Berechtigungskonzept direkt über Active Directory

Hallo zusammen.

Ist es möglich Berechtigungen für das Navision (2016) auch im Active Directory zu definieren und den Benutzern zuzuweisen?

Gruß, Christian

Hi,

nein, das Berechtigungskonzept in NAV ist etwas eigenes - du hast keine Möglichkeit, im AD den Objektzugriff in NAV zu bestimmen.

Ja das geht.

Du erstellst eine oder mehrere AD-Gruppen, je nach Bedarf (z.B. NAV_Sales). diese ordnest du deinen Benutzern zu.
Danach legst du diese Gruppe als Benutzer mit Lizenzart "Windows-Gruppe" an und vergibst diesem Benutzer alle notwendigen NAV-Berechtigungen.

Die einzelnen Benutzer musst du dann nur noch als leere Benutzer ohne Berechtigung im NAV anlegen.
Dafür lässt sich aber bestimmt auch ein kleine Powershell-script schreiben, welches in Zeitabständen die Benutzer anlegt.

das war aber nicht die Frage - er wollte wissen, ob er die Berechtigungen direkt im AD vergeben kann...und das geht nicht.

Ich merke schon, wir haben es miteinander .
Ich behaupte mal die Frage ist dehnbar.

Hallo,

ich denke Christian möchte bei der Anlage der Benutzer nicht auch noch in NAV die Berechtigungen pro Benutzer vergeben.

Das er die NAV- Berechtigungen irgendwann mal den AD- Gruppen zuordnen muss, ist - denke ich - klar.

Insofern hat Michael schon recht, man könnte die Berechtigungen in NAV auch per AD zuordnen, damit ist es - wie er schon schrieb- aber noch nicht getan. Man sollte/muss die Benutzer- in NAV trotzdem noch anlegen und Profile vergeben falls nötig.

Gruß Fiddi

ich denke Christian möchte bei der Anlage der Benutzer nicht auch noch in NAV die Berechtigungen pro Benutzer vergeben.

Das ist das Ziel!

Du erstellst eine oder mehrere AD-Gruppen, je nach Bedarf (z.B. NAV_Sales).

Wie definiere ich die Benutzerberechtigungssätze in der neuen AD-Gruppe? Gibt es da was?

Gruß, Christian

...Wie definiere ich die Benutzerberechtigungssätze in der neuen AD-Gruppe? Gibt es da was?...

...Danach legst du diese Gruppe als Benutzer mit Lizenzart "Windows-Gruppe" an und vergibst diesem Benutzer alle notwendigen NAV-Berechtigungen...

Im NAV unter Benutzer legst du die Gruppe als Benutzer an und gibst ihr die Berechtigungsätze, welche sie brauch.

Diese Frage wird immer wieder von IT'lern gestellt die keine Ahnung von NAV haben.

M. E. macht das nur bedingt Sinn. Man müsste ja eine AD Gruppe pro Berechtigungssatz-Mandanten-Kombination anlegen. Wenn man z. B. 'ne Handvoll Mandanten hat und die Benutzer verschiedene Rechte in verschiedenen Mandanten haben sollen (z. B. in Mandant A als Buchhalter, in Mandant B nur Leserechte, in Mandant C keine Rechte, ...) dann wird das im AD schon komplex.

Außerdem löste das ja nur ein Teilproblem. Die Benutzeranpassung muss man ja trotzdem noch in NAV bearbeiten (insbes. Zuordnung Profil/Rollencenter), außerdem die Benutzer Einrichtung (z. B. Buchungszeiträume).

...M. E. macht das nur bedingt Sinn. ...

Ich habe das bereits vor Jahren schon für zwei Mandanten erfolgreich eingerichtet.
Es kann die Arbeit insofern erleichtern, dass der Admin, welcher eh den Benutzer in der Domäne anlegt, gleich die NAV Berechtigungen vergibt.
Wenn die Profilkonfiguration und den Buchungszeitraum dann jemand anderes einrichtet, braucht der Admin keine NAV-Kenntnisse.
Es kommt natürlich immer auf den Umfang an.

Guten Morgen.

Im NAV unter Benutzer legst du die Gruppe als Benutzer an und gibst ihr die Berechtigungsätze, welche sie brauch.

Ich würde jetzt eine globale Gruppe im Ad anlegen, mit dem gleichen Namen wie der NAV Benutzer 'Windows Gruppe'?

Gruß, Christian

Ich würde jetzt eine globale Gruppe im Ad anlegen, mit dem gleichen Namen wie der NAV Benutzer 'Windows Gruppe'?

Anders herum.

Du legst im AD die Gruppe an. Danach legst du im NAV den Benutzer mit dem Namen der Windowsgruppe als "Windows Gruppe" an, und weißt diesem die NAV- Berechtigungen zu.

Gruß Fiddi

Du legst im AD die Gruppe an. Danach legst du im NAV den Benutzer mit dem Namen der Windowsgruppe als "Windows Gruppe" an, und weißt diesem die NAV- Berechtigungen zu.

Habe Benutzernamen im NAV nach Gruppennamen im AD benannt. Passt das so in dem Benutzer, oder muss ich noch die Windows-Authentifizierung den Windows-Benutzernamen auswählen?

Benutzerkarte.PNG

Gruß, Christian

Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Hallo,

du musst NUR den "Windows Benutzer Namen" und "Windows Gruppe" angeben, den Rest erledigt NAV.

Gruß Fiddi

du musst NUR den "Windows Benutzer Namen" und "Windows Gruppe" angeben, den Rest erledigt NAV.

Habe ich so gemacht.

habe jetzt also einen Benutzer 'Windows-Gruppe' mit dem Namen der Ad Gruppe.

Wenn ich jetzt noch einen neuen Benutzer 'Windows-Gruppe' in einem anderen NAV 2015 einrichten möchte, muss ich da eine neue AD-Gruppe erstellen?
Wahrscheinlich schon.

Gruß, Christian

...Wenn ich jetzt noch einen neuen Benutzer 'Windows-Gruppe' in einem anderen NAV 2015 einrichten möchte, muss ich da eine neue AD-Gruppe erstellen?
Wahrscheinlich schon.

Ich verstehe die Frage leider nicht. Kannst du das nochmal genauer erläutern?

du musst NUR den "Windows Benutzer Namen" und "Windows Gruppe" angeben, den Rest erledigt NAV.

ich hatte ja im NAV Benutzer die AD-Gruppe über 'Windows-Benutername' zugewiesen.
Dann hatte NAV den AD-Gruppennamen im Allgemeinen Benutzernnamen inkl. Domaine eingetragen. Der Windows-Benutzername blieb aber leer. Wieso?
Wenn ich die Benutzer-Karte schließen möchte, kommt auch immer diese Meldung:

authentifizierung.PNG

Ich verstehe die Frage leider nicht. Kannst du das nochmal genauer erläutern?

Ich hatte leider festgestellt, dass ich den Testbenutzer über Citrix testen muss, da ich per Remote keine Berechtigung habe.
Daher muss ich den Benutzer mit Zuweisung Berechtigungen über AD auf einen anderen Navision testen, wo ich eine Citrix Gruppe habe.

Ich werde wahrscheinlich den Benutzer 'Windows Gruppe' nochmal löschen, um ihn auf den anderen System nochmal anlegen zu können, ohne nochmal eine neue AD-Gruppe anlegen zu können?

Gruß, Christian

Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Wenn sich die beiden NAVs in der gleichen Domäne befinden, sollte das kein Problem sein, die NAV Benutzer doppelt anzulegen.