Berechtigungskonzept
- Dinah Bolli
Eine Übersicht und Basis zur Entscheidungsfindung
- 1 Einführung
- 2 Berechtigungskategorien
- 3 Hilfsmittel: Windows groups oder primedocs groups
- 3.1 Windows groups
- 3.2 primedocs groups
- 4 Konkrete Anwendungsfälle
- 4.1 Einfacher Aufbau: ein Systemadministrator
- 4.2 Optimierter Aufbau: dedizierte interne Anlaufstelle
- 4.2.1 Übersicht
- 4.3 Durchstrukturierter Aufbau: Verantwortliche auf jeder Ebene
- 4.3.1 Einleitung
- 4.3.2 Textbausteine
- 4.3.2.1 Gemeinsam genutzte Textbausteine
- 4.3.2.2 Vorlagentextbausteine
- 4.3.3 Vorlagen
- 4.3.4 Übersicht
- 5 Schlussfolgerung
Einführung
primedocs ist ein Vorlagenverwaltungs- und Automatisierungssystem, das sich nahtlos in Microsoft Office integriert. Es vereinfacht und beschleunigt die Arbeit mit Dokumenten in Word, Arbeitsmappen in Excel, E-Mails in Outlook sowie Präsentationen in PowerPoint erheblich. Darüber hinaus bleiben Unterlagen, die mit primedocs erstellt werden, automatisch „on brand“ und halten sich somit stärker an das CI/CD (Corporate Identity / Corporate Design) Ihres Unternehmens bzw. Ihrer Organisation.
Da wir wissen, dass es viele unterschiedliche Organisationsstrukturen und Arbeitsweisen gibt, bietet primedocs vielseitige und mehrschichtige Berechtigungsfunktionen. Diese Berechtigungsoptionen und -strukturen sind Gegenstand dieser Seite.
Berechtigungskategorien
Wir unterscheiden verschiedene Arten von Berechtigungen, auf welche wir später näher eingehen:
Vorlagen- und Textbaustein-Berechtigungen: Hier werden Berechtigungen auf Vorlagen oder Textbausteine (bzw. deren Kategorien) gesetzt, um zu steuern, wer die jeweilige Vorlage bzw. den jeweiligen Textbaustein angezeigt bekommt. In primedocs können wir mit einer feinen Granularität steuern, wer eine Vorlage sehen darf und wer nicht. Das Gleiche gilt für Textbausteine und Textbaustein-Kategorien (Textbaustein-Ordner). Diese Berechtigungen werden pro Dateiobjekt gesetzt.
Administratoren-Berechtigungen: Neben den regulären Benutzerberechtigungen stellt primedocs verschiedene erweiterte Benutzerberechtigungen bereit, da diese verschiedene System- und Datenzugriffe ermöglichen.
Vorlagen- und Textbaustein-Berechtigungen
Vorlagenberechtigungen
Jede Vorlage in primedocs kann entweder für alle Benutzer sichtbar sein oder eingeschränkt werden, sodass nur bestimmte Benutzer bzw. Mitglieder einer bestimmten AD- oder primedocs-Gruppe oder/und bestimmte Organisationseinheiten eine Vorlage sehen können. So kann eine Vorlage z.B. nur für Mitglieder des Teams „HR“ oder „Finanzen“ sichtbar sein.
Diese Sichtbarkeit ist mit dem Profil verknüpft. Hat also ein Mitarbeiter zwei Profile, einmal als Mitglied der OE „IT“ und einmal als Mitglied der OE „Finanzen“, dann würde sie die „Finanz“-Vorlagen nur sehen, wenn sie das Profil „Finanzen“ wählt; bei „IT“ nicht. Diese dynamische Darstellungsweise erlaubt es, je nach Rolle (die mittels Gruppen- und OE-Zugehörigkeit gesteuert wird) immer eine aufgeräumte, fokussierte Vorlagenauswahl zu haben.
