DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo Delphianer,

ich bin gerade dabei, eine bestehende, von mir programmierte, Dokumentenverwaltung umzuprogrammieren. Und zwar geht es mir um den Aspekt der Sicherheit aller abgelegten Dokumente.
Um es kurz vorweg zu nehmen: Ich habe bereits Google und die Forensuche bemüht, jedoch nicht wirklich etwas zu dem Thema gefunden. :-D Alle gefundenen Themen bezogen sich direkt auf Windows oder Active Directory bzw. Domainumgebungen. :?

Aktuell wird es so gehandhabt, dass jedem Dokument die Benutzer mit bestimmten Berechtigungen zugeordnet werden. Dies ist allerdings sehr mühsam und zeitaufwendig. Je mehr Benutzer das DMS benutzen, desto schwieriger wird es, die Benutzer den Dokumenten zuzuordnen.

Im Zuge von anderen Umstellungen schwebte mir vor, ein komplett neues Berechtigungssystem zu erstellen.


Hier mal das Grundkonzept wie es später in etwa aussehen soll:

• Die Dokumente sollen in Zukunft in einer Ordnerstruktur abgelegt werden
• Jedem Ordner sollen Berechtigungen zugeteilt werden können
• Berechtigungen werden hauptsächlich durch Gruppen vergeben, es kann aber auch nur ein Benutzer diesem Ordner zugeteilt werden
• Die Berechtigungen sollen von übergeordneten Ordnern übernommen werden (Vererbung)
• Es soll die Möglichkeit bestehen, die Vererbung zu deaktivieren bzw. die vererbten Rechte zu erweitern
• Berechtigungen von einzelnen Dokumenten sollen ebenfalls bei Bedarf angepasst werden können. Hauptberechtigungen sind aber über die Ordner zu verteilen

Wie man sieht, soll das Berechtigungssystem in etwa aufgebaut werden wie es bei Windows der Fall ist. Zwar nicht mit ganz so vielen Rechten, aber es sollte wenn möglich erweiterbar sein.

Berechtigungen die auf jeden Fall existieren müssen:

• Dokumente auflisten
• Dokumente erstellen
• Dokumente bearbeiten
• Dokumente sperren / freigeben
• Diese Berechtigungen sollen sowohl für eigene Dokumente, als auch für Dokumente von anderen Usern seperat verwaltet werden können --> Das bedeutet, dass bereits mindestens 8 Rechte pro Gruppe/Dokument/Benutzer existieren

In wie weit es sinnvoll ist, auch eine Berechtigung zum Auflisten der Ordner zu machen weiß ich nicht. Die Möglichkeit zur Erweiterung sollte aber generell für alles bestehen.

Die Dokumente werden mit einem Verweis auf den Speicherort der Datei in einer Datenbank abgelegt. Hierbei handelt es sich um den Microsoft SQL-Server falls das wichtig sein sollte.


Meine Frage ist jetzt, wie man so etwas überhaupt umsetzen kann. Wie muss bspw. meine Klasse aufgebaut sein um schnell an Informationen heranzukommen. Meine Benutzer- und Gruppenobjekte müssten ja einen Verweis auf die Gruppen haben, in denen diese Mitglied sind. Analog dazu braucht dies auch das Dokument. Oder wird an der Stelle dann nach dem Berechtigungen des Ordners geschaut und wiederrum kombiniert mit den Berechtigungen des Dokumentes?

Wie kann ich das System am effektivsten in mein Programm einbauen, ohne das ich nachher bei 100 Gruppen und 100 Usern 10 Minuten auf das Auflisten von Dokumenten warten muss, weil das Prüfen der Berechtigungen zu lange dauert?


Ich wäre um jeden Vorschlag dankbar, der in die gewünschte Richtung geht.

