Hallo Delphianer,
ich bin gerade dabei, eine bestehende, von mir programmierte, Dokumentenverwaltung umzuprogrammieren. Und zwar geht es mir um den Aspekt der Sicherheit aller abgelegten Dokumente.
Um es kurz vorweg zu nehmen: Ich habe bereits Google und die Forensuche bemüht, jedoch nicht wirklich etwas zu dem Thema gefunden.
Alle gefundenen Themen bezogen sich direkt auf Windows oder Active Directory bzw. Domainumgebungen.
Aktuell wird es so gehandhabt, dass jedem Dokument die Benutzer mit bestimmten Berechtigungen zugeordnet werden. Dies ist allerdings sehr mühsam und zeitaufwendig. Je mehr Benutzer das DMS benutzen, desto schwieriger wird es, die Benutzer den Dokumenten zuzuordnen.
Im Zuge von anderen Umstellungen schwebte mir vor, ein komplett neues Berechtigungssystem zu erstellen.
Hier mal das Grundkonzept wie es später in etwa aussehen soll:
- Die Dokumente sollen in Zukunft in einer Ordnerstruktur abgelegt werden
- Jedem Ordner sollen Berechtigungen zugeteilt werden können
- Berechtigungen werden hauptsächlich durch Gruppen vergeben, es kann aber auch nur ein Benutzer diesem Ordner zugeteilt werden
- Die Berechtigungen sollen von übergeordneten Ordnern übernommen werden (Vererbung)
- Es soll die Möglichkeit bestehen, die Vererbung zu deaktivieren bzw. die vererbten Rechte zu erweitern
- Berechtigungen von einzelnen Dokumenten sollen ebenfalls bei Bedarf angepasst werden können. Hauptberechtigungen sind aber über die Ordner zu verteilen
Wie man sieht, soll das Berechtigungssystem in etwa aufgebaut werden wie es bei Windows der Fall ist. Zwar nicht mit ganz so vielen Rechten, aber es sollte wenn möglich erweiterbar sein.
Berechtigungen die auf jeden Fall existieren müssen:
- Dokumente auflisten
- Dokumente erstellen
- Dokumente bearbeiten
- Dokumente sperren / freigeben
- Diese Berechtigungen sollen sowohl für eigene Dokumente, als auch für Dokumente von anderen Usern seperat verwaltet werden können --> Das bedeutet, dass bereits mindestens 8 Rechte pro Gruppe/Dokument/Benutzer existieren
In wie weit es sinnvoll ist, auch eine Berechtigung zum Auflisten der Ordner zu machen weiß ich nicht. Die Möglichkeit zur Erweiterung sollte aber generell für alles bestehen.
Die Dokumente werden mit einem Verweis auf den Speicherort der Datei in einer Datenbank abgelegt. Hierbei handelt es sich um den Microsoft
SQL-Server falls das wichtig sein sollte.
Meine Frage ist jetzt, wie man so etwas überhaupt umsetzen kann. Wie muss bspw. meine Klasse aufgebaut sein um schnell an Informationen heranzukommen. Meine Benutzer- und Gruppenobjekte müssten ja einen Verweis auf die Gruppen haben, in denen diese Mitglied sind. Analog dazu braucht dies auch das Dokument. Oder wird an der Stelle dann nach dem Berechtigungen des Ordners geschaut und wiederrum kombiniert mit den Berechtigungen des Dokumentes?
Wie kann ich das System am effektivsten in mein Programm einbauen, ohne das ich nachher bei 100 Gruppen und 100 Usern 10 Minuten auf das Auflisten von Dokumenten warten muss, weil das Prüfen der Berechtigungen zu lange dauert?
Ich wäre um jeden Vorschlag dankbar, der in die gewünschte Richtung geht.
Wenn noch Rückfragen bestehen bin ich gerne bereit hier weitere Auskünfte zu geben.