Bitte beachten Sie auch die Ausführungen des Kapitels Berechtigungen verwalten (MN10810).
Grundsätzliche Voraussetzung, um einen Anwender in oxaion anzumelden und ihm Berechtigungen zuweisen zu können, ist ein aktives Benutzerprofil auf dem Server.
Details hierzu entnehmen Sie bitte den Ausführungen zu den Programmen "Benutzeroptionen" (OP10100) und "Allgemeine Benutzeroptionen" (MN10640)
Neben Vorgabewerten für den oxaion-Anwender, die das tägliche Arbeiten betreffen, wird in diesem Programm die Verbindung des Anwenders zu einem definierten Berechtigungskonzept hergestellt.
Benutzerbezogenes Startmenü
Die einfachste Möglichkeit ein Berechtigungskonzept zu erstellen, wird über das benutzerbezogene Startmenü erreicht. Einem Anwender oder einer Gruppe von Anwendern wird dadurch ein Menü mit den aufrufbaren Programmen zugewiesen.
Nur die im Menü enthaltenen Programme können aufgerufen werden!
Das Erstellen eines personen- oder gruppenbezogenen Menüs erfolgt über die Menüverwaltung (MN10192).
Benutzer-Typ
Beim Anlegen eines Benutzerprofils wird mit der Wahl des Benutzer-Typs eine prinzipielle Berechtigung vergeben. Mit dem Benutzer-Typ werden die Möglichkeiten eines Anwenders hinsichtlich der erworbenen Software-Lizenzen gesteuert. Zum Beispiel hat ein so genannter Info-User nur Anzeigerechte. Je nach Anzahl der erworbenen Lizenzen kann nur eine bestimmte Anzahl von Anwendern eines Typs gleichzeitig aktiv sein. Die gültigen Werte sind in der Tabelle FRDUTP hinterlegt und können über den List-Button angezeigt werden.
Der Benutzer-Typ wird für den Anwender, nicht für das oxaion-Profil festgelegt. Besitzt ein Anwender mehrere oxaion-Profile und wird der Benutzer-Typ für ein Profil geändert, so wird der neue Typ in alle Profile dieses Anwenders fortgeschrieben.
Einschränkungen bezüglich der aufrufbaren Programme gibt es für den Typ 1 und den Typ 2, entsprechend der Beschreibung in der Tabelle FRDUTP. Anwender vom Typ 1 (Info-User) haben nur Anzeigerechte bzw. dürfen bestimmte Programme überhaupt nicht aufrufen. Diese Einstellung wird z. B. für einen Prüfer der Finanzbehörden empfohlen.
Anwender des Typs 2 (BDE-Rückmelder) können nur die Programmbereiche PW22* und PW23* verwenden.
Benutzer-Typ 6
Der Benutzer-Typ 6 (oxaion-Mitarbeiter) darf nur für Benutzerprofile vergeben werden, die ausschließlich von Mitarbeitern der oxaion gmbh verwendet werden. Die Zuordnung dieses Benutzer-Typs an einen Mitarbeiter des eigenen Betriebs verstößt gegen den Lizenzvertrag mit der oxaion gmbh und kann rechtliche Konsequenzen zur Folge haben.
Datenberechtigung
Mit dem Programm Berechtigungen verwalten (MN10810) können einzelne Datensätze für eine allgemeine Benutzung gesperrt werden. Es wird definiert, wie die Datenberechtigungsprüfung für einen Anwender auszusehen hat. Hat ein Anwender nicht die entsprechende Berechtigung, so wird er mit einer entsprechenden Meldung zurückgewiesen. Der Anwender hat volle Zugriffsrechte. Es erfolgt für die entsprechende Gruppe keine Berechtigungsprüfung. Die Berechtigungen müssen über das Programm oxaion-Berechtigungen verwalten (MN10810) für das betreffende Berechtigungsobjekt definiert werden. Es gelten alle Berechtigungsobjekte (z. B. Tabellenberechtigungen, Berechtigungen für spezielle Länder) mit Ausnahme von FIRM und *PGM. Es gilt die Ausprägung (Master oder Selektiv) aus den Benutzeroptionen des Gruppenprofils. Über das Berechtigungsfeld des Programms Berechtigungen verwalten (MN10810) kann die Berechtigungsprüfung (Feld zur Prüfung bestimmen) der Klasse gesteuert werden. So kann man beim Aufruf eines Artikels darüber steuern, ob über die Ident-Nummer, die Satznummer oder zum Beispiel über die Artikelgruppe die Berechtigung geprüft werden soll. ''Feldinformationen anzeigen'' im sich öffnenden Fenster auswählen: Für einen Anwender oder eine Benutzerklasse sollte die gleichzeitige Verwendung der Berechtigungsrichtungen Einschließlich / Ausschließlich vermieden werden! Mit dem Berechtigungsobjekt APNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Arbeitsplätze definiert werden. Diese werden dann auch nur zum Verwalten aufgelistet. Voraussetzung: Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Arbeitsplätzen (Klasse APNR) muss als Berechtigungsfeld den Wert PZAPNR haben. Anforderung: Ein Anwender soll aus der Menge aller Arbeitsplätze nur solche angezeigt bekommen, die mit D* und mit F* beginnen. Weiter soll er die Arbeitsplätze die mit Drehen* beginnen, außer Anzeigen auch Ändern und Erfassen dürfen. Außerhalb dieses Bereiches soll der Anwender also keine Arbeitsplätze verwalten dürfen. Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt APNR für den Anwender die Berechtigungen nach der Vorgaben vergeben. Dabei werden die generischen Angaben Vorgaben als Berechtigung von / bis erfasst und dazu die erlaubten Aktionen ausgewählt. Ergebnis 1: Ruft der Anwender die Arbeitsplatz Verwaltung (PA12090) auf, bekommt er nur eine aus den obigen Regeln resultierende Auswahl angezeigt. Möchte er einen Arbeitsplatz beginnend mit F* ändern wird er mit einer Fehlermeldung abgewiesen. Ergebnis 2: Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen ein Arbeitsplatz ausgewählt werden kann. So werden beim Aufruf des Matchcode Arbeitsplätze (hier Kapazitätseinheit) nur die Arbeitsplätze angeboten, für die der Anwender auch anzeigeberechtigt ist Mit dem Berechtigungsobjekt IDNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Artikelnummer definiert werden. Diese werden dann auch nur zur Auswahl angeboten. Voraussetzung: Der Eintrag in der Tabelle FRDCLS zur Berechtigungsprüfung der hierzu, muss wie folgt aussehen: Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Artikelnummer (Klasse IDNR) muss als Berechtigungsfeld den Wert TLIDNR haben. Anforderung: Ein Anwender soll aus der Menge aller Artikel nur solche angezeigt bekommen, die mit EP* beginnen. Diese darf der Anwender auch ändern. Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR für den Anwender die Berechtigungen nach der Vorgaben vergeben. Dabei werden die generischen Angaben Vorgaben als Berechtigung von erfasst und dazu die erlaubten Aktion ausgewählt. Ergebnis: Der Anwender hat in Artikel verwalten (US17090) die vorgegebenen Rechte und Aktionen zur Verfügung und bspw. beim Versuch einen Artikel zu löschen mit einer Fehlermeldung abgewiesen. Liegen keine "sprechenden" Artikelnummern vor, so kann es sinnvoll sein jeden Datensatz mit einem Berechtigungsobjekt auf der Maske "Freigabe" zu versehen (Benutzerklasse Satz / TLBKSA). Dabei erhält natürlich nicht jeder Artikelstamm ein eigenes Berechtigungsobjekt. Es wird vielmehr eine Gruppenbildung geben, die dann für mehrere Artikelstämme gilt. Voraussetzung: Das Dateifeld enthält einen dreistelligen alphanumerischen Wert. Mit Hilfe von Berechtigungsobjekten können dann verschiedene Bearbeitungsarten zugelassen werden. Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR die Berechtigungen nach den Vorgaben vergeben als Berechtigung von / bis die vergebenen Werte aus der Berechtigungsgruppe verwendet. Voraussetzung: Anforderung: Ein Anwender soll aus der Menge aller Artikel nur solche angezeigt bekommen, die zur Artikelgruppe BB zählen. Diese darf der Anwender auch ändern. Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR die Berechtigungen zu den Artikelgruppen nach den Vorgaben als Berechtigung von / bis angelegt. Ergebnis: Es werden nun nur noch die Artikel der Artikelgruppe BB angezeigt. Wird nun eine nicht berechtigte Transaktion gewählt (z. B. Kopieren) wird dies mit einer Fehlermeldung abgewiesen. Mit dem Berechtigungsobjekt PKNR kann die Adressberechtigung gesteuert werden. Man definiert die erlaubten Transaktionen innerhalb eines definierten Bereichs. Außerhalb des Bereichs hat der Anwender oder die Benutzergruppe automatisch nur noch Anzeige-Berechtigung. Eine Berechtigungsregel für das Berechtigungsobjekt PKNR wird automatisch auf die Unterklassen KDNR (Kundennummer) und LINR (Lieferantennummer) übertragen. Bei einer Vergabe von Berechtigungen für das Objekt PKNR hat dies somit auch Auswirkungen auf andere Programme, die ebenfalls ''adressabhängig'' sind, das heißt, die definierten Regeln kommen auch dort zum Tragen. Wichtig! Die Prüfung erfolgt auf der im Adress-Verwaltungsprogramm einer Adresse zugewiesenen Berechtigungsgruppe und nicht auf der Adresse selbst. Eine wichtige Rolle spielen deshalb bei der Adressberechtigung auch die Einstellungen in VRLU03 (Vorlaufdaten für die Adressverwaltung). Hier kann ein Default angegeben werden, der bei der Neuanlage einer Adresse in die Adressberechtigungsklasse eingestellt wird. Wird hier auch der Sonderwert *ADRGRP angegeben, so wird die Adressberechtigungsklasse aus der Adressgruppe übernommen. Im Programm Adressgruppen verwalten (US14900) kann je Adressgruppe eine Berechtigungsgruppe hinterlegt werden. Die Berechtigungsgruppe kann auch direkt bei den Adressen auf der Lasche Matchcode, Postfach zugeordnet werden: Anforderung: Ein Anwender soll für die Adressen, die der Berechtigungsgruppe A1 zugewiesen wurden, in der Firma 190 nur Anzeige Berechtigung haben. Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt PKNR die Berechtigungen zur Berechtigungsgruppe nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt Ergebnis: Ruft der Anwender eine Adresse außerhalb seiner Berechtigung auf, wird diese Aktion mit einer Fehlermeldung abgewiesen. Anforderung: Für einen Anwender wird eine Regel angelegt, die ihm nur die Verwaltung von Adressen mit Berechtigungsgruppe ungleich A1 (Richtung A). Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt PKNR die Berechtigungen zur Berechtigungsgruppe nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt. Ergebnis: Nachfolgend ruft dieser Anwender das Programm Einkaufsbelege verwalten auf und möchte die Belege eines Lieferanten sehen der der Berechtigungsgruppe A1 zugeordnet ist. Die Aktion wird mit einer Fehlermeldung abgewiesen. Das geschieht auch beim entsprechenden Aufruf des Kundenstamms oder des Geschäftspartnerexplorers. Mit dem Berechtigungsobjekt LAGO können für einen Anwender oder einer Gruppe die jeweils verwendbaren Lagerorte definiert werden. Es wird definiert, welche verwendet oder welche nicht verwendet werden können. Diese werden dann auch nur zur Auswahl angeboten. Diese Berechtigungsvergabe wirkt sich in den Programmen aus, in denen ein Lagerort verwendet wird (z. B. Artikelstammverwaltung oder Auftragsverwaltung im VKS) und im Verwaltungsprogramm für die Lagerorte selbst. Anforderung: Für einen Anwender sollen folgende die Berechtigungen gelten (die Lagerorte sind dabei die Schlüsselwert der Lagerorte): Lösung: Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt LAGO die Berechtigungen nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt.
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Datenebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm Benutzeroptionen verwalten (MN10640) auf der Lasche Berechtigungen I.Masterberechtigung: 
Selektive Berechtigung: Gruppenprofil:
Diese Möglichkeit ist bei einer ausgewählten Anzahl von Stammdateien wie z. B. Artikelstamm, Adressen, Lagerort, Personenkontenart und Steuerschlüssel realisiert. Die Prüfung erfolgt über Klassen aus FRDCLS (Klassen).
Zum Ermitteln des Feldnamens ist wie folgt zu verfahren:Schritt Beschreibung Detail Feldinformationen aufrufen Auf dem in Frage kommenden Feld (hier Artikelgruppe) mittels ALT+rechte Maustaste klicken. 
Klasse ermitteln Die Klasse zum gewählten Feld kann abgelesen werden. 
Beispiele zur Vergabe von Datenberechtigungen
Arbeitsplatz APNR
Beispiel 
Artikelnummer IDNR
Berechtigung über "sprechende" Artikelnummern
Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen eine Artikelnummer verwendet wird (z. B. Artikelverwaltung oder Auftragsverwaltung im Verkauf).Beispiel "sprechende" Artikelnummern 
Berechtigung über nicht "sprechende" Artikelnummern
Beispiel nicht "sprechende" Artikelnummern 
Berechtigungen über Artikelgruppe
Beispiel Artikelgruppe 
Adressen PKNR
Beispiel 1 
Beispiel 2 
Lagerorte LAGO
Beispiel 
Firmenberechtigung
Die Berechtigungen zum Umgang mit Firmen verteilen sich auf mehrere Programme: Definieren der Art und Weise wie die Prüfung der Firmenberechtigung für einen Anwender erfolgen soll. Bestimmte Werte aus den Allgemeinen Benutzeroptionen können hier firmenspezifisch überschrieben werden Berechtigungen zum Anmelden in einer Firma definieren Durch das Erstellen eines Firmenberechtigungsobjektes kann für einen Anwender oder eine Benutzergruppe eine Firmenberechtigung definiert werden. Voraussetzung dafür, dass für einen Anwender überhaupt eine Firmen-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Firmenberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640). Bei der Definition des Berechtigungsobjekts ist die Berechtigungsrichtung zu berücksichtigen: Im obigen Beispiel ist der Anwender in der Fa. 190 nicht zum Löschen und Ändern berechtigt. Bei der Firma handelt es sich immer um die Anmeldefirma, nicht um die Firma des aktuellen Datensatzes! 