Wenn noch Rückfragen bestehen bin ich gerne bereit hier weitere Auskünfte zu geben.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ich würde mir mal Unix-Dateisystem-Rechte angucken, dass geht ja in eine ähnliche Richtung. Damit kann man schon ganz gut arbeiten.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Wenn ich den Flieger richtig verstanden habe, ist das Was nicht das Problem, sondern das Wie. Und darüber gibt die Wikipedia an der Stelle leider wenig Auskunft. Ich denke aber, daß man mit Dictionaries gut voran kommen müsste. Die Zugriffe sind schnell, man muss sich halt überlegen, wie man das organisiert.

Sherlock

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo,
wo liegen den die Dokumente?
In einer DB oder auf der Platte.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Sherlock

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Wie es aussieht auf der Platte

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Danke @Sherlock und @mkinzler,

das ist korrekt. In der Datenbank wird lediglich vermerkt, dass es das Dokument gibt. Die eigentliche Datei wird auf einem Server gespeichert. Die Berechtigungen im Filesystem zu erstellen funktioniert leider nicht. Es handelt sich hierbei um einen Linux Server. Außerdem sollen ja auch die Dokumente schon je nach Berechtigungen des Benutzers im DMS angezeigt bzw. ausgeblendet werden. Da würden Filesystemberechtigungen nichts bringen.

Genau das ist jetzt die Frage. Reichen Dictionaries dafür aus oder muss es eine eigene Klassenstruktur sein. Und die Organisation der Dictionaries ist dann die nächste Frage.

Unix/Linux Dateisystemrechte reichen vmtl. nicht aus. Dort gibt es oft nur die Möglichkeit mit "rwx". Ich bräuchte aber eben die im ersten Beitrag angegebenen Möglichkeiten um die Rechte zu vergeben.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ich würde deshalb auch auf die Speicherung im Filesystem verzichten und die "Dateien" auch gleich in der Datenbank ablegen.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Gerade um "rwx" ging es mir nicht.

1. Die Dokumente sollen in Zukunft in einer Ordnerstruktur abgelegt werden :arrow: passt
2. Jedem Ordner sollen Berechtigungen zugeteilt werden können :arrow: passt
3. Berechtigungen werden hauptsächlich durch Gruppen vergeben, es kann aber auch nur ein Benutzer diesem Ordner zugeteilt werden :arrow: Owner-, Group-, und Other-Rechte
4. Die Berechtigungen sollen von übergeordneten Ordnern übernommen werden (Vererbung) :arrow: OK, da müsste man sich etwas überlegen.
5. Es soll die Möglichkeit bestehen, die Vererbung zu deaktivieren bzw. die vererbten Rechte zu erweitern :arrow: Späteres Anpassen der Rechte möglich, unabhängig von den Rechten des Ordners
6. Berechtigungen von einzelnen Dokumenten sollen ebenfalls bei Bedarf angepasst werden können. Hauptberechtigungen sind aber über die Ordner zu verteilen :arrow: OK, da müsste man sich etwas überlegen.

Im Prinzip würde ich die Ordnerhierarchie absteigen und immer überprüfen ob man den nächsten Schritt machen kann. Wenn keine neuen Rechte/Werte für Owner, Group oder Other gesetzt sind, werden jeweils die des Ordners darüber übernommen.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hat zwar mit dem eigentlichen Problem wenig zu tun, aber darüber hatte ich mir ganz zu Beginn des Projektes bereits Gedanken gemacht. Die Dateien selbst sind ja verschlüsselt abgelegt. Es kommt also keiner dran ohne über das DMS zu gehen. Deshalb würde ich die Berechtigungen gerne über mein DMS laufen lassen. Wir haben eben auch auf die Größe der Datenbank geachtet und uns deshalb für die externe Speicherung entschieden.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Das mit dem Übernehmen der Berechtigungen hatte ich mir eben so vorgestellt, dass die Rechte des Unterordners mit den Rechten des übergeordneten Ordner "verundet" werden. Also . Die Frage ist nur, ob das so überhaupt machbar ist.

Und dann müsste das Flag Vererbung aktiviert des ChildFolders zuvor noch beachtet werden. Ist es nicht aktiviert, dann müssen die Rechte des Ordners nur genommen werden.

EDIT: Frage ob das so machbar ist gerade selbst beantwortet. Vor dem Problem stand ich bereits schonmal. Ein Verunden würde bewirken, dass zusätzliche Rechte im ChildFolder nicht übernommen werden. Ich würde also immer bei den Rechten meines Basisordners (nennen wir ihn Root) hängen bleiben.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Müsste das nicht eher Verodern sein?

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Kommt halt drauf an was man machen will. Wenn das ein "ich darf den Ordner betreten"-Recht ist, dann würde verodern zum Beispiel keinen Sinn machen.

Man könnte auch ein Allow- und ein Deny-Rechteset einführen. Dann könnte man so etwas machen wie ... aber ob das Nutzer wirklich wollen/brauchen?

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Was ich meinte: Recht auf den aktuellen oder den übergeordneten Ordner (oder gff. dessen übergeordneten) -> OK, ansonsten kein Zugriff.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ist denn ein Ordner-Denken in einem DMS überhaupt der richtige Weg? Warum braucht man das da noch?
Wie erfolgt der Zugriff auf Dateien dann? Klick ich mich durch eine Ordnerstruktur?

Ich hätte jetzt gedacht man Filtert nach Kategorien, Sucht nach Stichworten, ...

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

So soll es ja auch sein, aber um auch Dokumente ohne diese Stichworte zu finden, werden die ja schonmal grob irgendwo eingegliedert. Und das ist eben die Ordnerstruktur. Und es gibt eben Ordner wie bspw. die der Geschäftsführung, die nicht von jedem eingesehen werden dürfen.

Hmm ... irgendwie ja. Das müsste man sich nochmal genau anschauen. Aber irgendwo hast du doch Recht. Wenn ihc von oben nach unten durchgehe, dann habe ich im Root Verzeichnis das Recht lesen. Bleiben wir mal bei der Linux Abkürzung.

Ohne Vererbung würde ja nur das Recht des Sub1 Ordners genommen womit wieder nur Schreibrechte (w) vorhanden wären.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo zusammen,

ich habe mir noch ein paar Gedanken über mein Berechtigungssystem gemacht. Vielleicht kann ja noch jemand etwas dazu sagen.

Meine Vorstellung ging in die Richtung, dass ich mir eine Klasse erzeuge die die Ordnerobjekte abbilden soll. Grob gesagt etwa so:
Das Dumme ist jetzt, dass jede Gruppe und jeder Benutzer in jedem Verzeichnis andere Berechtigungen haben kann. Das heißt, dass das Benutzer- / Gruppenobjekt wiederum mit dem Berechtigungen eines Verzeichnisses gekoppelt werden müsste ohne, dass das Benutzerobjekt für jedes Verzeichnis extra instanziiert werden muss.

Die Berechtigungen für Benutzer und Gruppen müsste dann in einer Klasse abgelegt werden. Hier würde sich eine gemeinsame Basisklasse anbieten in der folgende zwei Properties für die Berechtigungen enthalten sind:

Die Berechtigungen die ein Benutzer / eine Gruppe effektiv später hat, sollte dann so ausgerechnet werden können: (Ich bilde die Berechtigungen binär ab)


Eigentlich wollte ich die CODE-Tags dafür nehmen, aber da scheint es immer noch einen Bug zu geben. Mir wird zumindest nichts angezeigt.
Das gleiche Verfahren sollte mit Benutzern ebenfalls funktionieren. Zum Schluss müssen beide Ergebniswerte wieder mit OR miteinander verknüpft werden, um die schlussendlich kombinierten Gruppen und Userrechte zu erhalten.

Jetzt die Frage an die Nerds :wink: : Gibt es hierfür noch eine schnellere Variante oder ist das die schnellste Lösung?