Um die Sichtbarkeit einer Vorlage zu regeln, muss man entweder „Layouter“-Adminrechte oder oder Sys-Admin-Rechte haben (mehr dazu weiter unten). Lesen Sie hier, wie die Vorlagenberechtigungen detailliert funktionieren: Vorlagenberechtigungen | Konzept
Textbausteinberechtigungen
Auch die Sichtbarkeit von Textbausteinen kann auf vergleichbare Art gesteuert werden. Diese Sichtbarkeitssteuerung betrifft jedoch nur die „Gemeinsam genutzten Textbausteine“, da die „Eigenen Textbausteine“ nur für die jeweiligen Benutzer sichtbar sind. Bei den Textbausteinen kann die Sichtbarkeit nicht nur pro Textbaustein gesteuert werden, sondern auch pro Textbausteinkategorie. Eine Textbausteinkategorie ist ein Ordner, der auch Unterordner enthalten kann, um die Textbausteine zu strukturieren. Es kann pro Kategorie definiert werden, wer diese Kategorie und alle Unterkategorien sehen darf.
Um die Sichtbarkeit eines Textbausteins/einer Kategorie zu regeln und einen Textbaustein zu bearbeiten, muss man entweder Snippet-Admin-Rechte oder Sys-Admin-Rechte haben (mehr dazu weiter unten). Auch hier kann also sichergestellt werden, dass jeder Benutzer nur jene Textbausteine (und -Kategorien) sieht, die für sie nützlich sind.
Lesen Sie hier mehr über die Textbausteinberechtigungen: Berechtigungen | Berechtigungen für Textbausteine
Administratoren-Berechtigungen
Die Administratoren-Berechtigungen werden im Admin-Dashboard verwaltet.
Sie wurden in unserer technischen Dokumentation bereits umfassend beschrieben. Lesen Sie das Berechtigungen | Konzept, die einzelnen Administratoren- oder wie die Berechtigungen gesetzt werden .
Hilfsmittel: Windows groups oder primedocs groups
In primedocs regelt man mittels Benutzergruppen die Berechtigungen von Vorlagen und Textbausteinen (Lesen- und Schreibrechte) sowie Organisationseinheiten. Die Gruppen stammen entweder vom Active Directory (AD) (Windows groups) oder sie werden manuell über das Admin Dashboard erstellt (primedocs groups).
Windows groups
Es gibt die Möglichkeit, beliebige Gruppen vom Active Directory (AD) hinzuzufügen. Diese AD-Gruppen werden zu primedocs synchronisiert. Werden Daten im AD verändert, sind diese nach der nächsten Synchronisation bzw. sofort in primedocs sichtbar, falls eine manuelle Synchronisation vom Admin Dashboard aus getätigt wird.
In der Regel werden nicht alle sondern nur bestimmte AD-Gruppen für die Synchronisation gewählt, da viele AD-Gruppen keine Relevanz für primedocs haben.
primedocs groups
Oft liegt aber im AD keine Windows group vor, die für die gewünschte Berechtigung auf Vorlagen, Textbausteinen oder Organisationseinheiten verwenden könnte. Da es meist unerwünscht ist, eine Gruppe nur für primedocs im AD nachzubilden, gibt es die Möglichkeit, über das Admin Dashboard in Ergänzung zu den AD-Gruppen auch primedocs-Gruppen zu bilden.
Die primedocs-Gruppen können AD-Gruppen beinhalten, sodass man eine primedocs-Gruppe aus zwei oder mehreren AD-Gruppen bilden kann. Man kann auch einzelne Benutzer zu einer primedocs-Gruppe hinzufügen, wobei man sich bewusst sein muss, dass die Gruppenmitgliedschaft hier manuell gepflegt werden muss. Letztens ist es auch möglich, andere primedocs-Gruppen hinzuzufügen.
Eine häufige Verwendung solcher primedocs-Gruppen ist die Bildung von “Power-User“ oder “Layouter” in primedocs, also Benutzer, die erweiterte Rechte haben oder welche Vorlagen bauen. Die oft abteilungsübergreifenden Benutzer sind häufig nicht bereits in einer AD-Gruppe gruppiert.