Selektive Berechtigung: Die Berechtigungen müssen über das Programm "Berechtigungen verwalten" (MN10810) für das Berechtigungsobjekt FIRM definiert werden.E Berechtigung zulassen (E=eingeschlossen) A Berechtigung verweigern (A=ausgeschlossen)
Ein Eintrag in diesem Programm kommt erst dann zum Tragen, wenn für einen Anwender im Programm "Benutzeroptionen verwalten" (MN10640) das Feld Firmenberechtigung auf Selektiv steht.
Programmberechtigung
Durch das Erstellen eines Programmberechtigungsobjektes können für einen Anwender oder eine Benutzergruppe Berechtigungen an Programmen definiert werden. Voraussetzung dass für einen Anwender überhaupt eine Programm-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Programmberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640). Selektive Berechtigung: Die Berechtigungen müssen über das Programm "oxaion-Berechtigungen verwalten" (MN10810R) für das Berechtigungsobjekt FIRM definiert werden. Im Beispiel soll ein Programmberechtigungsobjekt für den Anwender mit der Ident-Nummer 79 so vergeben werden, dass der Anwender in der Firma 969 die Programme US11* bis US117* aufrufen darf. Er darf aber innerhalb dieser Grenzen keine Datensätze löschen. Bei den Berechtigungen Zulassen und Verweigern handelt es sich um eine Definitionshilfe für den betrachteten Programmbereich. Im obigen Beispiel wird also folgendes definiert: Für die Programm US11* bis US117999 dürfen in der Firma 969 alle Transaktionen ausgeführt werden, außer dem Löschen. Alle anderen Programme z. B. AR*, VK* dürfen nicht genutzt werden. Aufruf des Programmes US11648 ist nicht möglich:
Zulassen Verweigern Zulassen AR* US11-US117999* VK*
Wird die obige Regel dahingehend abgeändert, dass die Berechtigung Verweigern ausgewählt wird, hat das zur Folge, dass ein Anwender für alle Programme zugelassen, die sich außerhalb der durch die Ober- und Untergrenzen festgelegten Bereiche befinden. Innerhalb nicht.
Tabellenberechtigung
Die Berechtigungen zum Umgang mit Tabellen verteilen sich auf mehrere Programme: Es gibt zwei Stufen, um die Verwaltungsberechtigung von Tabellen zu steuern. Nachfolgende Ebenen der Berechtigungsprüfung sind auf Ebene der Berechtigungsobjekte möglich. Über das Berechtigungsobjekt TBL kann über *alle Tabelleneinträge einer oder mehrerer Tabellen die Verwaltungsrechte vergeben werden. Beispiel: Für die Tabelle FRD118 werden für alle Tabelleneinträge in der Firma 100 eine Berechtigungsklasse QSAUS nur die Transaktion Erfassen, Ändern und Anzeigen erlaubt.: Für den Anwender hat diese Regel beim Verarbeiten anderer Tabellen keine Auswirkungen. Mit dem Programm "Berechtigungen verwalten" (MN10810) können einzelne Tabelleneinträge für die allgemeine Benutzung gesperrt werden. Es ist möglich, Sachbearbeiter aufgrund ihrer Berechtigungsklasse oder ihrer Kennwort-ID gezielt für die Bearbeitung von einzelnen Tabelleneinträgen zuzulassen oder zu sperren. Die Berechtigungsklasse wird dem Sachbearbeiter über die Benutzeroptionen zugeordnet. Beim Aufruf der Tabellenverwaltung erhält er nun folgendes Bild: Ruft dieser Anwender ein Programm auf, in dem er eine Mengeneinheit eingeben kann, bekommt er die eingeschränkte Auswahl angezeigt: Hier wird angegeben, welche Tabellen ein Anwender verwalten darf. In der Satzartentabelle ist jeder Tabelle eine Bewertungskennziffer zugeordnet, die zwischen 1 und 9 liegen kann. Ein Anwender darf nur dann eine Tabelle verändern, wenn seine ihm hier zugeordnete Berechtigungsstufe größer oder gleich der Kennziffer dieser Tabelle ist. Wird hier die Berechtigungsstufe 0 vergeben, so darf der Anwender keine Tabelle verwalten. Zum Verwalten der Satzartentabelle ist die Berechtigungsstufe 9 erforderlich.Derzeit existieren folgende Ausprägungen: 1 Reine Plausibilität, keine Steuerung, keine Veränderung von Datenbeständen. 2 Steuerungsfunktion ohne Datenveränderung. 3 Steuerungsfunktion mit Datenveränderung. 4 Steuerungsfunktion mit abhängigen Tabellen. 