|
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Zitat:
Delphi-Quellcode:
. Die Frage ist nur, ob das so überhaupt machbar ist.
ParentFolder.Permissions and ChildFolder.Permissions
Und dann müsste das Flag Vererbung aktiviert des ChildFolders zuvor noch beachtet werden. Ist es nicht aktiviert, dann müssen die Rechte des Ordners nur genommen werden. EDIT: Frage ob das so machbar ist gerade selbst beantwortet. Vor dem Problem stand ich bereits schonmal. Ein Verunden würde bewirken, dass zusätzliche Rechte im ChildFolder nicht übernommen werden. Ich würde also immer bei den Rechten meines Basisordners (nennen wir ihn Root) hängen bleiben. |
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Müsste das nicht eher Verodern sein?
|
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Zitat:
Man könnte auch ein Allow- und ein Deny-Rechteset einführen. Dann könnte man so etwas machen wie
Delphi-Quellcode:
... aber ob das Nutzer wirklich wollen/brauchen?
current := (inherited and not deny) or allow
|
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Was ich meinte: Recht auf den aktuellen oder den übergeordneten Ordner (oder gff. dessen übergeordneten) -> OK, ansonsten kein Zugriff.
|
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Ist denn ein Ordner-Denken in einem DMS überhaupt der richtige Weg? Warum braucht man das da noch?
Wie erfolgt der Zugriff auf Dateien dann? Klick ich mich durch eine Ordnerstruktur? Ich hätte jetzt gedacht man Filtert nach Kategorien, Sucht nach Stichworten, ... |
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Zitat:
Zitat:
Code:
Ohne Vererbung würde ja nur das Recht des Sub1 Ordners genommen womit wieder nur Schreibrechte (w) vorhanden wären.
r w x
Root --- 1 0 1 L Sub1 --- 0 1 0 wird mit Vererbung zu 1 1 1 |
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Hallo zusammen,
ich habe mir noch ein paar Gedanken über mein Berechtigungssystem gemacht. Vielleicht kann ja noch jemand etwas dazu sagen. Meine Vorstellung ging in die Richtung, dass ich mir eine Klasse erzeuge die die Ordnerobjekte abbilden soll. Grob gesagt etwa so:
Delphi-Quellcode:
Das Dumme ist jetzt, dass jede Gruppe und jeder Benutzer in jedem Verzeichnis andere Berechtigungen haben kann. Das heißt, dass das Benutzer- / Gruppenobjekt wiederum mit dem Berechtigungen eines Verzeichnisses gekoppelt werden müsste ohne, dass das Benutzerobjekt für jedes Verzeichnis extra instanziiert werden muss.
TDirectory = class(TInterfacedObject, I...)
public property Name: string read FName write FName; property InheritedPermissions: Boolean read FInheritedPermissions; // Zum Aufheben/Aktivieren der Vererbung muss explizit eine Funktion aufgerufen werden (würde theoretisch auch über den Setter funktionieren) property Directories: TObjectList<TDirectory> read FDirectories write FDirectories; // property Groups: TObjectList<TGroup> read FGroups write FGroups; // Beinhaltet alle Gruppen, die diesem DirectoryObject zugeordnet sind. Kann man das noch optimieren? Hier wird wenn ich es richtig weiß ja nur ein Pointer auf meine Gruppen in die Liste übernommen, welche bereits in einer Hauptliste aller Gruppen gespeichert sind. // property Users: TObjectList<TUser> read FUsers write FUsers; // Beinhaltet alle Gruppen, die diesem DirectoryObject zugeordnet sind. Kann man das noch optimieren? Hier wird wenn ich es richtig weiß ja nur ein Pointer auf meine Benutzer in die Liste übernommen, welche bereits in einer Hauptliste aller Benutzer gespeichert sind. end; Die Berechtigungen für Benutzer und Gruppen müsste dann in einer Klasse abgelegt werden. Hier würde sich eine gemeinsame Basisklasse anbieten in der folgende zwei Properties für die Berechtigungen enthalten sind:
Delphi-Quellcode:
Die Berechtigungen die ein Benutzer / eine Gruppe effektiv später hat, sollte dann so ausgerechnet werden können: (Ich bilde die Berechtigungen binär ab)
property Allowed: Integer read FAllowed write SetAllowed;
property Denied: Integer read FDenied write SetDenied; Eigentlich wollte ich die CODE-Tags dafür nehmen, aber da scheint es immer noch einen Bug zu geben. Mir wird zumindest nichts angezeigt.
