MSDynamics.de

Guten Morgen liebe Community,

ich administriere seit knapp einem Jahr ein NAV2013 Systems mit etwa 50 Usern und komme jetzt an einer Stelle nicht weiter. Ich hoffe daher hier auf eure freundliche Unterstützung.

Es geht um die Berechtigung zur Ausführung von Reports. Ich suche aktuell nach einer Lösung, für einzelne Usern bestimmte Reports im Client auszublenden/zu sperren. Grund hierfür ist, dass ein Mitarbeiter aus der Kundenbetreuung einige Reports in der Buchhaltung nicht ausführen soll.
Mein erster Gedanke war es, einfach in der Menu-Suite unterschiedliche Ordner mit entsprechenden Berechtigungen anzulegen. Sofern meine Infos da korrekt sind, gibt es aber eine solche Möglichkeit in NAV nicht.

Meine Frage also, wie löst ihr das Problem in euren Unternehmen? Bindet ihr einfach keine Reports im Menu ein, die von bestimmten Abteilungen nicht ausgeführt werden dürfen? Baut ihr euch für jeden Ordner ein Zugriffsrechtssatz? Oder gibt es, so meine Hoffnung, eine bessere Lösung?

Vielen Dank schon mal fürs lesen. Seht es mir bitte nach, wenn ich wichtige Infos zur beantwortung der Frage unterschlagen haben sollte. Ich liefere gerne nach :)

Ich habe für solche Fälle in 2009 - keine Ahnung, ob das mit 2013 genauso geht - unterschiedliche Rollencenter angelegt.

Danke für deine schnelle Antwort! Heisst das ihr blendet die entsprechenden Reports in den einzelnen Abteilungsrollen ein und aus?

Wir setzen nämlich auch diverse Profile ein, um den unterschiedlichen Abteilungen individualisierte Oberflächen zur Verfügung zu stellen.

Die Reports sind aus den (Unter-)Menus der Abteilungen entfernt worden, da sie ja sonst jeder sehen kann. Stattdessen liegen sie auf der Startseite unter Aktionen in dem Rollencenter, deren Benutzer berechtigt sein sollen, sie aufzurufen.

Ok ich verstehe. Danke für die Info schon mal, so ein ähnliches Konstrukt hatten man mir schon mal vorgeschlagen.

Falls noch jemand einen andern Weg kennt, sehr gerne.

Hallo,

und was macht ihr, wenn der Benutzer ganz schlau ist und mit " -profile: FIBU" eine andere Rolle als normal startet?
Ich weiß nicht, ob das Unterbinden des Starten einer anderen Rolle schon mal thematisiert wurde.

Wenn man die Fibu-Rolle startet, sind sicher nicht alle Funktionen sichtbar, weil einzelne Berechtigungen fehlen. Aber
die Reports, die er nicht starten soll, sind wahrscheinlich sichtbar und ausführbar.

Andi

Wenn man die Reports aus der Rolle BASIS (bzw. ALLE in älteren Versionen vor NAV 2013) für Objekt-ID 0 entfernt, ist das grundsätzliche Ausführungsrecht für alle Reports gelöscht.

Dann kann man die freigegebenen Reports in getrennten neuen Rollen auflisten und diese den Benutzern zuordnen. Das ist zwar aufwendig, aber auch sicher.

Einrichtung:
https://www.cbsi-corp.com/wp-content/uploads/2013/07/NAV2013_02_ApplicationSetup.pdf

vempire hat geschrieben:Hallo,

und was macht ihr, wenn der Benutzer ganz schlau ist und mit " -profile: FIBU" eine andere Rolle als normal startet?
Ich weiß nicht, ob das Unterbinden des Starten einer anderen Rolle schon mal thematisiert wurde.
...

Abmahnung?

Man kann bei den Rechten nie eine 100%ige Lösung schaffen. Am Besten hat sich meiner Erfahrung nach bewährt, dass man Tabellen berechtigt und aus dem Rollencenter alle nicht benötigten Objekte entfernt (inklusive der Abteilungen).

vempire hat geschrieben:Hallo,

und was macht ihr, wenn der Benutzer ganz schlau ist und mit " -profile: FIBU" eine andere Rolle als normal startet?
Ich weiß nicht, ob das Unterbinden des Starten einer anderen Rolle schon mal thematisiert wurde.