5 Komplexe Steuerungen. Die Änderung von Tabellen, welche mit 5 klassifiziert sind, setzt genauere Systemkenntnisse voraus. Neben den Angaben bei den Benutzerberechtigungen werden die Berechtigungsprüfungen für Tabellen auch in den "Tabellenarten" (TB12200) gesteuert. Der Inhalt dieses Feldes steuert, ob ein Anwender das Programm TB12200, mit dem die Datei TTYPEP (Tabellenarten) verwaltet wird, im Änderungsmodus aufrufen darf. In dieser Datei sind die Zugriffsmechanismen und Steuerungsfunktionen für alle vorhandenen Tabellen hinterlegt. Da die Verwaltung dieser Datei tiefgreifende Systemkenntnisse voraussetzt, sollten nur ausgewählte Personen Verwaltungsrechte haben. Der Zugriff über ein besonderes Berechtigungskennzeichen geregelt. Mit diesem Programm wird die Tabellenartendatei TTYPEP verwaltet. Jeder Tabellenart wird hier eine Berechtigungsstufe zugewiesen, diese kann kundenindividuell angepasst werden. Mit dem Setzen des entsprechenden Parameters Änderungsberechtigung Tab.arten kann über die Benutzeroptionen verwalten ein Bearbeiten der Tabellenarten unterbunden werden. Bei der Tabellenart werden folgende Definitionen vorgenommen, die für die Berechtigungsprüfung von Bedeutung sind:: Tabellenberechtigungsprüfungen in Batch-Programmen In Batch-Jobs in der Regel keine Berechtigungsprüfung mehr für Tabelleneinträge statt, da dies zu ungewollten Effekten oder im schlimmsten Fall zu falschen Ergebnissen führen konnte."Allgemeine Benutzeroptionen verwalten" (MN10640) Berechtigungsstufe zum Verwalten von Tabellen und Berechtigung zum Verwalten der Tabellenarten einem Anwender zuweisen. "Tabellenarten verwalten" (TB12200) Zugriffsmechanismen und Steuerungsfunktionen definieren und Berechtigungsstufe der einzelnen Tabellen definieren. "Berechtigungen verwalten" (MN10810) Berechtigungen auf Tabellensatzebene definieren.
Reihenfolge der Berechtigungsprüfungen:
Zunächst wird geprüft, ob die Tabellenberechtigungsstufe des Anwenders die Bewertungsstufe der Tabelle erreicht. Erst danach erfolgt die tabellen- und transaktionsbezogene Berechtigungsprüfung über die Berechtigungsobjekte.Berechtigungsobjekt *TBL
Berechtigungsobjekt *TBL<Tabellenname>
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Tabellensatzebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm "Benutzeroptionen verwalten" (MN10640).
Beispiel:
Ein Anwender darf sich aus der Tabelle FRD110 die Sätze AA bis B49 nur in der Firma 190 Anzeigen lassen. Andere Sätze dieser Tabelle kann er sich nicht anzeigen lassen. Andere Tabellen sind hiervon nicht betroffen. Folgender Datensatz muss hierfür angelegt werden:
Berechtigungsstufe Tabellen (MN10640)
Änderungsberechtigung Tabellenarten
Tabellenarten (TB12200)
Berechtigungsprüfung: Dieses Kennzeichen gibt an, ob für die Tabelle die Berechtigungsprüfung auf Satzebene (MN10810) durchgeführt werden soll. Dieses Kennzeichen hat keinen Einfluss auf andere Berechtigungsprüfungen für Tabellen. Berechtigungsstufe: Jeder Anwender darf nur Tabellen ändern, deren Berechtigungsstufe (MN10640) nicht höher als die in den Benutzeroptionen hinterlegte Berechtigungsstufe für Tabellen ist.
Änderungsberechtigung Bedienerhilfe
Hier wird angegeben, ob ein Anwender die Berechtigung erhalten soll, die Bedienerhilfe zu ändern.
Änderungsberechtigung Firmenstamm
Hier wird angegeben, ob ein Anwender die Berechtigung erhalten soll, den Firmenstamm zu verwalten. Die Anzeigeberechtigung wird dadurch nicht ausgeschlossen.
Workflow-Berechtigung
Steuert, welche Aufgaben ein Anwender verwalten kann.
0 | nur die eigenen Aufgaben (Anwender) |
1 | alle Aufgaben |
2 | eigene Aufgaben und Aufgaben der eigenen Abteilung |
3 | Gruppenprofil: Es gilt die Ausprägung aus den Benutzeroptionen des Gruppenprofils |
Initialisieren von Datenbeständen erlaubt
Angabe, ob ein Anwender die Berechtigung besitzt, Datenbestände zu löschen.
Abteilungsberechtigung
Jeder Anwender ist einer Abteilung zugeordnet. Fehlernachrichten aus Stapelprogrammen werden in der Regel in die Mailbox-Datei gestellt und an eine Abteilung adressiert.
Dieses Berechtigungskennzeichen steuert nun, ob ein Anwender nur die Fehlernachrichten bearbeiten darf, die an seine Abteilung adressiert wurden, oder ob er auch Fehlernachrichten für andere Abteilungen bearbeiten darf.
Berechtigungsstufe Mailbox
Hier wird angegeben, welche Mailboxeinträge ein Anwender bearbeiten oder verwalten darf. Ein Anwender darf nur die Mailboxeinträge bearbeiten, deren Berechtigungsstufe kleiner oder gleich der im Kennwort hinterlegten Berechtigungsstufe ist.
Zulässig sind die Werte 0 bis 9.
Übergreifende Artikelstammberechtigung
Mit diesem Feld wird gesteuert, ob ein Anwender zur Pflege von firmenübergreifenden Artikelstammdaten berechtigt ist. Das sind fast alle Felder der Lasche "Übergreifende Daten" der Artikelstammverwaltung sowie die externen und fremdsprachigen Bezeichnungen und die Sachmerkmalsleiste.
Wenn ein Anwender die Berechtigung nicht hat, darf er auch keine Artikelstammsätze (abgesehen von Einmalartikeln) anlegen, bei denen Artikelstammfirma und aktuelle Firma übereinstimmen.
Kennzeichen "Pseudo-User"
Kennzeichen, ob es sich um einen echten oxaion-Anwender oder nur um einen Pseudo-Anwender handelt.
Pseudo-Anwender können zwar das oxaion-Menü-System verwenden, es ist aber kein Aufruf eines weiteren oxaion-Programms erlaubt.
Dokumentenberechtigung
Das in oxaion integrierte Dokumentenmanagementsystem erfordert eine dedizierte Berechtigungsvergabe: Für jedes Dokument oder für jeden Ordner müssen für den einzelnen Anwender oder für eine Benutzergruppe Berechtigungen vergeben werden können
Jedes Dokument besitzt einen Eigner. Dieser Eigner kann über die Eigenschaften im Kontextmenü eingesehen und mit Masterberechtigung geändert werden.
Grundsätzlich wird der Eigner mit dem Anwender vorbelegt, welcher das Dokument oder den Ordner im Dokumente-Knoten anlegt. Wird ein Eigner in einem Ordner hinterlegt oder ist bereits hinterlegt und es wird ein neues Dokument dem Ordner hinzugefügt, vererbt sich der Eigner nicht, sondern der Sachbearbeiter, welcher das Dokument in den Dokumente ablegt wird als Eigner eingestellt.
Ein Eigner hat das Recht ein Berechtigungsobjekt zu hinterlegen, zu ändern oder zu löschen. Über dieses Berechtigungsobjekt kann der Eigner zum Teil selbst die Berechtigungen für die einzelnen Personen steuern.
Neben dem Eigner gibt es noch Anwender, welche grundsätzlich berechtigt werden können, alle Dokumente zu verwalten. Um einem Anwender solche Berechtigungen zuzuweisen muss in den Benutzeroptionen die Berechtigung für Dokumente aktiviert werden.
Wird diese Berechtigung in den Benutzeroptionen vergeben, wirkt sich diese wie eine Masterberechtigung auf alle hinterlegten Dokumente aus!
Neben dem Eigner ist es außerdem möglich, auch ein Berechtigungsobjekt zu vergeben. Über dieses Berechtigungsobjekt lassen sich dedizierte Berechtigungen für die Neuanlage, das Ändern, das Kopieren und das Löschen von Dokumenten vergeben. Es ist ebenfalls steuerbar, ob ein Anwender ein Dokument versionieren oder archivieren darf. Die Berechtigungen werden im Programm "Berechtigungen verwalten" (MN10810) mit dem Berechtigungsobjekt *DMS hinterlegt.
Beispiel: Ein Anwender soll für die Dokumente innerhalb einer definierten Grenze nicht löschen dürfen:
Beispiel: Ein Anwender soll Ordner innerhalb einer definierten Grenze nur erfassen:
Änderungsberechtigung für die Jobwarteschlange
Wenn ein Anwender Stapelprogramme ausführen möchte, muss er dafür eine Jobwarteschlange auswählen. Als Default erhält er dabei die bei seinem Kennwort hinterlegte Jobwarteschlange angezeigt. Der Wert in diesem Feld steuert, ob der Anwender diesen Default überschreiben darf.
Gültige Werte:
J | Der Anwender hat die Berechtigung, den vorgegebenen Drucker zu überschreiben. |
N | Der Anwender hat ausschließlich die Berechtigung für den in seinem Kennwort hinterlegte Drucker |
G | Gruppenprofil: Es gilt die Ausprägung aus den Benutzeroptionen des Gruppenprofils. |
Änderungsberechtigung für den Drucker
Für jeden Anwender ist als Default ein Drucker hinterlegt, in den die Druckausgaben des Anwenders eingestellt werden. Mit diesem Feld wird gesteuert, ob der Anwender diesen Default überschreiben darf.
Steuerung weiterer Berechtigungen des JET-Client
Folgende Benutzeroptionen auf der Lasche JET-Client beeinflussen das Verhalten des oxaion JET-Client:
Anzahl Tasks (JET) | Definiert die maximale Anzahl von gleichzeitig geöffneten Programmmasken pro Sitzung (Modus). Bei "0" oder Blank besteht keine Maskenbeschränkung. |
Anzahl Modi (JET) | Definiert die maximale Anzahl an gleichzeitig geöffneten JET Sitzungen (Modus). Bei "0" oder Blank besteht keine Sitzungsbeschränkung. |
JET-Gruppe | Definiert die Gruppenzugehörigkeit eines Anwenders. Bei Blank gilt die Gruppenzuordnung aus der JET Gruppenverwaltung (siehe JET-Admin-Handbuch). |
Design Modus erlaubt | Steht der Radiobutton auf JA, so kann man den Design Modus aktivieren. |
Änderungsb. Favoriten | Steht der Radiobutton auf JA, so kann man den Favoriten Explorer verwalten. |
Änderungsb. DND | Steht der Radiobutton auf JA, so kann man den DND Explorer und die Hotspots verwalten. |
Direkte Änder. Sichte zul. | Steht der Radiobutton auf JA, so kann man in jedem Listprogramm im Menü des blauen Punktes die Sichten verwalten. |
Nur Excel/Druck änderbar | Steht der Radiobutton auf JA, so kann man die Sichten für Excel/Druck nicht im US63100R ändern. |
Alles Laden erlaubt | Steht der Radiobutton auf JA, so kann man in jedem Listprogramm im Menü des blauen Punktes "Alles Laden" verwenden. |
JET-Gruppe und Design-Modus
Sollen über den Design-Modus vorgenommene Änderungen einer Maske für eine Gruppe von Anwendern (JET-Gruppe) gelten, ist wie folgt vorzugehen:
Man erstellt eine neue Maske für einen Anwender und kopiert anschließend die betreffende Datei "programmname.xml" in den entsprechenden Gruppenordner z. B.: \…\oxaionServer\conf\MAWI{}sas\frames{}sa20710.xml
Die "Gruppe" muss in den "Allgemeinen Benutzeroptionen" (MN10640), der jeweiligen Anwender im Feld JET-Gruppe hinterlegt werden:
Firmenspezifische Benutzeroptionen MN10710
Mittels Programm MN10710 Hier können die Werte der "Allgemeinen Benutzeroptionen" (MN10640) firmenspezifisch überschrieben werden. Damit ist es möglich, Programmberechtigungen oder Maskenfolgen aber auch Gruppenprofile firmenspezifisch zu vergeben.
Benutzergruppen mittels Klassen verwalten
Um nicht für jeden einzelnen Anwender bestimmte Berechtigungen über die jeweiligen Verwaltungsprogramme definieren zu müssen, ist es möglich, mehrere Anwender in Klassen zusammenzufassen. Da die Zusammensetzung je nach betrachtetem Berechtigungsobjekt verschieden sein kann, muss es auch verschiedene Berechtigungsklassen geben (z. B. für Programme und Sichten). Eine Berechtigungsklasse umfasst mehrere Berechtigungsobjekte, die Berechtigungen auf Datensatzebene definieren. Mit der Zuordnung einer Berechtigungsklasse zu einem Anwender werden für diesen Anwender Zugriffsberechtigungen für alle Berechtigungsobjekte festgelegt, die in dieser Berechtigungsklasse enthalten sind. In der Berechtigungsklasse Firmen werden Anwender zusammengefasst, für die eine gemeinsame Firmenberechtigung definiert werden soll. Dadurch müssen die Firmenberechtigungen nicht für jeden Anwender einzeln definiert werden. Die Berechtigungsklassen sind in der Tabelle FRDBKL hinterlegt. Über den List-Button kann eine Auflistung der gültigen Berechtigungsklassen angefordert werden. Vorgehen: Programm "Berechtigungen Verwalten" (MN10810): Mehrere Anwender können zu einer Benutzerklasse für Programme oder Tabellen zusammengefasst werden. Die gültigen Benutzerklassen sind in der Tabelle FRDBKP hinterlegt. Programmberechtigungen können also gruppenweise vergeben werden. Über die Variablen Sichten wird gesteuert, welche Informationen in Auskunfts- und Matchcode-Programmen angezeigt werden. Diese Darstellung kann auch individuell oder für Benutzerklassen definiert werden. Eine Benutzerklasse ist eine Zusammenfassung von Anwendern, die gleichartige Tätigkeiten im System durchführen. Mit der Definition einer Benutzerklasse entfällt die Notwendigkeit, die Sichten für jeden Anwender einzeln definieren zu müssen. Dieses Feld ermöglicht es, für bestimmte Anwender abweichende Maskenfolgen für bestimmte Programme zu hinterlegen. Alle Anwender, für die in diesem Feld derselbe Inhalt hinterlegt ist, sind derselben Benutzerklasse zugeordnet. Bei der Prüfung der Reihenfolge der Masken wird zuerst mit diesem Feldinhalt auf die Folgemaskendatei zugegriffen. Die gültigen Benutzerklassen sind in der Tabelle FRDBKF hinterlegt und können über den List-Button angezeigt werden. In dieser Benutzerklasse werden die Anwender zu einer Gruppe zusammengefasst, für die bezüglich der nicht anzeigbaren Bildschirmfelder die gleichen Bedingungen gelten. Für bestimmte, vordefinierte Programme besteht die Möglichkeit, Felder von der Bildschirmanzeige auszuschließen. Dieser Ausschluss von Feldern wird pro Benutzerklasse definiert. Die Benutzerklasse für nicht anzeigbare Bildschirmfelder wird gegen die Tabelle FRDBKV geprüft. Über den List-Button werden die gültigen Werte angezeigt. Dieses Feld ermöglicht es, mehrere Anwender zu einer Gruppe zusammen zu fassen, um für diese Gruppe Registrierungseinträge zu hinterlegen. Damit müssen die Registrierungseinträge nicht für jeden einzelnen Anwender erfasst werden. Die gültigen Benutzerklassen sind in der Tabelle FRDBKG hinterlegt und können über den List-Button angezeigt werden. Hier ein Beispiel für die Zuordnung des Pfads für die Elster-Dateien zu der Benutzergruppe FOX. Ein Belegberechtigungsobjekt steuert die Zugriffsberechtigung für Belege. Es kann einem Anwender zugeordnet sein, sodass jeder von diesem Anwender erzeugte Beleg automatisch dieses Berechtigungsobjekt erhält, oder es kann bei der Erfassung eines Beleges explizit angegeben werden. Alle Zugriffe auf einen solchen Beleg unterliegen einer Berechtigungsprüfung. Hier wird angegeben, ob die Angabe eines Belegberechtigungsobjekts für diesen Anwender bei der Erfassung eines Belegs zwingend ist, falls in dem Nummernkreiskennzeichen der jeweiligen Anwendung eine benutzerspezifische Pflichtsteuerung vorgegeben wurde. "0" generell keine Pflichteingabe "1" Pflichteingabe, wenn beim Anwender hinterlegt "2" generelle Pflichteingabe Neben dem übergreifenden Belegberechtigungsobjekt steht optional das Belegberechtigungsobjekt für die jeweilige Anwendung z.B. "Disposition" zur Verfügung. Wird hier ein Wert angegeben, so wird dieser ausschließlich in den Programmen dieser Anwendung verwendet; ansonsten wird das übergreifende Belegberechtigungsobjekt benutzt. In diesem Programm werden zu einer Benutzerklasse alle Anwender angezeigt, die dieser Benutzerklasse zugeordnet sind Die Zuordnung erfolgt entweder über die oxaion-Benutzeroptionen oder über die firmenspezifischen Benutzeroptionen. Auch die Zuordnungen über Gruppenprofile werden dabei berücksichtigt.
Verwaltungsprogramm für z. B. "Sichten" (US63190) oder "Attribute verwalten" (US65370):
Benutzerklasse Programme
Benutzerklasse Sichten/Filter
Benutzerklasse Maskenfolgen
Benutzerklasse nicht anzeigbare Bildschirmfelder
Benutzerklasse für Registrierungseinträge
Belegberechtigungsobjekt
Die Belegberechtigungsobjekte sind in der Tabelle FRDBBO hinterlegt. Über den List-Button kann eine Auflistung der gültigen Belegberechtigungsobjekte angefordert werden.Steuerung der Belegberechtigung
Ob ein Belegberechtigungsobjekt zwingend anzugeben ist, wird primär über die Nummernkreis-Kennzeichen gesteuert.
Beispiele:
Dort gibt es die drei möglichen Ausprägungen
Der hier anzugebende Steuerparameter wirkt sich für den jeweiligen Nummernkreis nur bei der Ausprägung "1" aus. Wird das Feld markiert, so muss dieser Anwender bei der Erfassung eines beliebigen Belegs ein Belegberechtigungsobjekt angeben. In diesem Fall sollte dem Anwender ein Default für ein Belegberechtigungsobjekt zugeordnet werden, damit das Belegberechtigungsobjekt nicht explizit eingegeben werden muss. Wird das Feld nicht markiert, so ist die Angabe eines Belegberechtigungsobjektes für diesen Anwender optional möglich.
Hinweis: Für einen FiBu-Anwender ist folgende Situation möglich, dass er BIA-Aufträge zwar nicht ansehen darf, aber unter Umständen durchaus bebuchen können muss.
Deshalb ist gegebenenfalls für FiBu Anwender eine Belegberechtigung einzurichten, die das Buchen aller (BIA-) Aufträge erlaubt.Belegberechtigungsobjekt für einzelne Anwendungsgebiete
Die Belegberechtigungsobjekte sind in der Tabelle FRDBBO hinterlegt. Über den List-Button kann eine Auflistung der gültigen Berechtigungsobjekte angefordert werden.Ermitteln Anwender einer Benutzerklasse