Und dann generell: Gibt es hierfür noch irgendwelche Vorschläge oder Ideen? Oder etwas was ich beachten sollte wenn ich es so mache? Das ist jetzt im Moment nur eine Idee bei der ich nicht weiß, ob ich mit dieser alles abbilden kann was ich vorhabe.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Nur mal zur Praktikabilität ne Frage. Müsste man nicht irgendwas wählen, dass man nachher leicht schon auf Datenbankebene prüfen kann (SQL o. SP)? Es bringt ja nichts sich erst alle Ordner oder so ins Programm zu laden um dann zu checken, was der Benutzer sehen darf.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ich würde Rollen anlegen, denen Personen zugeordnet werden können.
Das bedeutet, dass für jeden Standardfall (Projekte, Angebote, Ausschreibungen, Kundenaufträge, Lieferaufträge etc.) eine Rolle angelegt werden muss. Jedem Dokument, das neu im DMS aufgenommen wird, muss eine oder mehrere Rollen zugewiesen werden und zwar vom Eigentümer (Ersteller) des Dokuments. Ggf. kann man sogar darüber nachdenken, dass der Eigentümer Rollen für spezielle Fälle anlegen kann...

Auf jeden Fall ist jetzt die Suche nach einem Dokument auf die Dokumente eingeschränkt, die einer oder mehrerer Rollen zugewiesen sind.

Ich stelle es mir sehr schwierig und sehr Zeitraubend vor, bei der Suche nach Dokumenten ALLE Verzeichnisse zu durchwühlen, für die der Suchende Berechtigungen hat.

Einen Tod muss man immer sterben, aber ein Rollen-System ist relativ einfach zu implementieren, der Pflegeaufwand für Standardrollen relativ gering und die Last hat eigentlich der Eigentümer des Dokuments. Nur die Personalfluktuation stellt noch ein klein wenig Verwaltungsaufwand dar (neue Mitarbeiter aufnehmen, ausgeschiedene Mitarbeiter kennzeichnen).

Grüße
Mikhal

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo jumpy,

danke für die Rückmeldung. Dein Ansatz ist schon richtig. Nur finde ich, dass solch komplexe Rechtesysteme in einer Anwendung einfacher umzusetzen sind, als über SQL oder eine SP. Zudem wollte ich später dem User evtl. die Möglichkeit geben, die Berechtigungen für einen Ordner anzufordern. Diese Anforderung soll dann an einen User gerichtet sein, der die RoleAssignment Berechtigung für den Ordner besitzt. In der Regel der Besitzer des Ordners bzw. der Abteilungsleiter oder so.

Und zum Anfordern der Berechtigungen sollte der Ordner dann auch bereits für den User sichtbar sein. :stupid:

Es reicht ja, wenn die Dokumente nicht sichtbar sind, die der Benutzer nicht sehen soll. Es wird wahrscheinlich (danke für den Anstoß) aber auch doch noch ein Recht geben, um das Auflisten der Subdirectories zu verhindern.

Ich trage gerade mal in einer Word Datei alle Dinge zusammen, die das Rechtesystem später haben soll. Ist doch schon ziemlich kompliziert. Deshalb hoffe ich auf eure Hilfe. Ich kann mir nicht vorstellen, dass noch niemand ein Rechtesystem in seinem Programm verbaut hat. :cyclops:

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo mikhal,

so ist es aktuell. Jedem Dokument werden die Mitarbeiter zugeordnet, die das Dokument sehen, downloaden oder bearbeiten können. Das hat sich aber für sehr schwierig und zeitraubend erwiesen. Niemand hatte mehr Lust die Dokumente einzuchecken, da es viel zu viel Arbeit war immer die Benutzerrechte zu hinterlegen. Rollen, oder wie ich es nenne, Gruppen, machen das ganze etwas einfacher, das stimmt. Aber auch die aktuelle Art der Ablage der Dokumente erwies sich als nicht wirklich gut.

