Berechtigung um Berechtigungen vergeben zu können?!

Hallo,

wie kann ich es ermöglichen das ein Benutzer keine "SUPER" Rolle hat und trotzdem einem Benutzer Berechtigungen geben kann?

Als Fehlermeldung erhalte ich folgenden Punkt wenn ich einen Berechtigungssatz zuordnen möchte:
"Ihnen wurden keine Rechte zum Hinzufügen, Bearbeiten oder Löschen dieses Berechtigungssatzes für diesen Benutzer in diesem Unternehmen gewährt. Sie erhalten diese Rechte wenn Ihnen der Berechtigungssatz SUPER oder SECURITY gewährt wird."

Die Rolle SECURITY existiert nicht, also habe ich sie erst einmal angelegt gehabt. Das allein reicht aber nicht. Was für Rechte muss ich vergeben das der Nutzer Berechtigungen zuweisen darf?

Gruß
Ted

Könnte es sein, dass deine Berechtigung nur für einen bestimmten Mandanten gilt, und du versuchst, einem User Berechtigung für alle Mandanten zuzuweisen?

Die Berechtigungen die der Benutzer hat, sind alle Mandantlos.
Und der Benutzer soll dann auch dem anderen Nutzer Mandantloserechte geben können.
Ist dies überhaupt möglich?

Die Berechtigungen die der Benutzer hat, sind alle Mandantlos.
Und der Benutzer soll dann auch dem anderen Nutzer Mandantloserechte geben können.
Ist dies überhaupt möglich?

Ja, aber nur, solange DU ebenfalls Berechtigungen für alle Mandanten hast. Nur so kannst du sie ihm zuweisen. Wie also ist deine eigene Berechtigung?

Also ich habe die Berechtigung für alle Mandanten.

Was ich nun herausbekommen habe.. ich kann das Recht nur vergeben wenn ich dieses Permissionsset auch selbst Besitze.
Wie kann ich denn auch andere Permissionssets vergeben?
Ich würde halt ungern "SUPER" verteilen.

Ted

wenn du SUPER bist, dann darfst du anderen Benutzern alle anderen Zugriffsrechte geben.
Die Frage nun: bis du SUPER?
wenn ja, wo kommst du nicht weiter?

Hallo,

ich vermute mal nur.
Kannst du dir eine "Light Super" Rolle erstellen und dort dir die Berechtigungen (Einfügen, Bearbeiten, usw.) erteilen.
In diese "Light Super" Rolle sollten nur die Systemtabellen aufgeführt werden, z.B. TableDate "2000000001".#

Ich vermute ohne Berechtigung auf diese Tabellen darfst du keine vergeben.

Genau das ist mein Plan.
Ich werde mal noch das von dir beschriebene Testen.

Gibt es hierzu eine Lösung?

Es geht darum Benutzern mandantenlose Berechtigungssätze zuzuordnen, ohne selbst die Rolle Super zu haben.

Ist irgendwo beschrieben, welche Zugriffsrechte der Berechtigungssatz Security/Sicherheit in NAV 2015 per Default hat?

Gruß HerrTW

Ne wirkliche Lösung hatte ich damals dafür nicht mehr gefunden.
Habe dann das Unternehmen gewechselt, weshalb ich mich damit nicht mehr auseinander setzen musste.

Woran ich mich noch erinnere:
Man darf nur Berechtigungensgruppen vergeben die man selbst hat.

Ich bin schon einmal einen Schritt weiter.Unter folgendem Link wird erklärt, was in der Rolle Security enthalten ist, und was die Beschränkungen sind https://msdn.microsoft.com/en-us/library/dd338663%28v=nav.80%29.aspx.
In meinem Fall fehlte schon einmal das Zugriffsrecht für die Tabelle 2000000121 User Property. Interessanterweise habe ich beim Test festgestellt, dass die Rolle auch zwingend Security heißen muss. Wenn die Rolle z. B. Sicherheit heißt, funktioniert der Aufruf der User Page nur für den eigenen Benutzer.

Unter einem weiteren Link https://msdn.microsoft.com/en-us/library/dd568744%28v=nav.80%29.aspx wird erklärt, wie man die Rolle SECURITY verwendet.
Da man nur Berechtigungssätze an andere Benutzer vergeben kann, die man selbst besitzt, gibt es nun 2 Möglichkeiten:
- Der Security Benutzer bekommt alle Berechtigungssätze, die er auch vergeben können soll
- Der Security Benutzer vergibt wiederum die Rolle Security an andere Benutzer weiter bspw. Abteilungsbezogen, der wiederum seine Berechtigungssätze an die Benutzer aus seiner Abteilung vergibt

Der eigentlich von mir angedachte Weg, einen Benutzer anzulegen, der nicht SUPER User ist, jedoch das Berechtigungsmanagement vornimmt, funktioniert also nicht, ohne das der Benutzer zig Rollen hat oder die Berechtigungsvergabe delegiert.

Offen ist auch folgendes Problem:
Es wird eine neue Rolle notwendig. Nun gibt es noch keinen Benutzer, dem diese Rolle zugewiesen wurde. Ich brauche nun also zwingend einen SUPER User, der die Rolle an mind. einen User vergibt.

Einen SUPER Benutzer brauchst du ohnehin, sonst kannst du NAV ja nicht administrieren, Updates einspielen, Objekte kompilieren usw. Und üblicherweise vergibt der NAV-Administrator auch die Rechte an die Benutzer.

Sinn und Zweck der Übung ist es ja, das Prinzip der minimalen rechtevergabe einzuhalten. Einen Super User sollte man im Tagesgeschäft gar nicht benötigen.
Man hat z. B. 2 Mitarbeiter fürs Rechtemanagement, 2 Mitarbeiter für Objektänderungen/Updates etc.

Zudem ist gefordert, dass die Admins mit personalisierten Accounts arbeiten, damit eine Nachvollziehbarkeit von Änderungen gegeben ist. Somit scheidet die Verwendung eines anonymen Users z. B. NAVADMIN auch aus. Das führt dann wiederum zu mehreren Super Usern im System. Ziel sollte eigentlich sein, nur einen Super User für Notfälle vorzuhalten, und allen anderen Benutzern - inkl. der Admins - die Rechte zuzuweisen, die Sie benötigen, und ums Rechtemangement kümmert sich ein Benutzer ohne SUPER Rechte.