieren und Löschen von Volltextindizes Erstellen von Datenbanken, Repliken und Masterschablonen Abrufen und Einstellen bestimmter Datenbankoptionen (zum Beispiel in/außer Betrieb, Größenbeschränkungen von Datenbanken usw.)
Administratoren mit voller Remotekonsolen-Berechtigung	Geben Sie die Namen der Administratoren ein, die die Remotekonsole zum Ausführen von Befehlen an diesen Server verwenden können.
Leseberechtigte Administratoren	Geben Sie die Namen von Administratoren ein, die die Remotekonsole zum Ausführen nur der Befehle verwenden können, die Systemstatusinformationen liefern, wie SHOW TASKS und SHOW SERVER. Leseberechtigte Administratoren können keine Befehle ausgeben, die sich auf den Serverbetrieb auswirken.
Systemadministrator	Geben Sie die Namen der Administratoren ein, die sämtliche Betriebssystembefehle auf dem Server ausführen dürfen. Die Art und die Anzahl der Befehle richtet sich nach dem Serverbetriebssystem. Beispielsweise können Administratoren für einen Linux™-Server nur Linux-Befehle ausführen. Anmerkung: Für diese Funktion müssen Sie den Domino-Server-Controller auf dem Server ausführen.
Eingeschränkte Systemadministratoren	Geben Sie die Namen von Administratoren ein, die nur die Betriebssystembefehle ausführen dürfen, die im Feld Beschränkte Systembefehle aufgeführt sind. Anmerkung: Für diese Funktion müssen Sie den Domino-Server-Controller auf dem Server ausführen.
Beschränkte Systembefehle	Geben Sie eine Untermenge der Betriebssystembefehle ein, die von Systemadministratoren mit eingeschränkten Rechten ausgeführt werden dürfen. Die Befehle richten sich nach dem Betriebssystem des Servers und den Aufgaben, die von eingeschränkten Systemadministratoren durchgeführt werden müssen. Zum Beispiel soll ein eingeschränkter Systemadministrator UNIX-Druckwarteschlangen verwalten können. Geben Sie in dieses Feld die UNIX-Befehle zum Verwalten von Druckwarteschlangen ein. Alle von Ihnen im Feld Eingeschränkte Systemadministratoren angegebenen Namen haben dann lediglich auf diese Befehle Zugriff.
Server über einen Browser verwalten (ab Domino 6 nicht mehr verfügbar)	Diese Einstellung steht lediglich für Server-Versionen vor Domino R6 zur Abwärtskompatibilität zur Verfügung. Der Domino-Web-Administrator-Client funktioniert lediglich mit Domino 6- und höheren Servern. Wenn ein Domino-Verzeichnis einer bereits vorhandenen Domäne von Domino 5 auf eine höhere Domino-Version aktualisiert wird, benötigen die Server, die nicht aktualisiert wurden, diese Einstellung weiterhin in ihren Serverdokumenten, damit sie frühere Versionen von Web-Administrator verwenden können.