Warum hat der Benutzer keine Rechte?
Rechte werden im allg. nach ihrer Notwendigkeit vergeben, nicht nach Haarfarbe oder Schuhgröße.
Wenn also Rechte fehlen, sollte das eigentlich so vollkommen in Ordnung sein.

Gruß
K-H

Hallo Zusammen,

wenn der Anwender Report erzeugt oder CSV-Files schreibt, wird jeweils zusätzlich ein PDF/CSV-File erzeugt und soll in einen sicheren Speicherort abgelegt werden indem nur die Anwendung und die Geschäftsleitung Zugriff haben sollen. Das ist so eine Art Kontrolle was die Anwender an Daten aus der Anwendung ziehen. Screen shots sind nicht berücksichtigt. Dafür benötige ich keine Adminrechte sondern nur Rechte für den geschützten Speicherort. Es gibt relativ viele Stellen in der Anwendung um Reports zu erzeugen oder Daten an CSV exportieren zu können. Deshalb die Idee die komplette Anwendung in einem anderen User-Kontext laufen zu lassen der zu den normalen Zugriffen auch zusätzlich den Zugriff in diesem geschützten Speicherort hat.

Gruß Kostas.

Warum nicht eine Nummer schlichter: dem Nutzer in diesem speziellen Ordner nur Rechte zum Erstellen neuer Dateien geben, aber nicht zum Löschen oder Verändern und ggfls auch nicht zum Ansehen.
Wäre eine Vorgehensweise, die schon seit Jahrzehnten so angewandt wird - schon vor 25 Jahren auf Novell-Servern, und auch heute haben Macs so einen Ordner pro User, damit sich Nutzer gegenseitig Dateien zustellen können.

Wieso schlicht? Genau richtig! Falls die Anforderung korrekt formuliert ist.

Gruß
K-H

Schon mal ein sehr interessanter Ansatz mit den "nur Schreibrechten" Ich müsste die Dateien in einem temp Ordner erzeugen und danach in das geschützte Archiv verschieben. Das würde funktionieren.

Ich habe in der gleichen Anwendung auch eine zweite Anforderung die mich doch dazu zwingt die Berechtigung an die Anwendung oder die Berechtigung auf den Speicherort zu übergeben. Der Hintergrund, es gibt Mitarbeiter die Bilder über Ihre Kamera erzeugen und diese zu einem Vorgang speichern. Diese Bilder dürfen Sie von der Anwendung aus anschauen und ausdrucken aber nicht löschen oder verändern. Die Anwendung muss also die Bilder zu einem Vorgang anzeigen können. Über den Explorer darf jedoch der Anwender nicht in diesen Ordner eingreifen können auch nicht lesend. Über die Anwendung wird nämlich protokolliert wann ein Bild eingestellt wurde, wann es von welchem User angesehen, gedruckt, exportiert u.s.w wurde. Die ganzen Aktionen werden über Berechnungen von der Anwendung aus gesteuert. Es gibt user die dürfen Ihre eigene Bilder nicht einsehen. Dann gibt es welche die dürfen irgend welche Bilder exportieren und sogar löschen. Wie gesagt, alles geregelt von der Anwendung heraus. Die Dokumente in die DB abzulegen währe die einfachste Methode. Dagegen spricht leider die riesige Anzahl der Dokumente und dessen Größe.

Gruß Kostas

Statt mit lokalen oder Domainen Userrechten rumzufrickeln hätte ich auch sowas wie DB server vorgeschlagen. Hier hat man tatsächlich dann viel Overhead.
Aber es gibt ja auch andere Server mit separater Authentifizierung und Autorisierung:
Webserver (die sehr gut Bilder hosten können).

Ggf kann sowas auch gleich mit "fertigen" Komponenten wie nextcloud o.ä. gelöst werden.

Die (versteckten) Windows Freigaben setzen wohl einen separaten Server voraus, da Mehrfachanmeldung (2. User mit anderen Rechten) am gleichen nicht geht.
Die "Unsichtbarkeit" einer Freigabe finde ich jetzt nicht so sicher.

Wenn man die Daten per Webserver anzeigen lässt, kann man sie auch per Webserver schreiben lassen, das ist jetzt auch nicht soviel Unterschied (Download und Upload sind ja jetzt auch nicht so überaus exotische Vorgänge )

Versteckte Freigaben sind nicht wirklich die sicherste Alternative, unbestritten. Aber dass unterschiedliche Nutzer mit unterschiedlichen Rechten benötigt werden, ist hier ja nicht gegeben. Es gibt wohl eine Anwendung, die zwar von n Leuten genutzt wird, aber nur die Anwendung muss mit einem einzigen Benutzer (ggfls. von n Arbeitsplätzen) auf die Freigabe zugreifen können.

Und der Rechtekonflikt zwischen mehreren Nutzen mit unterschiedlichen Rechten auf eine Freigabe besteht nur dann, wenn man diese von "einem" Windowsrechner aus einrichten will, dann gibts Probleme. Aber eine Freigabe kann durchaus von unterschiedliche Nutzer mit unterschiedlichen Rechten genutzt werden. Nur eben nicht zeitgleich von "einem" Rechner aus.

Prinipiell kann man aber eine Freigabe einrichten und allen Nutzern, die diese benötigen, eigene Rechte geben, also denen die nur schreiben dürfen ausschließlich Schreibrechte und denen, die auch Bilder anzeigen lassen dürfen, Lese- und Schreibrechte. Und diese Rechte kann mann ggfls. auch auf Dateiebene vergeben.

Man könnte also durchaus durch das Programm selbst den Nutzern, die Bilder speichern dürfen, ausschließlich für diese Bilder das Leserecht einräumen. Sie müssen nicht zwangsläufig dann auch ein Leserecht auf alle Dateien erhalten.

Die Frage die sich stellt: Wieviel Aufwand ist man bereit zu treiben, um eine anforderungskonforme Rechteverwaltung aufzusetzen.

Das wesentliche Problem ist hier erstmal: Was will man genau?
Wenn das klar ist, kann man das mit Sicherheit umsetzen. Fraglich ist halt nur, mit welchem Aufwand und ist man bereit den zu betreiben.

Bei solchen Anforderungen bietet sich eine DB an, weil dort auch die Zugriffsrechte dementsprechend gestaltet werden können. Sollte die Datenmenge zu groß sein, wofür eigentlich zu groß, klingt das für mich sehr nach "wasch mich aber mach mich nicht naß".

Gruß
K-H

P.S.
Schade daß solche Selbstverständlichkeiten immer wieder erwähnt werden müssen

Auf der Kommandozeile vergibt man solche Rechte per "Net Use" mit Delphi gehts per Komponenten: https://www.delphipraxis.net/86444-n...er-delphi.html
https://www.delphipraxis.net/159778-...ndows-7-a.html
https://stackoverflow.com/questions/...ctions/2700580

Und ja, es ist sinnvoll für eine Rechtevergabe zu sorgen, die den Nutzen alles das erlaubt, was sie dürfen. Nicht mehr und nicht weniger.

Wenn man per Programm Rechte für das Programm vergibt, die über das benötigte hinausgehen, kann man (soweit ich weiß) auch am Programm vorbei diese Rechte nutzen.

Dann gibt es unter Windows noch die versteckten Freigaben.

Normalerweise gibt man für 'ne Freigabe einfach "irgendeinentext" ein, wenn man jedoch "irgendeinentext$" als Freigabenamen vergibt, so werden sie nicht im Explorer ... angezeigt. In diesem Fall muss man die exakte Pfadangabe wissen, um die dort abgelegten Dateien einsehen zu können. Weiß man die, geht's auch vom Explorer aus.

https://www.pcwelt.de/ratgeber/Verst...tz-505954.html
https://www.com-magazin.de/tipps-tri...en-944317.html
https://www.it-administrator.de/them...ent/57847.html