Es soll später möglich sein, die Dokumente auf einen Ordner zu ziehen (aus dem Windows Explorer) und sich dann um nichts weiteres mehr kümmern zu müssen. Die Rechte des neuen Dokuments werden vom übergeordneten Ordner geerbt und das war es. Wenn dann spezielle Rechte gesetzt werden sollen, dann muss der User das eben machen, das ist klar.

Für die Suche der Dokumente gibt es ja immer noch die Eingabe von Schlagwörtern. Somit werden entweder alle Dokumente untereinander aufgelistet, oder aber man klickt sich durch die entsprechenden Ordner und erhält nur noch die Dokumente, die etwas mit dem Schlagwort zu tun haben.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Nicht der Benutzer wird dem Dokument zugeordnet, sondern die Rolle. Innerhalb der Rolle können vielleicht auch noch Berechtigungen einschränkt oder erweitert werden. Der Komplexität sind keine Grenzen gesetzt.

Grüße
Mikhal

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ja das ist schon klar. Aber das Verfahren ist ja im Prinzip das selbe wie es jetzt schon ist. Jedes Dokument muss nach oder während dem Einchecken noch einmal angefasst werden um Berechtigungen zu hinterlegen. Und genau das soll eben mit dem neuen Berechtigungssystem wegfallen.

Ein simples Drag & Drop aus dem Windows Explorer auf das DMS soll reichen, um ein Dokument einzuchecken. Spezielle Berechtigungen können dann immer noch gesetzt werden wenn erforderlich.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ich würde den Windows Explorer und auch alle anderen Datei-Zugriffsmöglichkeiten komplett außen vor lassen. Kein User hat Zugriff auf eine Datei, nur das DMS selber hat Zugriff, und weiß, wo die Daten/Dateien überhaupt liegen.

Die Ordnerstruktur wird wie beim Explorer im DMS angezeigt und dort werden auch die Rechte vergeben, z.B. aus der Klasse eingelesen. Wenn man die Rechtevergabe auf Dateiebene macht, viel Spass beim nächsten Systemwechsel :stupid:

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo mm1256,

ich glaube du hast dich verlesen. :wink:
Die Berechtigungen sollen natürlich nur im DMS abgebildet werden. Es ging mir lediglich darum, dass Dateien aus dem Windows Explorer ja einmalig dem DMS hinzugefügt werden müssen. Und das passiert in der Regel per FileOpen Dialog oder per Drag & Drop aus dem Explorer Fenster bzw. vom Desktop.

Sobald die Datei einmal im DMS ist, soll diese vom lokalen Rechner gelöscht werden. Alle anderen Aktionen mit dem Dokument werden über das DMS geregelt.

Deshalb betreibe ich ja den riesen Aufwand um ein eigenes Berechtigungssystem zu erstellen. Nur ist das sehr viel Arbeit, bei der ich auf eure Unterstützung hoffe.

An was muss ich alles denken, wie sollte meine Klassenstruktur aussehen, wie kann man Prozesse zu errechnen der Berechtigungen effizient(er) gestalten (siehe Beitrag #17). Da habe ich ja bzgl. der Berechnung schon einen Vorschlag gemacht. Eine andere Idee hatte ich bisher nicht. Und wenn ich ehrlich bin, gibt es in dem Fall nichts schnelleres außer binäre Operationen mit . Aber ich lasse mich auch gerne eines besseren beleheren. :-D

PS: Du hast in deinem Beitrag den falschen zitiert. :lol:

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Ich glaube nicht, dass ich mich verlesen habe. Wir haben uns vielleicht missverstanden. Eben dieses Hinzufügen per Drag and Drop mit dem Explorer würde ich verhindern, und mit einem Frontend welches du über das DMS bereitstellst (kann ja auch aussehen wie der Explorer) erledigen. In diesem Frontend würde ich jeglichen Zugriff auf die Dateien abwickeln, und hätte somit eine zentrale Stelle, an welcher ich (über das von dir schon angedachte Klassendesign) auch alle Zugriffsrechte abfrage und definiere. Im Prinzip sowas wie echtes Client-Server-Management. Nur das DMS selber weiß, wo die Daten liegen. Die Benutzer greifen selber nicht mehr direkt auf die Daten zu.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Puhh.. ich muss zugeben, dass ich sehr verwirrt bin als das ich das Ganze hier noch richtig nachvollziehen könnte.

Irgendwie habe ich was gelesen von MS-SQL-Server. Da wäre ich ganz bei mkinzler. Die Reports in die DB schieben und das wunderbare Rechtesystem einer ausgewachsenen Datenbank nutzen. Lässt eigentlich nie Wünsche offen.

Dann habe ich was von Linux-Server gelesen. Warum dann nicht Samba nutzen? Da kann man ebenso richtige dolle Benutzerrechte in aller erdenklicher Form nutzen.

Das alles selber machen zu wollen, klingt für mich wie das Rad neu erfinden zu wollen. Oder gibt es irgendwas konkretes, spezielles, dass beide Ideen nie und nimmer umsetzen könnten? Wie gesagt.. ich habe es vielleicht noch nicht so recht erfasst, das Problem.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hmm. Du meinst also, dass ich noch eine Art Windows Explorer in mein Programm implementieren soll um die Daten erstmalig zur Dokumentenverwaltung hinzuzufügen? Wenn nicht, dann verstehe ich es nicht.

Wenn die Daten erst einmal im DMS eingecheckt sind, dann werden die an einem speziellen Ort abgelegt an den niemand mehr heran kommt ohne über das DMS die Datei/das Dokument zu öffnen.

Ich hoffe ich kann nochmal etwas Licht ins Dunkel bringen.

In der Datenbank werden die Verweise auf ein Dokument abgelegt. Das Dokument, also die Datei, wird auf einem Server abgelegt auf den so niemand direkten Zugriff hat. Das ist ein Linux Fileserver auf den per Samba zugegriffen wird.

Alle anderen Metadaten wie Dateityp, Datum des Eincheckens usw. werden ebenfalls noch in der Datenbank abgelegt. Zudem sollen später die Berechtigungen (also binäre Zahlenwerte) pro Verzeichnis bzw. auch pro Dokument in der Datenbank gespeichert werden.

Ich wüsste nicht, wie ich aus meinem Programm heraus das Berechtigungssystem von Linux oder auch Windows nutzen sollte um genau diese Dinge abzubilden. Es wird ja auch noch einige andere Rechte außer Lesen, Schreiben, Ausführen geben die pro Verzeichnis/Dokument hinterlegt werden können.

Aber wie gesagt. Ich habe jetzt etwas im Kopf von dem ich ziemlich überzeugt bin, dass das klappen müsste. Wenn es eine bessere Idee (und eine Anleitung dazu ;)) gibt, dann bin ich auch dafür offen.

Aktuell würde mich aber interessieren, wie ich meine Klasse sinnvoll gestalten kann um das alles so effizient wie möglich abzubilden. Die Berchnung der einzelnen Rechte habe ich ja bereits in einem anderen Post dargestellt. Das müsste so eigentlich funktionieren. Es könnte höchstens sein, dass man das nochmal effizienter gestalten kann und man hierfür nicht "so viele" xor, or und and Operationen bräuchte.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hmm..

[QUOTE=Aviator;1346509][QUOTE=mm1256;1346483]Die Berechtigungen als binärer Zahlenwert...

Ich glaube, da ist der Fehler!

Also ich würde nicht die Berechtigungen 'ausrechnen' sondern über die Datenbank beim Einchecken einer Datei diesem Eintrag über eine Verknüpfungstabelle die 'Gruppen' oder eventuell 'Benutzer' verlinken. Dies können N Verknüpfungen sein.

Wenn nun versucht wird auf ein 'Verzeichnis' in deinem DMS zuzugreifen, dann wird erst anhand dieser Verlinkungen das tatsächliche Recht ermittelt.