Konkrete Anwendungsfälle
Wie könnte eine konkrete Umsetzung nun aussehen, wenn wir diese verschiedene Berechtigungsmöglichkeiten ausschöpfen würde? Es folgen drei Beispiele, die zwar hypothetisch sind, sich aber stark an vorhandene Lösungen stützen (PS = PrimeSoft):
Einfacher Aufbau: ein Systemadministrator
In einem einfachen Aufbau sind die Vorlagen/Textbausteine so eingerichtet, dass alle alles sehen und eine Person im Unternehmen überall Anpassungen vornehmen kann.
Dieser Aufbau ist geeignet für ein Unternehmen mit einer kleinen Anzahl Vorlagen/Textbausteinen und mit einer kleinen Benutzeranzahl, weswegen es keine komplexere Berechtigungsstruktur benötigt. Es wird eine Person als primedocs-Sys-Admin ernannt, die primedocs intern pflegt und PrimeSoft mit allfälligen Vorlagen-/Textbausteinanpassungen beauftragt.
Somit konzentriert sich der einfache Aufbau auf die Verwendung von Vorlagen und die interne Unterstützung z. B. in Bezug auf die Pflege der Organisationsstruktur und Hilfe bei Profilen.
So ein Aufbau könnte dann folgendermassen aussehen:
Rolle | Verantwortung | Berechtigungsstruktur |
|---|---|---|
SYS | kundenseitig, eine Person | 1 Benutzer |
ORG | kundenseitig, insbes. wenn die OE-Struktur aktiv gepflegt werden muss - sonst kann sie auch von PS angepasst werden. | Gedeckt durch SYS |
USER | kundenseitig, weil PS i.d.R. keinen direkten Zugriff auf die Kundenumgebung hat. | Gedeckt durch SYS |
TEMPL | einfache Anpassungen durch SYS, Vorlagenerstellung sonst bei PS | Gedeckt durch SYS, keine Template-Admin |
Snippet | Verwaltung der gem. gen. Textbausteine durch SYS oder auf Wunsch durch PS | Gedeckt durch SYS, keine Snippet-Admin |
Optimierter Aufbau: dedizierte interne Anlaufstelle
Ein optimierter Aufbau gestaltet sich facettenreicher. Die Sichtbarkeit von Vorlagengruppen/Textbausteinkategorien sowie Organisationseinheiten wird durch Berechtigungen pro Abteilung geregelt (mit entsprechenden AD-Gruppen), so dass nicht alle Benutzer sämtliche Vorlagen sehen können.
Die Vorlagen/Textbausteine sowie Organisationseinheiten werden von einer von PS ausgebildeten dedizierten Gruppe von Benutzern grössenteils selbständig verwaltet sowie als interne Anlaufstelle für primedocs-Fragen von Benutzern, sogenannten PowerUser, fungiert. Je nach dem kann man entweder allen Mitgliedern dieser Abteilung Sys-Admin-Rechte oder jedem Mitglied eine spezifische Rolle erteilen. Im ersten Fall würden dann alle Mitglieder alles machen und im zweiten Fall würde so automatisch jedes Mitglied seine Verantwortung und sein Aufgabengebiet inne haben (z. B. Org-Admin). Dies kommt jedoch auf die unternehmensinternen Prozesse an. Je nach Grösse dieser Gruppe, kann man diese Struktur natürlich noch erweitern. Dieses System kann man entsprechend weiter planen, als dass nur Mitglieder dieser Abteilung Tickets bei PS erstellen dürfen.
Dieser Aufbau eignet sich für ein Unternehmen mit einer mittelgrossen oder grossen Anzahl Benutzer, welches eher viele Vorlagen und Textbausteine hat und diese selber verwalten möchte.
In der untenstehenden Tabelle wird diese vom Unternehmen organisierte interne primedocs-Abteilung mit “K-pd-Team” abgekürzt.
