1.12.13 Berechtigungen des ADVOKAT-Backend für Update einschränken

Ausgangssituation

  • Die im Kapitel Anforderungen Berechtigungen beschriebenen Berechtigungen auf das ADVOKAT Backend sollen auf das technisch notwendige Minimum eingeschränkt werden.

  • Die Berechtigungen sollen eingeschränkt werden, damit Domänenbenutzer kein Update mehr durchführen können, egal ob dieses per Internet Live Update oder Datei “A3_inet.exe” erfolgt.

Einschränkungen (Wichtig, bitte lesen!)

  1. Das ADVOKAT Update ist nur mehr für Domänen-Administratoren möglich oder auf dem Fileserver, also dort wo sich das ADVOKAT Backend befindet.

  2. Im ADVOKAT Installationsmenü können folgende Funktionen nur mehr von Domänen-Administratoren oder auf dem Fileserver genutzt werden:

    • Tabellen aktualisieren, Datenbanken aktualisieren, Netzinstallation erneuern

Informationen

  • Mit Einschränkung ist das Entfernen der Berechtigungen "Ändern" und "Schreiben" gemeint.

    • Es ist nicht möglich die Berechtigungen bei jeder Datei bzw. jedem Unterordner einzuschränken.

    • Es ist nicht möglich die Berechtigungen "Lesen, Ausführen", "Ordnerinhalt anzeigen" und "Lesen" einzuschränken.

Ordner und Dateien

Einschränkung
möglich?

Erklärung

...\ADVOKAT\advokat.exe

Ja

Diese Datei wird nur bei der einmaligen Erstinstallation von ADVOKAT und einem ADVOKAT Update geschrieben/geändert.

...\ADVOKAT\Admin

Nein

Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

...\ADVOKAT\Admin\Cab

Ja

Alle Unterordner und Dateien außer "Features.xml" werden nur bei einem ADVOKAT Update und Funktion "Netzinstallation erneuern" geschrieben/geändert.

...\ADVOKAT\Admin\Cab\Features.xml

Nein

Diese Datei wird Programmstart und Update von ADVOKAT geschrieben/geändert.
Bei fehlenden Berechtigungen "Ändern" und "Schreiben" funktioniert der Programmstart nicht mehr.

Vorgehensweise

  1. Stellen Sie sicher, dass ADVOKAT Version 6.27e oder höher verwendet wird. Im Bedarfsfall führen Sie ein ADVOKAT Update durch, siehe Kapitel ADVOKAT Update.
    Welche Version im Einsatz ist kann per Menüpunkt "?" > "Info" in der Zeile "Programmversion" ermittelt werden.

  2. Navigieren Sie in ADVOKAT zum Menüpunkt “Programme” > “Tabellen warten” > “Security”. Öffnen Sie im Reiter “Allgemein” den Listeneintrag “System”.

    • Stellen Sie beim Securityrecht “Internet Live-Update” sicher, dass dieses nur bei der Benutzergruppe “Administrator” oder jenen Gruppen zugelassen ist, welche ein Update durchführen dürfen.

    • Ist das Modul “Security” nicht vorhanden können Sie diesen Schritt überspringen. Mehr Informationen finden Sie im Kapitel ADVOKAT Security - Konfiguration.

  3. Führen Sie das Kapitel Funktionen im Installationsmenü verweigern aus um sicherzustellen, dass die Funktionen "Tabellen aktualisieren", "Datenbanken aktualisieren" und "Netzinstallation erneuern" nicht mehr systemweit verfügbar sind.
    Dieser Schritt ist zwingend erforderlich, da die Ausführung dieser Funktionen ohne erforderliche Berechtigungen im Backend sonst in Fehlermeldungen resultieren würde.

  4. Sicherstellen, dass ADVOKAT und Microsoft Office Outlook auf allen Arbeitsplätzen geschlossen sind.

    • ADVOKAT Frontend auf einer Arbeitsstation oder Terminalserver starten.

    • Am Startbildschirm von ADVOKAT "STRG + SHIFT + Doppelklick linke Maustaste" drücken.

    • Option "Advokat Programmstart sperren" aktivieren

    • Im Fenster "Optional zusätzlicher Text für die Meldung" einen Informationstext eingeben, Beispiel: ADVOKAT Update von 12:00 bis 12:15 Uhr.

      Auf allen anderen Geräten kann ADVOKAT nun nicht mehr gestartet werden.
      Alle Benutzer, welche sich zu diesem Zeitpunkt noch im Programm befinden werden nach einer Wartefrist von 5 Minuten getrennt.
       

  5. Verbinden Sie sich per Remotedesktop auf den Fileserver. Als Benutzer wählen Sie das AdvoAll-Benutzerkonto oder einen Domänenadministrator.
    Stellen Sie sicher, dass unter diesem Windows Benutzerkonto das ADVOKAT Netzlaufwerk ebenfalls eingebunden ist, sofern ADVOKAT per Netzlaufwerk betrieben wird.

  6. Navigieren Sie per Windows Explorer per lokalen Pfad zum Ordner "...\ADVOKAT". Wählen Sie bei der Datei "advokat.exe" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von advokat.exe" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'advokat.exe'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Klicken Sie auf "Übernehmen" und retour im Fenster "Eigenschaften von advokat.exe" entfernen Sie bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben".

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls zu entfernen. 

  7. Navigieren Sie per Windows Explorer per lokalen Pfad zum Ordner "...\ADVOKAT\Admin\Cab". Wählen Sie beim Ordner "Cab" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von Cab" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'Cab'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Klicken Sie auf "Übernehmen" und retour im Fenster "Eigenschaften von Cab" entfernen Sie per "Bearbeiten" bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben".

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls zu entfernen.

  8. Navigieren Sie per Windows Explorer per lokalen Pfad erneut zum Ordner "...\ADVOKAT\Admin\Cab". Wählen Sie bei Datei "Features.xml" > "Rechtsklick" > "Eigenschaften" aus.

    1. Im Fenster "Eigenschaften von Features.xml" wechseln Sie zum Reiter "Sicherheit" und klicken auf "Erweitert".

    2. Im Fenster "Erweiterte Sicherheitseinstellungen für 'Cab'" klicken Sie auf "Vererbung deaktivieren".

      • Es erscheint eine Abfrage bei der Sie folgende Möglichkeit auswählen: "Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren."

    3. Ergänzen Sie bei der Gruppe "Domänen-Benutzer" die Rechte "Ändern" und "Schreiben", siehe Eintrag "Features.xml" in der Informationstabelle. 

      • Gibt es eigene Domänengruppen anstatt "Domänen-Benutzer", dann sind diese ebenfalls dort zu ergänzen.
         

  9. Sperre des Programmstarts aufheben, starten Sie ADVOKAT am gleichen Gerät wie bei Schritt 1, es erscheint folgende Meldung, welche Sie mit "Ja" bestätigen:
    Soll die Sperre für die anderen Benutzer wieder aufgehoben werden?

Copyright © 2024 ADVOKAT Unternehmensberatung GREITER & GREITER GmbH - Impressum ->https://advokat.at/Impressum.aspx