Wenn Du dieses 'Recht' direkt 'fest' bei der Datei einträgst ohne die Verknüpfungen, dann kannst Du beim Verändern eines Rechtes nicht wissen, woher die vorherigen Rechte kommen.

Alternativ kannst Du auch stat einer Gruppe oder eines Benutzers in der Verknüpfung auch den Parent in deiner visuellen Baumstruktur angeben und dann hat der Eintrag die gleichen Rechte, wie das übergeordnete Verzeichnis.

Achja, nach diesem Schema funktionieren übrigens auch Dateisysteme, dort ist die Datenabnk z.B. in der NTFS / ext3 Struktur eingebettet.

AW: DMS - Berechtigungssystem mit vererbbaren Berechtigungen
 

Hallo Holger du Frühaufsteher,

die Verlinkung der Gruppen wie du es nennst wollte ich ja auch in der Datenbank hinterlegen. Nun ist es aber ja so, dass dem Dokument eine oder mehrere Gruppen und ein oder mehrere Benutzer zugeordnet werden können. Diese Gruppen und/oder User können, wie das bei NTFS ja auch der Fall ist, pro Dokument natürlich auch unterschiedliche Rechte haben.

Wenn die Vererbung aktiviert ist, dann erhält das Dokument zwar die übergeordneten Rechte des Verzeichnis, aber ich kann ja trotzdem noch Berechtigungen hinzufügen bzw. sogar verweigern.

Also muss ja doch wiederum pro Dokument die eigentliche Berechtigung für den Benutzer aus Verzeichnis- und Dokumentrechten ermittelt werden. Und das pro Benutzer und aller dem Benutzer und Dokument zugeordneten Gruppen.

Und wenn die Vererbung deaktiviert wird, dann muss ich dem Dokument erst recht alle Informationen geben. Die Verlinkungen können auf das Dokument kopiert werden (wenn dies beim Deaktivieren gewünscht wird). Spezielle Dokumentrechte sind ja dann sowieso schon mit dem Dokument verknüpft.

Ich habe mir natürlich schon sehr viele Gedanken über das Problem gemacht. Aber vielleicht übersehe ich ja was und du kannst mir sagen, wie es einfacher gehen kann. Das Rechtesystem soll ja wirklich ziemlich stark an das NTFS Filesystem mit ACLs angelehnt sein.

Ein Problem das ich sicherlich noch habe ist, wenn ein Administrator im Hintergrund die Berechtigungen der Dokumente bzw. Verzeichnisse ändert. Sei es durch das Hinzufügen von Gruppen oder einfach nur die Erweiterung um bspw. das Recht "Verändern". Diese Rechte müssen dann ja ohne Neustart zur Laufzeit eingelesen werden. An der Stelle könnte ich mir noch etwas wie ein Aktualisieren Button vorstellen, der den ganzen Verzeichnisbaum neu aufbaut und die neuen Rechte einliest. Wie das automatisch im Hintergrund ablaufen könnte weiß ich (noch) nicht. Das selbe Problem bestünde aber auch für bereits in der Dokumentliste angezeigte Dokumente.

Also wie oben beschrieben möchte ich ja ein Flag haben das angibt, ob die Vererbung aktiviert oder deaktiviert ist. Die Idee mit dem Parent hatte ich auch schon. Allerdings dann später beim Erzeugen der Objektinstanz. Somit weiß ich, welches Verzeichnis das übergeordnete ist und kann dann immer eine Ebene nach oben gehen.


Ein anderes Problem ist, dass ich beim Suchen von Dokumenten nur noch eine Liste mit Dokumenten habe die aber nicht mehr in einer Verzeichnisstruktur dargestellt werden. Hier muss ich dazu sagen, dass ich darüber aktuell noch nicht wirklich nachgedacht habe. In der aktuellen Version ist es jedoch so. Somit hätte ich kein Parent Directory mehr um daran die Rechte abzuleiten. Aber da muss ich mir noch etwas überlegen. Bin aber auch für jeden Vorschlag dankbar. :)