1.12.12 Berechtigungen des ADVOKAT-Backend einschränken

Ausgangssituation

  • Die im Kapitel Anforderungen Berechtigungen beschriebenen Berechtigungen auf das ADVOKAT Backend sollen auf das technisch notwendige Minimum eingeschränkt werden.

  • Die Berechtigungen sollen eingeschränkt werden, damit Domänenbenutzer über keinen schreibenden Zugriff mehr auf diesen Ordner per Netzlaufwerk oder UNC-Pfad verfügen.

Einschränkungen (Wichtig, bitte lesen!)

  1. Das ADVOKAT Update ist nur mehr für Domänen-Administratoren möglich oder auf dem Fileserver, also dort wo sich das ADVOKAT Backend befindet.

  2. Im ADVOKAT Installationsmenü können folgende Funktionen nur mehr von Domänen-Administratoren oder auf dem Fileserver genutzt werden:

    • Tabellen aktualisieren, Datenbanken aktualisieren, Netzinstallation erneuern

Informationen

  • Wofür eine Datei bzw. ein Unterordner benötigt wird ist im Kapitel ADVOKAT Backend in einer Tabelle beschrieben.

    • Ist eine Datei bzw. ein Unterordner nicht aufgelistet, dann kontaktieren Sie den ADVOKAT Support per Helpdesk (Ticketsystem), per Support Tool, per E-Mail unter support@advokat.at oder telefonisch unter +43 512 / 58 80 33.

  • Mit Einschränkung ist das Entfernen der Berechtigungen "Ändern" und "Schreiben" gemeint.

    • Es ist nicht möglich die Berechtigungen bei jeder Datei bzw. jedem Unterordner einzuschränken.

    • Es ist nicht möglich die Berechtigungen "Lesen, Ausführen", "Ordnerinhalt anzeigen" und "Lesen" einzuschränken.

Ordner und Dateien

Einschränkung
möglich?

Erklärung

...\ADVOKAT

Nein

Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart zwar, es gibt aber eine Reihe von ungewünschten Nebenwirkungen.

  • Bei jeder Installation, Reparatur und einem ADVOKAT Update erscheint folgende Meldung beim Programmstart, diese muss mit "Fortsetzen" bestätigt werden:

    • Jeder ADVOKAT-Benutzer Vollzugriff auf das Verzeichnis '...\ADVOKAT' inklusive aller Unterverzeichnisse.

  • Eine Problemanalyse per Funktion "DEBUG" im ADVOKAT Installationsmenü ist nicht verfügbar.

  • Eine Problemanalyse per Protokoll "DEBUG.DAT" wie im Kapitel Weitere Protokolle beschrieben ist nicht verfügbar.

...\ADVOKAT\advokat.exe

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und einem ADVOKAT Update geschrieben/geändert.

...\ADVOKAT\Admin

Nein

Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Admin\Cab

Ja

Alle Unterordner und Dateien außer "Features.xml" werden nur bei einem ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Admin\Cab\Features.xml

Nein

Diese Datei wird Programmstart und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Admin\Dot

Ja

Dieser Ordner und die darin enthaltenen Dateien werden nur bei ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Admin\Setup

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Admin\Support

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.







...\ADVOKAT\Daten

Nein

Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Config

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Config\Bilder

Ja

Die von ADVOKAT ausgelieferten Dateien (Bilder für Startbildschirm und Benutzer) werden nur bei einem ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Daten\DFU

Nein

Die im Ordner enthaltenen Dateien werden bei Verwendung von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert bestimmte Module und ADVOKAT Individualprogramme nicht mehr.

...\ADVOKAT\Daten\ERV

Nein

Die im Ordner enthaltenen Dateien werden bei Verwendung von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert das Modul "ERV" (Elektronischer Rechtsverkehr) nicht mehr.

...\ADVOKAT\Daten\ERVBox

Nein

Die im Ordner enthaltenen Dateien werden bei Verwendung von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert die ERVBox im Modul "ERV" (Elektronischer Rechtsverkehr) nicht mehr.

...\ADVOKAT\Daten\Fibu

Nein

Die im Ordner enthaltenen Dateien werden bei Verwendung von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert bestimmte Module (Buchhaltung, Insolvenz) nicht mehr.

...\ADVOKAT\Daten\FibuAdv

Ja

Dieser Ordner und die darin enthaltenen Dateien werden nur bei ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Daten\Notebook

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert bestimmte Module (Buchhaltung, Insolvenz) nicht mehr.

...\ADVOKAT\Daten\Lock

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert das Modul "ERV" nicht mehr.

...\ADVOKAT\Daten\Log

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Vorlagen

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktionieren alle Module, in denen Dokumente erzeugt werden nicht mehr.

...\ADVOKAT\Daten\Vorlagen\...\Original

Bedingt

Diese Ordner und die darin enthaltenen Dateien werden nur bei ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

  • Ausgenommen davon sind die Dateien in den Verzeichnissen:

    • "...\ADVOKAT\Daten\Vorlagen\ERV\"

    • "...\ADVOKAT\Daten\Vorlagen\FE\"

    • "...\ADVOKAT\Daten\Vorlagen\OP\"

  • Hier werden im Unterordner "Original" die enthaltenen Dateien auch bei Verwendung von ADVOKAT geschrieben/geändert.

Eine Übersicht aller Ordner finden Sie im Kapitel Übersicht der Vorlagen.

...\ADVOKAT\Daten\Vorlagen\Kanzlei.xml

Nein

Diese Datei wird Programmstart und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Vorlagen\Vorlagen.xml

Ja

Diese Datei wird nur bei einem ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Daten\WebAktSt

Bedingt

Die im Ordner enthaltenen Dateien werden nur bei Verwendung des Moduls "Internet Akteneinsicht" geschrieben/geändert, siehe Kapitel ADVOKAT Lizenzierung.
Ist das Modul nicht vorhanden, dann können die Berechtigungen eingeschränkt werden.

...\ADVOKAT\Daten\Winword

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert bestimmte Module (Aktenverwaltung, Dokumentverwaltung, ERV) nicht mehr.

...\ADVOKAT\Daten\WW

Nein

Die im Ordner enthaltenen Dateien werden bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\AdvoErv.mdb

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und bei der einmaligen Konvertierung nach Erstinstallation geschrieben/geändert.

...\ADVOKAT\Daten\ADVO_LOG_<Zahl>.dat

Nein

Die Datei wird bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Advoini.old

Nein

Die Datei wird bei Programmstart und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Advokat.ini

Ja

Diese Datei wird nur bei einem ADVOKAT Update, Verwendung von ADVOKAT AdvoAll und Ausführung folgender Funktionen geschrieben/geändert:

  • Funktion "Netzinstallation erneuern", siehe Kapitel ADVOKAT Installationsmenü

  • Funktion "Programmstart sperren", siehe Programmhilfe (F1), Kapitel "Administrator Menü" 

...\ADVOKAT\Daten\Advokat.lic

Nein

Die Datei wird bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Advokat.mdb

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und bei der einmaligen Konvertierung nach Erstinstallation geschrieben/geändert.

...\ADVOKAT\Daten\AdvoRep.mdb

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und bei der einmaligen Konvertierung nach Erstinstallation geschrieben/geändert.

...\ADVOKAT\Daten\Import.adv

Nein

Die Datei wird bei Programmstart, Verwendung und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\LdbLog.dat

Bedingt

Diese Datei wird nur bei Verwendung des Tools "...\ADVOKAT\Admin\Support\LdbUser.exe" geschrieben/geändert.
Wird das Tool nicht verwendet, dann können die Berechtigungen eingeschränkt werden.

...\ADVOKAT\Daten\lizext_BACKUP.dat

Ja

Datei existiert nur wenn ADVOKAT mobil unter ADVOKAT Version 6.29b oder älter installiert wurde.
Die Datei wird weder von ADVOKAT noch ADVOKAT mobil verwendet, also nie geschrieben/geändert.

...\ADVOKAT\Daten\Mail.mdb

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und bei der einmaligen Konvertierung nach Erstinstallation geschrieben/geändert.

...\ADVOKAT\Daten\Tabellen.mdb

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und bei der einmaligen Konvertierung nach Erstinstallation geschrieben/geändert.

...\ADVOKAT\Daten\Update.ini

Nein

Die Datei wird bei Programmstart und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Daten\Verdes.dat

Ja

Diese Datei wird nur bei einem ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

Vorgehensweise

  1. Führen Sie das Kapitel Funktionen im Installationsmenü verweigern aus um sicherzustellen, dass die Funktionen "Tabellen aktualisieren", "Datenbanken aktualisieren" und "Netzinstallation erneuern" nicht mehr systemweit verfügbar sind.
    Dieser Schritt ist zwingend erforderlich, da die Ausführung dieser Funktionen ohne erforderliche Berechtigungen im Backend sonst in Fehlermeldungen resultieren würde.

  2. Sicherstellen, dass ADVOKAT und Microsoft Office Outlook auf allen Arbeitsplätzen geschlossen sind.

    • ADVOKAT Frontend auf einer Arbeitsstation oder Terminalserver starten.

    • Am Startbildschirm von ADVOKAT "STRG + SHIFT + Doppelklick linke Maustaste" drücken.

    • Option "Advokat Programmstart sperren" aktivieren

    • Im Fenster "Optional zusätzlicher Text für die Meldung" einen Informationstext eingeben, Beispiel: ADVOKAT Update von 12:00 bis 12:15 Uhr.

      Auf allen anderen Geräten kann ADVOKAT nun nicht mehr gestartet werden.
      Alle Benutzer, welche sich zu diesem Zeitpunkt noch im Programm befinden werden nach einer Wartefrist von 5 Minuten getrennt.
       

  3. Verbinden Sie sich per Remotedesktop auf den Fileserver. Als Benutzer wählen Sie das AdvoAll-Benutzerkonto oder einen Domänenadministrator.
    Stellen Sie sicher, dass unter diesem Windows Benutzerkonto das ADVOKAT Netzlaufwerk ebenfalls eingebunden ist, sofern ADVOKAT per Netzlaufwerk betrieben wird.