Übersicht
Rolle | Verantwortung | Berechtigungsstruktur 1 | Berechtigungsstruktur 2 |
|---|---|---|---|
SYS | kundenseitig; K-pd-Team | Alle Mitglieder des K-pd-Team | 1 Mitglied des K-pd-Team |
ORG | kundenseitig, insbes. wenn die OE-Struktur aktiv gepflegt werden muss. | Gedeckt durch SYS | 1 Mitglied des K-pd-Team |
USER | Das K-pd-Team ist die erste Anlaufstelle bei Fragen rund um Profile und Profilfreigaben. | Gedeckt durch SYS | 1 Mitglied des K-pd-Team |
TEMPL | Alle Vorlagen sowie Vorlagengruppen sowie deren Berechtigungen werden vom K-pd-Team erstellt und bearbeitet. Bei Problemen kontaktiert K-pd-Team PS. | Gedeckt durch SYS | 1 Mitglieder des K-pd-Team; SYS-Admin berechtigt es auf alle Vorlagen. Alternativ: 2 Mitglieder des K-pd-Team (siehe unten) |
Snippet | Alle Textbausteine sowie deren Berechtigungen werden vom K-pd-Team erstellt und bearbeitet. Alternativ:
| Gedeckt durch SYS | 1 Mitglied des K-pd-Team Alternativ:
|
Durchstrukturierter Aufbau: Verantwortliche auf jeder Ebene
Einleitung
Ein durchstrukturierter Aufbau geht von den gleichen Voraussetzungen aus wie der optimierte Aufbau, ist jedoch ein anderer Lösungssatz. Dieser Aufbau eignet sich also auch für ein Unternehmen mit einer mittelgrossen oder grossen Anzahl Benutzer, welches eher viele Vorlagen und Textbausteine hat und diese selber verwalten möchte. Hier ist ein Berechtigungssystem gefordert, das flexibel ist und die richtigen Personen am richtigen Ort ansetzt.
Die Sichtbarkeit von Vorlagengruppen/Textbausteinkategorien sowie Organisationseinheiten wird auch durch Berechtigungen pro Abteilung geregelt, so dass nicht alle Benutzer sämtliche Vorlagen sehen können.
Im Gegensatz zum optimierten Aufbau werden nun aber die Administrator-Berechtigungen so verteilt, dass sie anhand der Organisationshierarchie an mehrere Benutzer pro Ebene zugewiesen werden, z.B. an Bereichs-, Abteilungs sowie/oder Teamleiter. Dadurch muss die Pflege nicht mehr zentral erfolgen, sondern kann dezentral, agil und flexibel stattfinden.
Beispiel: Nehmen wir eine verwaltungsnahe Organisation als konkretes Beispiel: sie hat eine 5 Organisationsebenen. Ebene 1 bezeichnet die oberste Führungsebene, Ebene 2 sind Bereiche, Ebene 3 sind Abteilungen, in Ebene 4 Teams und Ebene 5 ist eine weitere Ebene für grosse Teams. Nun ist eine Person aus der IT sowie dem Management ist Sys-Admin (Ebene 1).
Textbausteine
Gemeinsam genutzte Textbausteine
Textbausteinkategorien werden gemäss Hierarchiestruktur auf die 5 Ebenen strukturiert und benannt. Alle Benutzer einer Ebene sind berechtigt, die Textbausteine für ihre Ebene zu sehen. Dedizierte Benutzer pro Ebene (z. B. pro Abteilung) sind berechtigt, die Textbausteine zu verwalten.
Vorlagentextbausteine
Textbausteinkategorien werden gemäss Vorlagengruppen und deren Vorlagen strukturiert und benannt. Template-Administratoren erhalten automatisch Zugriff auf alle Vorlagentextbausteine.
Konkretes Beispiel: Alle Benutzer, die der OE “Bereich X” angehören, sehen in der Textbaustein-Leiste die Textbausteinkategorie “Bereich X“ - die einzelnen Abteilungen in X sehen die für sie relevanten Unterkategorien, z. B. “Abteilung X.Y”.
Der Bereich X hat einen Snippet-Admin, der alle gem. gen. Textbaustein sieht, sich aber nur um die Textbausteinkategorie “Bereich X” kümmert. Er vergibt einzelnen Verantwortlichen Ändern-Rechte auf einzelnen Unterkategorien (z. B. Kategorie “Abteilung X.Y”). Alternativ ist diese Person kein Snippet-Admin sondern hat lediglich Ändern-Rechte auf diesen Textbausteinen.