Wenn man die Fibu-Rolle startet, sind sicher nicht alle Funktionen sichtbar, weil einzelne Berechtigungen fehlen. Aber
die Reports, die er nicht starten soll, sind wahrscheinlich sichtbar und ausführbar.

Andi

Ich finde den Einwand berechtigt, danke für diesen Hinweis. Letztlich ist es schwer einen vorsätzlichen Mißbrauch zu verhindern, spätestens dem Admin muss man in den meisten Fällen vertrauen. Aber ich habe es auch lieber möglichst sicher.

Kowa hat geschrieben:Wenn man die Reports aus der Rolle BASIS (bzw. ALLE in älteren Versionen vor NAV 2013) für Objekt-ID 0 entfernt, ist die grundsätzliche Ausführungsrecht für alle Reports gelöscht.

BASISrep.png

Dann kann man die freigegebenen Reports in getrennten neuen Rollen auflisten und diese den Benutzern zuordnen. Das ist zwar aufwendig, aber auch sicher.

Einrichtung:
https://www.cbsi-corp.com/wp-content/uploads/2013/07/NAV2013_02_ApplicationSetup.pdf

Auch danke für diesen Vorschlag. Im Prinzip hast du auch schon alles gesagt: Aufwendig aber sicher.

Ein gewisser Aufwand geht ja immer mit mehr Sicherheit einher. Aber wir haben jetzt schon an die 300 Reports und ich frage mich wie das Unternehmen lösen, die ein vielfaches an Usern und Reports verwalten.

Wenn ich das richtig verstehe, bekomme ich also in NAV keine sichere Lösung zur Einbindung von Reports in den Client realisiert, ohne mir eine komplexe und pflegeintensive Struktur aus Zugriffsrechtssätzen zu schaffen?

Habe ich keine Chance den "Ordner" in dem die Reports liegen in irgendeiner Form zu berechtigen? Der Ordner müsste doch auch in einem Feld in der Datenbank stehen, wieso kann man dann nicht sagen, das Feld ist für "Abteilung A" nicht lesbar? Geht doch mit allen anderen Tabellen und Feldern auch.

Ich würde in der Tabelle "User Setup" ein neues Feld "Fibu-Berichte ausführen" anlegen und nur bei den Benutzern anhaken, die die "besonderen" Berichte
ausführen dürfen.

Bei OnInitReport jedes dieser Berichte müsste man diesen Haken abfragen. Wenn der Haken bei dem ausführenden Benutzer nicht gesetzt ist, wird
der Bericht mit ERROR abgebrochen.

Das wäre ganz sicher. Der Aufwand ist auch nicht sooo riesig. Der Prüf-Code ist ja jedes mal derselbe und kann von Bericht zu Bericht kopiert werden.

Andi

NAVersteher hat geschrieben:Habe ich keine Chance den "Ordner" in dem die Reports liegen in irgendeiner Form zu berechtigen? Der Ordner müsste doch auch in einem Feld in der Datenbank stehen, wieso kann man dann nicht sagen, das Feld ist für "Abteilung A" nicht lesbar? Geht doch mit allen anderen Tabellen und Feldern auch.

Nein, Ordnerstrukturen sind nur in der MenuSuite enthalten, was quasi Text gleich kommt, und einzelne Inhalte dieser MenuSuite können daher nicht mit dem Berechtigungssystem verknüpft werden. Halt keine tabellarische Struktur ...

Was aber auch ginge: Individualprogrammierung. Wenn der Ordner auf einer Page liegt (als ActionGroup), dann kann man diesen Ordner aktivieren/deaktivieren, je nach Anforderung. Ggf. mit einer zusätzlichen, expliziten Berechtigungstabelle. Ist aber etwas weit hergeholt ...

Ok, danke noch mal für diese beiden Alternativen und die Erklärung dazu

Ich denke damit habt ihr wohl jetzt alle Wege aufgezählt die man gehen kann um das Problem zu lösen. Die Anzahl der Wege zeigt mir aber auch, dass NAV hier nur Workarrounds aber keine Lösung bietet. Ich kann mir jedenfalls keinen dieser Wege vorstellen, wenn ich in zwei Jahren 1000 Reports zu pflegen habe.

Ich denke ich werde mich dann wohl gegen die Sicherheit entscheiden müssen und die Reports in den Profilen einfach ein/ausblenden. Kennt man ja noch aus Windows 95, da war das verstecken von Ordnern auch die Erste Wahl in Sachen Security. Scheinbar ist Microsoft seinen Wurzeln da treu geblieben.

Das Ergebnis ist ein anderes als ich es mir erhofft habe, aber ich danke euch trotzdem für die nette Hilfe. :)

vempire hat geschrieben:Ich würde in der Tabelle "User Setup" ein neues Feld "Fibu-Berichte ausführen" anlegen und nur bei den Benutzern anhaken, die die "besonderen" Berichte
ausführen dürfen.

Bei OnInitReport jedes dieser Berichte müsste man diesen Haken abfragen. Wenn der Haken bei dem ausführenden Benutzer nicht gesetzt ist, wird
der Bericht mit ERROR abgebrochen.

Das wäre ganz sicher. Der Aufwand ist auch nicht sooo riesig. Der Prüf-Code ist ja jedes mal derselbe und kann von Bericht zu Bericht kopiert werden.

Andi

ernsthaft? - du würdest also seine 300 Berichte anpassen.....
ganz sicher wäre der Weg über die von kowa genannten Zugriffsberechtigungen...und das ohne Anpassungen, sodass die Lösung auch noch upgradefähig bleibt.

NAVersteher hat geschrieben: Ich kann mir jedenfalls keinen dieser Wege vorstellen, wenn ich in zwei Jahren 1000 Reports zu pflegen habe.

Wenn es wirklich so viele werden, würde ich es nur über Zugriffsberechtigungen machen. Das ist auch kein Workaround, sondern führt nur das fort was der Standard für Tabellendaten mitliefert. Dafür bekommt man schon vordefinierte Rollen mit, für Reports kann man diese bei solch hohem Reportaufkommen selber erstellen, aber hat dann dort zumindest alles nach Nutzergruppen zusammengefasst aufgelistet.

NAVersteher hat geschrieben:...
Die Anzahl der Wege zeigt mir aber auch, dass NAV hier nur Workarrounds aber keine Lösung bietet.
Ich kann mir jedenfalls keinen dieser Wege vorstellen, wenn ich in zwei Jahren 1000 Reports zu pflegen habe.

ich weiß nicht, wie du Lösung und Workarround definierst - aber über die Zugriffsberechtigungen zu gehen, ist definitiv eine Lösung.

wenn ihr weiter so viele Berichte erstellt, dann solltet ihr vielleicht über eine BI-Lösung nachdenken - bzw. wäre es aus meiner
Sicht schon lange dafür Zeit

Ich will garnicht wissen, wieviel Aufwand ihr da reingesteckt habt

Hallo,

ohne jetzt das ganze ganz genau verfolgt zu haben, würde ich auch über das Berechtigungskonzept gehen. Evtl. vereinfacht mein Vorschlag das ganze. Voraussetzung dafür ist allerdings, das nicht alle mit der Rolle SUPER arbeiten.

folgende Vorgehensweise:
1. Es wird eine neue Rolle ALLBERICHT definiert, die als einzige Berechtigung die Berechtigung zum Ausführen aller Berichte hat. Diese Rolle wird allen Benutzern zugeordnet, die auch alle Berichte ausführen dürfen.
2. Aus allen anderen Rollen wird die Berechtigung zum Ausführen aller Berichte entfernt.

jetzt gibt es zwei Möglichkeiten:
1. Allen Rollen werden die Berechtigungen für Berichte explizit zugeordnet (Das ist sehr fein granuliert, und erlaubt eine präzise einfache Steuerung der Berechtigungen, dauert aber)
2. Es wird eine oder mehrere neue Rolle(n) für Berichte definiert, die exakt die Berichte enthalten, die Benutzer mit der jeweiligen Berichtigungs(gruppe) haben sollen. (ist für eine Gruppe "Kundenbetreuer" einfacher, ist aber mehr Aufwand, wenn man es später detaillierter haben möchte)

Gruß Fiddi