Zugriffsrechte Berechtigungen

Zuletzt aktualisiert Vor etwa 2 Monaten

Allgemein

Um die Zugriffsrechte einer Rolle einzusehen, kann in der Übersicht der Zugriffsrechte, nach Auswahl einer Rolle, über Vorbereiten, Zugriffsrechte die Übersicht der Berechtigungen für die Rolle aufgerufen werden. Durch die Kombination von Objekttyp und Objekt ID wird festgelegt, für welches Objekt Rechte vergeben werden. Die Eingabe von 0 als Objekt ID bedeutet, dass alle Objekte zur Objektart angesprochen werden. Die Zugriffsrechte werden nachfolgend in Abhängigkeit des Objekttyps erläutert. 

Aufruf: IT-Management, Benutzerverwaltung, Zugriffsrechte

Objekttyp Tabelle, Page, Bericht, Schnittstelle und Modul 

ZugriffsrechtBedeutung
Lesen

Es kann auf das Objekt selbst (mit dem Designer oder bei Export des Objektes) lesend zugegriffen werden. Für die Objektart Tabelle heißt es, dass zwar die Tabellendefinition, nicht aber die gespeicherten Tabellendaten gelesen werden können. 

BearbeitenDas (vorhandene) Objekt darf (z.B. mit dem Designer) geändert werden.
EinfügenErlaubt das Erstellen eines neuen Applikationsobjektes von dem bezeichneten Typ (z.B. mit dem Designer). Achtung! Objekte mit Nummern 1 bis 49.999 können grundsätzlich nicht eingefügt werden, weil dieser Bereich für die Standardapplikation reserviert ist. 
LöschenDas Objekt kann gelöscht werden.
AusführenDas Objekt kann vom Benutzer ausgeführt werden. Bei der Objektart Tabelle bedeutet das: Die im Objekt definierten Codestücke (sog. „Trigger“) können ausgeführt werden, was in der Regel zum Einfügen, Ändern und Löschen von Datensätzen erforderlich ist. Ohne zusätzliches Recht auf die Tabellendaten kann der Benutzer mit diesem Ausführungsrecht wenig anfangen. 

Die Zugriffsrechte auf Applikationsobjekte sind mit Ausnahme des Ausführungsrechtes nur für den Entwickler oder Systemverwalter interessant. Dem normalen Anwender wird man nur ein Recht auf Ausführen zubilligen. 

Objekttyp System 

Mit der Objektart „System“ werden die Funktionen der Menü- und Symbolleiste freigeschaltet, das sind die Funktionen, die zur Basis gehören, wie z.B. der Objekt-Designer. 

ZugriffsrechtBedeutung
Lesenohne Bedeutung
Bearbeitenohne Bedeutung
Einfügenohne Bedeutung
Löschenohne Bedeutung
AusführenDas Objekt darf ausgeführt werden. 

Objekttyp Tabellendaten 

Erst durch Zugriffsrechte auf die Tabellendaten wird es praktisch möglich, mit der Applikation zu arbeiten. 

ZugriffsrechtBedeutung
Lesen

Datensätze können gelesen werden, z.B. zur Darstellung in einem Fenster. Für die Berechnung von FlowFeldern ist jedoch kein Leserecht für die Tabelle erforderlich, über die summiert wird. Beispiel: Um den Kontenplan mit den Salden anzuzeigen, genügt ein Leserecht auf Tabelle „Sachkonto“, obwohl die Salden durch Summierung der Tabelle „Sachposten“ ermittelt werden. 

BearbeitenErmöglicht, einen vorhandenen Datensatz zu ändern.
EinfügenEs können in die Tabelle neue Datensätze angefügt werden. 
LöschenErmöglicht das Löschen von Datensätzen in der Tabelle. Weil dabei aber meistens auch alle referenzierenden Datensätze aus anderen Tabellen gelöscht werden müssen, sind ggf. auch noch die entsprechenden Rechte auf diese anderen Tabellen erforderlich. 
Ausführenohne Bedeutung 

Direkte und indirekte Berechtigungen

Bei den Zugriffsrechten auf Tabellendaten wird zwischen direkten und indirekten Berechtigungen unterschieden. 

Mit einer direkten Berechtigung ist der Zugriff auf die Tabellendaten durch ein beliebiges Applikationsobjekt möglich, auf das ebenfalls eine Berechtigung besteht. Genaugenommen ist der Zugriff auf die Tabellendaten sogar ohne Zugriffsberechtigung auf ein Applikationsobjekt möglich, da im Objekt Designer zu der Tabelle ein Run ausgeführt werden kann, wodurch temporär ein Page zu der Tabelle erstellt wird. 