Vorlagen
Die Sichtbarkeit von Vorlagen wird mittels AD-Gruppe, die die Benutzer einer Ebene enthält, geregelt. Jede Ebene hat eine oder mehrere dedizierte Benutzer, die die Vorlagen der entsprechenden Ebene pflegen. Basisvorlagen, die unternehmensweit für alle Benutzer gelten, werden von einer dedizierten Stelle im Unternehmen verwaltet.
Konkretes Beispiel: Alle Benutzer, die dem “Bereich X” angehören, sehen die Vorlagen in der Vorlagengruppe “Bereich X - Generell”. Die Benutzer, die der “Abteilung X.Y” angehören, sehen die Vorlagen in der Vorlagengruppe “Bereich X - Abteilung X.Y”. Alternativ kann es auch eine Vorlagengruppe “Bereich X” geben und einzelne Abteilungen bzw. Benutzer werden auf die einzelnen Vorlagen berechtigt.
Der Bereich X hat pro Abteilung einen Template-Admin. Dieser hat Ändern-Rechte auf den entsprechenden Vorlagen und ist daher für deren Aktualisierung verantwortlich. Er sammelt Änderungsanfragen für Vorlagen der gesamten Abteilung und führt diese durch. Neuen Vorlagen muss er lediglich die AD-Gruppe “Abteilung Y” bzw. die entsprechende primedocs-OE und “Alle Benutzer” zum Lesen berechtigen.
Dieses System kann man entsprechend weiter planen, als dass nur Sys-Administratoren Tickets bei PS erstellen dürfen.
Einzelne Abteilungen können natürlich ihre Vorlagenbearbeitung auch an PS übergeben.
Übersicht
*Je nach Komplexität der Organisationsstruktur und der Grösse des Unternehmens
Rolle | Verantwortung | Berechtigungsstruktur |
|---|---|---|
SYS | kundenseitig; Benutzer aus allen Ebenen. | *Ein Benutzer für das ganze Unternehmen oder pro Ebene/Abteilung ein Benutzer |
ORG | kundenseitig, insbes. wenn die OE-Struktur aktiv gepflegt werden muss. | *Pro Ebene/Abteilung ein Benutzer |
USER | Pro Abteilung gibt es sogenannte PowerUser, die als erste Anlaufstelle bei Fragen rund um Profile und Profilfreigaben für ihre Abteilung fungieren. | *Pro Ebene/Abteilung ein Benutzer |
TEMPL | Eine Abteilung verwaltet ihre eigenen Vorlagen - dies entweder durch alle oder durch dedizierte berechtigte Benutzer. Bei Problemen wird eine höhere interne Anlaufstelle (SYS) kontaktiert. | *Pro Ebene/Abteilung ein oder mehrere Benutzer |
Snippet | Eine Abteilung verwaltet ihre eigenen Textbausteinkategorien - dies entweder durch alle oder durch dedizierte berechtigte Benutzer. | *Pro Ebene/Abteilung ein oder mehrere Benutzer |
Schlussfolgerung
Es ist natürlich auch möglich eine Mischform der oben genannten Konzepte einzusetzen. Das System ermöglicht jedoch auch grossen Unternehmen ein organisierter Zugriff auf Vorlagen und Textbausteine für ihre Benutzer.
Alle oben genannten Systeme sollten mit einem dedizierten Vorlagenfreigabeprozess ergänzt werden. Dieser kann nur den Einsatz der 3 Status einer Vorlage umfassen oder kann sich beliebig komplexer gestalten durch Einsatz einer Test- und Prod-Datenbank, Testing durch die Benutzer und dem anschliessenden Import eines berechtigten Benutzers auf die Prod-Datenbank. Beachten Sie, dass hier jedoch unter Umständen auch für jede Datenbank eigene Berechtigungssysteme eingesetzt werden können.
Auch ein entsprechender Support-Prozess zu PrimeSoft kann man anhand Ihrer Administrationsberechtigungen ableiten.
Falls Ihnen nun der Kopf schwirrt : rufen Sie uns an und lassen Sie sich von einem unserer Supporter zu Ihrer konkreten Situation beraten!
PrimeSoft AG, Bahnhofstrasse 4, 8360 Eschlikon, Switzerland