/
Handreichung zum Wartungs-Release v3.3.4: Fehlerbehebung in der Vererbung von Gruppenberechtigungen

Handreichung zum Wartungs-Release v3.3.4: Fehlerbehebung in der Vererbung von Gruppenberechtigungen

Jan. 13, 2020

Mit der Version 3.3.4 wurde ein Fehler behoben, der dazu geführt hat, dass Gruppenberechtigungen fälschlicherweise an Nutzer vererbt worden sind, obwohl die Gruppe keinen Zugriff auf den jeweiligen Arbeitsbereich hat. Auf dieser Seite finden Sie weiterführende Informationen zu der Auswirkung dieses Fehlers und wie Sie als Administrator nun in Ihrem Mandanten überprüfen können, ob Nutzern nun Rechte entzogen wurden.

Der Fehler

Vor der Version 3.3.4 wurden funktionale Berechtigungen, Zugriffsberechtigungen auf Prozesskontexte und Ordnerberechtigungen von Gruppen auch an Nutzer vererbt, obwohl die Gruppe keinen Zugriff auf den jeweiligen Arbeitsbereich hat. Die Folge davon soll mit folgendem Beispiel erläutert werden:

Die Gruppe "Gruppe 1" hat folgende Rechte eingestellt:


Die Gruppe hat auf keinen Arbeitsbereich Zugriff. Für den Arbeitsbereich "Querschnittsprozesse" gibt es noch hinterlegte Rechte (im Screenshot rot markiert). Diese sind jedoch auf Grund des Entzugs des Zugriffs auf den Arbeitsbereich nun "deaktiviert".

Dem Nutzer "demo21" wurden durch einen Administrator in jedem Arbeitsbereich ausschließlich Leserechte zugeteilt:

Wurde dieser Nutzer nun zusätzlich Mitglied der Gruppe "Gruppe 1", so wurden ihm (bis einschl. v3.3.3 der Prozessplattform) unerwünschterweise die (deaktivierten) funktionalen Rechte, Zugriffsrechte auf Prozesskontexte und Ordernberechtigungen aus der Gruppe vererbt. Da in den individuellen Einstellungen für das Benutzerkonto der Zugriff auf den Arbeitsbereich "Querschnittsprozesse" prinzipiell freigeschaltet war, lebten die (auf Grund der Gruppenmitglieschaft vererbten) Rechte auf (d.h. sie wurden aktiviert). Im Ergebnis sahen die effektiven Berechtigungen des Nutzers daher wie folgt aus:


Empfohlene Kontrollschritte als Administrator

  1. Überprüfen Sie für alle Gruppen Ihres Mandanten, ob es "deaktivierte" Berechtigungen wie im obigen Beispiel gibt. Überprüfen Sie auch die Ordnerberechtigungen der so gefundenen Gruppen (hierfür müssen Sie der Gruppe kurzzeitig wieder Zugriff auf den Arbeitsbereich geben und auf den Ordnerberechtigungs-Tab wechseln).
  2. Wenn Sie solche Gruppen gefunden haben, müssen Sie im Anschluss für alle Mitglieder der Gruppe überprüfen, ob den Mitgliedern nun Berechtigungen entzogen wurden, die zuvor fälschlicherweise aus den betroffenen Gruppen übernommen wurden. 
  3. Wenn Sie solche Nutzer finden, können Sie im Einzelfall entscheiden, ob Sie den betroffenen Gruppenmitgliedern die entzogenen Rechte ggf. wieder zuweisen möchten oder nicht.