Bei einer indirekten Berechtigung ist der Zugriff auf die Tabellendaten nur durch solche Applikationsobjekte möglich, bei denen in den Objekteigenschaften sogenannte Permissions auf die Tabellendaten vergeben wurden. 

Beispiel zur indirekten Berechtigung 

Zur Unterscheidung zwischen direkter und indirekter Berechtigung betrachten wir folgendes Beispiel aus der Standardapplikation: Durch Aktivierung des Zeitprotokolls werden die Loginzeiten der einzelnen Benutzer pro Mandant und Tag in der Tabelle 51 (Zeitprotokoll) aufgezeichnet. Die Aufzeichnung der Loginzeit wird von der Codeunit 1 (Anwendungsverwaltung) beim Schließen des Mandanten vorgenommen. Dieses Applikationsobjekt muss also unter allen Benutzern in den Tabellendaten der Tabelle 51 lesen, bearbeiten und erstellen können. 

Die Aufzeichnungen können mit der Page 71 (Zeitprotokolle) eingesehen und sogar geändert werden. Diese Möglichkeit sollte natürlich nicht für jeden Benutzer bestehen. Grundsätzlich hat ein Benutzer, der der Gruppe 00_ALLE zugeordnet wird, auf alle Applikationsobjekte Zugriff, also sowohl auf die Codeunit 1 als auch auf die Page 71. Außerdem werden indirekte Zugriffsrechte auf die Tabelle 51 zugebilligt. 

Beide Applikationsobjekte greifen auf die Tabelle 51 zu. Der Unterschied besteht darin, dass für die Codeunit 1 Permissions auf die Tabelle 51 hinterlegt sind, bei der Page 71 jedoch keine Permissions hinterlegt sind. 

Die Anwendungsverwaltung benötigt dank der Permissions für den Zugriff auf die Daten der Tabelle 51 nur noch ein indirektes Zugriffsrecht und dies wird ja bereits in der Gruppe 00_ALLE zugebilligt. Die Page 71 (Zeitprotokolle) hingegen benötigt mangels Permission direkte Zugriffsrechte. Diese werden aber in der Gruppe 00_ALLE nicht vergeben. Mit nur indirekten Zugriffsrechten auf die Tabellendaten 51 kann also das Zeitprotokoll des Benutzers geführt werden, ohne dass er gleich die Protokollzeit von sich und seinen Kollegen einsehen und manipulieren kann. Erst Benutzer mit direkten Berechtigungen auf Tabellendaten 51 können auch über die Page 71 auf die Daten zugreifen. 

Die Wahl des direkten oder indirekten Zugriffsrechtes bestimmt also nicht nur, ob, sondern vor allem auf welche Weise auf die Tabellendaten zugegriffen werden kann. 

Organisatorische Anpassung von Rollen

Die Rollen beinhalten jeweils die vollen Rechte für ein Programm-Modul. Wenn innerhalb einer Gruppe unterschiedliche Abstufungen benötigt werden, sind folgende Schritte notwendig: 

  1. Anlegen von Untergruppen (Rollen) zu der bestehenden Gruppe für ein Modul z.B. Kunde_FIBU1 und Kunde_FIBU2. 
  2. Rechte kopieren aus der Rollen ID 10_FIBU in die neu angelegten Untergruppen. 
  3. Für Kunde_FIBU1 und Kunde_FIBU2 werden die Tabellenobjekte, auf die ein Benutzer nicht zugreifen darf, aus der Berechtigungsgruppe gelöscht werden, bzw. es werden die Rechte auf ein Objekt eingeschränkt, auf z.B. nur Lesen Zugriff.
  4. Die zu bearbeitende Gruppe wird ausgewählt. Über die Aktion Zugriffsrechte können die Zugriffsrechte für Tabellendaten, Tabellen, Page, Reports, Codeunits und das System bearbeitet werden. 

Auf diese Weise können auch Rollen um Zugriffsrechte auf weitere Tabellendaten erweitert werden. Auch hier würde eine Kopie erstellt werden, die dann über Neu weitere Zugriffsrechte erhalten kann. Hierzu werden Objekttyp, in der Regel die vorgeschlagenen Tabellendaten, und die Objekt-ID ausgewählt und die Berechtigung vergeben.