  4. Optional: Führen Sie das Kapitel Stammverzeichnis (Winword) ändern aus um sicherzustellen, dass Dokumente (Ordner "Winword") nicht mehr Teil des ADVOKAT Backends sind.
    Dadurch wird sichergestellt, dass man bei Aufruf des Windows Explorers oder ADVOKAT Explorers in ADVOKAT nicht mehr einfach zu anderen Ordnern wie beispielsweise "Config", "Log", "Vorlagen" navigieren kann.

  5. Optional: Führen Sie das Kapitel Zentrales ERVBox-Verzeichnis ändern aus um sicherzustellen, dass ERV-Dokumente (Ordner "ERVBox") nicht mehr Teil des ADVOKAT Backends sind.
    Dadurch wird sichergestellt, dass man bei Verwendung der ERVBox in ADVOKAT nicht mehr einfach zu anderen Ordnern wie beispielsweise "Config", "Log", "Vorlagen" navigieren kann.

  6. Optional: Führen Sie das Kapitel Ordner/Dateien des ADVOKAT-Backend verstecken aus um sicherzustellen, dass die Anwender bestimmte Ordner und Dateien nicht sehen, selbst wenn dort die Berechtigungen nicht eingeschränkt werden können.

  7. Navigieren Sie per Windows Explorer per lokalen Pfad zum Ordner "...\ADVOKAT". Wählen Sie bei der Datei "advokat.exe" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von advokat.exe" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'advokat.exe'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Klicken Sie auf "Übernehmen" und retour im Fenster "Eigenschaften von advokat.exe" entfernen Sie bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben".

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls zu entfernen. 

  8. Wiederholen Sie Schritt 7 für jede Datei, bei der in der Informationstabelle als Status "Ja" oder "Bedingt" eingetragen ist.
    Achten Sie bei Einträgen mit Status "Bedingt" darauf zu prüfen ob das relevante Modul bei Ihnen verwendet wird.

  9. Navigieren Sie per Windows Explorer per lokalen Pfad zum Ordner "...\ADVOKAT\Admin\Cab". Wählen Sie beim Ordner "Cab" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von Cab" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'Cab'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Klicken Sie auf "Übernehmen" und retour im Fenster "Eigenschaften von Cab" entfernen Sie per "Bearbeiten" bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben".

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls zu entfernen.
         

  10. Wiederholen Sie Schritt 9 für jeden Unterordner, bei dem in der Informationstabelle als Status "Ja" oder "Bedingt" eingetragen ist.

    • Achten Sie bei Einträgen mit Status "Bedingt" darauf zu prüfen ob das relevante Modul bei Ihnen verwendet wird.

    • Achten Sie bei den Ordnern "...\ADVOKAT\Daten\Vorlagen\FE\Original" und "...\ADVOKAT\Daten\Vorlagen\OP\Original" auf deren Besonderheiten, welche in der Tabelle beschrieben sind.

  11. Navigieren Sie per Windows Explorer per lokalen Pfad erneut zum Ordner "...\ADVOKAT\Admin\Cab". Wählen Sie bei Datei "Features.xml" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von Features.xml" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'Cab'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Ergänzen Sie bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben", siehe Eintrag "Features.xml" in der Informationstabelle. 

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls dort zu ergänzen.

  12. Navigieren Sie per Windows Explorer zum Ordner "...\ADVOKAT\Daten". Wählen Sie bei der Datei "Advokat.ini" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von Advokat.ini" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Bearbeiten".

    2. Stellen Sie sicher, dass das AdvoAll-Benutzerkonto weiterhin über die Rechte "Ändern" und "Schreiben" verfügt.

      • Um welchen Domänenbenutzer es sich beim Benutzerkonto handelt erkennt man, indem man auf einem beliebigen Gerät zu "C:\Program Files (x86)\Advokat" navigiert und "AdvoAll.exe" startet.

      • Existieren ein oder mehrere AdvoAll-Anwendungen, dann sieht man in der Spalte den Domänenbenutzer (Benutzerkonto).
         

  13. Sperre des Programmstarts aufheben, starten Sie ADVOKAT am gleichen Gerät wie bei Schritt 1, es erscheint folgende Meldung, welche Sie mit "Ja" bestätigen:
    Soll die Sperre für die anderen Benutzer wieder aufgehoben werden?

  14. Starten Sie ADVOKAT auf einem oder mehreren Arbeitsplätzen und stellen Sie sicher, dass die Module "Aktenverwaltung" und "ERV" weiterhin funktionieren.
    Dazu werden die Module per Menüpunkt "Programme" gestartet. Erscheint im Modul keine Fehlermeldung und es lässt sich bedienen, dann waren die Anpassungen erfolgreich.

Copyright © 2024 ADVOKAT Unternehmensberatung GREITER & GREITER GmbH - Impressum ->https://advokat.at/Impressum.aspx