Delphi-Quellcode:
Das gleiche Verfahren sollte mit Benutzern ebenfalls funktionieren. Zum Schluss müssen beide Ergebniswerte wieder mit OR miteinander verknüpft werden, um die schlussendlich kombinierten Gruppen und Userrechte zu erhalten.
Berechtigungen von Gruppen in Verzeichnis A:
Zuerst werden alle Gruppenberechtigungen Allowed und Denied mit OR miteinander verknüpft Allowed --- Denied Gruppe 1: 0 1 1 0 0 --- 1 0 1 1 0 Gruppe 2: 0 1 0 0 1 --- 0 0 1 0 0 Gruppe 3: 0 0 0 0 1 --- 0 0 0 0 0 ------------------------ 0 1 1 0 1 --- 1 0 1 1 0 Die Ergebnisse werden dann mit XOR verknüpft Allowed: 0 1 1 0 1 Denied: 1 0 1 1 0 --------- XOR: 1 1 0 1 1 Zum Schluss muss das Ergenis wieder mit den eigentlichen Allowed Permissions mit AND verknüpft werden damit nicht plötzlich Denied Rechte als Allowed Rechte gewertet werden. XOR: 1 1 0 1 1 Allowed: 0 1 1 0 1 --------- 0 1 0 0 1 Jetzt die Frage an die Nerds :wink: : Gibt es hierfür noch eine schnellere Variante oder ist das die schnellste Lösung? Und dann generell: Gibt es hierfür noch irgendwelche Vorschläge oder Ideen? Oder etwas was ich beachten sollte wenn ich es so mache? Das ist jetzt im Moment nur eine Idee bei der ich nicht weiß, ob ich mit dieser alles abbilden kann was ich vorhabe. |
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Nur mal zur Praktikabilität ne Frage. Müsste man nicht irgendwas wählen, dass man nachher leicht schon auf Datenbankebene prüfen kann (SQL o. SP)? Es bringt ja nichts sich erst alle Ordner oder so ins Programm zu laden um dann zu checken, was der Benutzer sehen darf.
|
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Ich würde Rollen anlegen, denen Personen zugeordnet werden können.
Das bedeutet, dass für jeden Standardfall (Projekte, Angebote, Ausschreibungen, Kundenaufträge, Lieferaufträge etc.) eine Rolle angelegt werden muss. Jedem Dokument, das neu im DMS aufgenommen wird, muss eine oder mehrere Rollen zugewiesen werden und zwar vom Eigentümer (Ersteller) des Dokuments. Ggf. kann man sogar darüber nachdenken, dass der Eigentümer Rollen für spezielle Fälle anlegen kann... Auf jeden Fall ist jetzt die Suche nach einem Dokument auf die Dokumente eingeschränkt, die einer oder mehrerer Rollen zugewiesen sind. Ich stelle es mir sehr schwierig und sehr Zeitraubend vor, bei der Suche nach Dokumenten ALLE Verzeichnisse zu durchwühlen, für die der Suchende Berechtigungen hat. Einen Tod muss man immer sterben, aber ein Rollen-System ist relativ einfach zu implementieren, der Pflegeaufwand für Standardrollen relativ gering und die Last hat eigentlich der Eigentümer des Dokuments. Nur die Personalfluktuation stellt noch ein klein wenig Verwaltungsaufwand dar (neue Mitarbeiter aufnehmen, ausgeschiedene Mitarbeiter kennzeichnen). Grüße Mikhal |
AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
Zitat:
danke für die Rückmeldung. Dein Ansatz ist schon richtig. Nur finde ich, dass solch komplexe Rechtesysteme in einer Anwendung einfacher umzusetzen sind, als über SQL oder eine SP. Zudem wollte ich später dem User evtl. die Möglichkeit geben, die Berechtigungen für einen Ordner anzufordern. Diese Anforderung soll dann an einen User gerichtet sein, der die RoleAssignment Berechtigung für den Ordner besitzt. In der Regel der Besitzer des Ordners bzw. der Abteilungsleiter oder so. Und zum Anfordern der Berechtigungen sollte der Ordner dann auch bereits für den User sichtbar sein. :stupid: Es reicht ja, wenn die Dokumente nicht sichtbar sind, die der Benutzer nicht sehen soll. Es wird wahrscheinlich (danke für den Anstoß) aber auch doch noch ein Recht geben, um das Auflisten der Subdirectories zu verhindern. Ich trage gerade mal in einer Word Datei alle Dinge zusammen, die das Rechtesystem später haben soll. Ist doch schon ziemlich kompliziert. Deshalb hoffe ich auf eure Hilfe. Ich kann mir nicht vorstellen, dass noch niemand ein Rechtesystem in seinem Programm verbaut hat. :cyclops: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:14 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz