Jede Person, die Zugriff auf das d.3-Repository erhalten soll, muss ein eingetragener d.3-Benutzer sein. Die Benutzer "batchimp", "hostimp", "d3_server" und "d3_async" sind Systembenutzer und werden in der Benutzerübersicht von d.3 admin nicht angezeigt.

Ein weiterer Systembenutzer ist der Benutzer "d3_admin". Es ist nicht notwendig, diesen Benutzer zu verwalten. Sie müssen diesem Benutzer keine Berechtigungsprofile, Klassen oder Gruppen zuordnen.

In der Übersicht können Sie erkennen, ob ein Benutzerkonto gesperrt oder deaktiviert ist. Über das Kontextmenü können Sie Benutzer wieder entsperren. Hierbei wird unterschieden, ob der Benutzer durch mehrmalige Falscheingabe des Kennworts gesperrt wurde, oder ob er über Policies (Gruppenzugehörigkeit) (siehe d.3 policy manager ) gesperrt wurde. In diesem Fall muss die Entsperrung explizit bestätigt werden.

Mit dem Filter- und Suchmechanismus wird gerade in einer Umgebung mit vielen Benutzern die Verwaltung stark vereinfacht.

Im oberen Teil des Übersichtfensters der Benutzerverwaltung steuern Sie die Filter bzw. Suchmechanismen.

Suchen nach: Zunächst legen Sie das Suchmuster fest, die Zeichen(folge) wird in allen Felder der Benutzerliste gesucht und die Auflistung unmittelbar entsprechend reduziert.

Suchen in: Die definierte Zeichenfolge kann anschließend in einer Spalte gesucht werden, die Sie hier vorgeben.

Anzahl: Gibt die Maximalzahl der aufzulistenden Benutzer an, die Anzahl kann über die Konfigurationsdatei in d.3 admin vordefiniert werden.

Suchen: Führt die Suche nach der Zeichenfolge aus und hebt der Reihe nach die Zeilen hervor, die das Suchmuster in der ausgewählten Spalte enthalten.

Zurücksetzen: Setzt alle Einträge auf ihren Standardwert zurück, die Suchfelder werden gelöscht, die Anzahl wird auf den Wert aus der Konfigurationsdatei (ManyUserFindLimit) gesetzt.

Das Verhalten des Benutzerfilters lässt sich in der Konfigurationsdatei von d.3 admin anpassen. Hierzu gibt es zwei Sektionen.

Beispiel der Datei d3admin.ini

[Performance]
ManyUserSupportEnabled=1
ManyUserLimit=500
ManyUserUpdateCount=500
ManyUserFindLimit=500

Die Parameter haben folgende Bedeutung bzw. Auswirkung:

Sektion Performance:

Parameter

Bei der Anlage eines neuen lokalen Benutzers müssen verschiedene Angaben erfasst werden. Im Folgenden wird die Dialogfolge bei der Anlage eines neuen Benutzers beschrieben.

Vollständiger Name

Sie können an dieser Stelle den vollständigen Namen des d.3- Anwenders angeben.

Dieser Name wird in den d.3-Anwendungen häufig verwendet, u.a. wenn der Postkorbmechanismus von d.3 verwendet wird. Dieses Feld darf maximal 50 Zeichen enthalten. Dieser Name ist sprechender als der technische Name, zumal dieser auf zehn Stellen gekürzt wird.

Der vollständige Name erscheint in der Titelleiste von d.3 smart explorer , aber auch in verschiedenen Auswahllisten.

Abteilung

Zur Unterscheidung der Benutzer können Sie dem Anwender eine Abteilung zuordnen. Die Auswahlliste der Abteilungen wird dynamisch erweitert. D.h., wenn Sie den ersten Benutzer in d.3 anlegen, ist diese Auswahlliste noch leer. Beim Anlegen des n-ten Benutzers haben Sie dann alle unterschiedlichen Abteilungen zur Auswahl, denen die bisherigen Benutzer zugeordnet wurden. Die Abteilung darf maximal 50 Zeichen enthalten.

Organisation

Ein weiteres Unterscheidungsmerkmal ist die Organisation. Auch diese Auswahlliste wird dynamisch erweitert. Für dieses Feld stehen Ihnen maximal 50 Zeichen zur Verfügung.

Telefon

Für die Telefonnummer können maximal 40 Zeichen vergeben werden.

E-Mail

Die E-Mail-Adresse eines Anwenders darf maximal 100 Zeichen umfassen.

Wenn die SMTP Unterstützung für das d.3- Repository eingeschaltet ist, wird an diese E-Mail-Adresse eine vom d.3 -Server generierte E-Mail geschickt, Das bedeutet, dass mit dem Empfang eines Dokuments im d.3- Postkorb eines d.3- Benutzers automatisch eine E-Mail generiert wird. Somit bleibt das E-Mail-System für die Versendung von Informationen das führende System.

Wird der Abo-Service von d.3 genutzt, werden die Informationen über geänderte Dokumente ebenfalls an diese E-Mail-Adresse geschickt.

Benutzername

Geben Sie an dieser Stelle den d.3 Benutzernamen an. Dies ist der Name, mit dem sich der d.3- Anwender an das d.3- Repository anmeldet. Sie können maximal 30 Zeichen verwenden. Diese Zeichen sollten aus der Menge ["a".."z", "A".."Z, "0"..9", "_"] stammen. Alle anderen Zeichen sollten nicht im Benutzernamen vorkommen.

Unterstützt das d.3- Repository Unicode, sind alle Zeichen erlaubt. d.3 erzeugt einen maximal achtstelligen eindeutigen Namen, der Sonderzeichen nicht enthält.

Im Verzeichnis bearbeit im Dokumentenbaum des d.3- Repositories wird für jeden Benutzer ein Ordner mit dem technischen Namen (achtstellig) angelegt.

Beispiel: Der Benutzername ClausChef wird zu ClausCh1. Unter diesem Namen wird er in der Benutzerverwaltung eingetragen.

Es ist mit d.3 admin nicht möglich, eine Gruppe und einen Benutzer mit gleichem Namen anzulegen. Wenn Sie beim Anlegen eines Benutzers eine Meldung diesbezüglich erhalten, prüfen Sie bitte, ob mit dem Benutzernamen nicht bereits eine Gruppe bezeichnet wurde.

Kennwort/Kennwort Bestätigung

Bei der Anlage eines Benutzers ist immer zwingend ein Kennwort erforderlich. Auch bei der Änderung eines Kennwortes ist ein neues Kennwort zu vergeben. Dabei hängt das Format des neuen Kennwortes von einer Reihe von Konfigurationsparametern ab.

Der Parameter PASSWORD_MIN_CHARS gibt die minimale Länge eines Kennwortes an. Diesen Parameter können Sie über d.3 config verwalten.

Der Parameter PASSWORT_EXTENDED_SYNTAX gibt die Syntaxregeln für die Kennwörter an. Wenn Sie diesen Parameter auf "Ja" setzen, dann muss das Kennwort jeweils mindestens ein Zeichen aus drei der folgenden vier Zeichen-Gruppen enthalten: A-Z, a-z, 0-9, Sonderzeichen.

Die Option PASSWORD_EXPIRE_DAYS gibt die Default Lebensdauer eines Kennwortes in Tagen an, jedoch nur dann wenn die Option PASSWORD_EXTENDED_SYNTAX auf „Ja“ gesetzt ist.

Die Default Einstellung für diese Option ist "10957", das entspricht einem Zeitraum von 30 Jahren.

Beim Bearbeiten eines Benutzers wird Ihnen das Kennwort nicht angezeigt. Somit sind die beiden Felder Kennwort und Kennwort Bestätigung leer. Änderungen an den Einstellungen des Benutzers haben somit auch keinen Einfluss auf das Kennwort des Benutzers. Nur wenn Sie explizit ein neues Kennwort angeben, wird das alte Kennwort des Benutzers überschrieben.

Sie können maximal zwanzig Zeichen für das Kennwort eines Benutzers verwenden. Die Länge und Regeln zum Kennwort werden in der d.3-Konfiguration festgelegt.

Sollte das Kennwort den gültigen Regeln nicht genügen, erfolgt sofort eine entsprechende Meldung.

Erweiterte Eigenschaften - Benutzerrechte

Die erweiterten Eigenschaften (Policies) werden im Kapitel d.3 policy manager ausführlich beschrieben. Daher wird hier nur kurz auf die Konfiguration eingegangen.

Für jeden Benutzer können Rechte auf die aufgelisteten Eigenschaften vergeben werden. Die Zuweisung hat hierbei die gleiche Bedeutung wie bei der Rechtevergabe in den Berechtigungs-Profilen.

Zuweisung

ja: Recht erteilt

nein: Recht verweigert

<LEER>: Recht ignoriert

Sie vergeben die Berechtigungen entweder über Betätigung der entsprechenden Drucktaste oder einfach über einen Klick auf die Eigenschaft. Hierbei wird mit jedem Klick "durchgeschaltet".

Dem Benutzer wird die Anmeldung über d.3 login manager ermöglicht. Wird der Benutzer allerdings als Service-Benutzer eingerichtet, kann dieser sich NICHT mehr im Dialog anmelden (implizite Verweigerung).

Sie können sowohl Rechte auf Anwendungen, als auch auf Dokumente festlegen.

Optionale Felder

Die optionalen Felder bieten Ihnen die Möglichkeit, zusätzliche Informationen zu einem Benutzer abzulegen. Sie können in jedem dieser zehn optionalen Felder maximal 50 Zeichen eingeben. In älteren d.3- Systemen wurden die optionalen Felder oft zur Ablage der E-Mail-Adresse verwendet.

In einem optionalen Feld kann aber auch der Vorgesetzte eingetragen sein. Damit wird die Voraussetzung geschaffen, dass der Vorgesetzte z.B. bei Krankheit des Mitarbeiters den Abwesenheitsstatus verändern kann.

Auch d.3 abo service liest ein optionales Feld aus. Das optionale Feld 1 kann die Kennung für den Abo-Verwalter enthalten (siehe Dokumentation d.3 abo service).

Die Führungstexte sind nicht änderbar.

Gruppenzugehörigkeit

Jeder Anwender kann Mitglied in mehreren Gruppen sein. Gruppen fassen Mitarbeiter mit gleichen Aufgabengebieten und auch gleichen Berechtigungen zusammen. Mehr Informationen dazu finden Sie im Kapitel Gruppen .

Warnung

Achten Sie bei der Zuordnung der Gruppen darauf, dass bei der Auswahl von mehr als zehn Gruppen das Erstellen der Zuordnungen unter Umständen mehrere Minuten dauern kann.

Dabei bedeuten die Symbole bei den verfügbaren Gruppen:

Verteilung von Dokumenten an alle Mitglieder der Gruppe (Postkorb ohne Lastverteiler)

Verteilung an ein Mitglied der Gruppe (Postkorb mit Lastverteiler)

keine Verteilung, die Gruppe wird für Berechtigungszuordnungen genutzt

Berechtigungsprofile

Mit dem Berechtigungskonzept von d.3 besteht die Möglichkeit, die Berechtigung direkt per Berechtigungsprofil zu setzen.

Sie können an dieser Stelle dem Benutzer mehrere Berechtigungsprofile gleichzeitig zuordnen.

1. Wählen Sie aus dem rechten Fenster die gewünschten Berechtigungsprofile aus.

2. Fügen diese über den Schalter < dem linken Fenster zu.

Um ein Berechtigungsprofil zu entfernen, gehen Sie folgendermaßen vor:

1. Wählen Sie umgekehrt aus dem linken Fenster eines aus.

2. Betätigen die Schaltfläche > .

Der neue Benutzer wird angelegt, sobald Sie auf OK klicken.

Dokumentklassen zuweisen

Zusätzlich oder alternativ können Dokumentklassen einem Benutzer auch direkt zugeordnet werden. Damit ist es u.a. möglich, Rechte zu erweitern, z.B. für KeyUser, oder zu reduzieren.

Übersicht der Benutzerdaten

1. Rufen Sie die Benutzerübersicht über Berechtigungen > Benutzer auf.

2. Wählen Sie einen Benutzer aus.

3. Öffnen Sie über das Kontextmenü die Eigenschaften .

Sie erhalten eine Übersicht über die gewählten Werte des Benutzers.

Über die jeweilige Registerkarte ( Allgemein , Zuordnungen , Erweiterte Eigenschaften ) können Sie die konfigurierten Daten einsehen und auch bearbeiten.

Allgemein

Auf der Registerkarte Allgemein können Sie die Benutzerdaten einsehen und ändern, optionale Felder eintragen und eine Abwesenheitsmeldung hinterlegen.

Kennwort zurücksetzen 

Über die Schaltfläche Kennwort zurücksetzen können Sie für den Benutzer ein neues Passwort für den d.3-Login vergeben.

LDAP-Bindung lösen 

Die Schaltfläche LDAP-Bindung lösen ist verfügbar, wenn es sich um einen LDAP-Benutzer handelt und kann dann diese Bindung lösen.

Dokumente verschieben 

Möchten Sie alle Dokumente oder Dokumentarten eines Benutzers übernehmen oder entfernen, nutzen Sie dazu den Dialog Dokumente verschieben, den Sie über die gleichnamige Schaltfläche erreichen.

In der linken Hälfte des Fensters sehen Sie die Informationen zum Benutzer und die Dokumentarten in denen der Benutzer Dokumente besitzt. Dazu ist die Anzahl der nicht übergebenen Dokumente pro Dokumentart in den einzelnen Kategorien sichtbar.

In der rechten Hälfte können Sie einen anderen Benutzer oder eine Gruppe für die Übergabe der Dokumente auswählen. Für den Benutzer oder die Gruppe werden ebenfalls die gleichen Informationen angezeigt. Zudem werden für Benutzer alle Dokumentarten angezeigt, für die er die erforderlichen Rechte besitzt. Für die Übernahme können Sie zwischen Dokumenten aus dem Postkorb oder Dokumente in Bearbeitung wählen. Die zu übernehmenden Dokumente werden dann darunter angezeigt.

Um Dokumente zu verschieben sind die folgenden Schritte notwendig:

1. Wählen Sie eine Kategorie aus, aus der die Dokumente verschoben werden sollen (Postkorb, Bearbeitung).

2. Haken Sie in der Liste die Dokumente der gewünschten Dokumentarten an, die verschoben werden sollen.

3. Klicken Sie auf Übernehmen, um die Dokumente zu verschieben oder

4. auf Zurücksetzen, um die Angaben zu verwerfen.

Anmerkung

Das Verschieben ist nicht unriskant und sollte mit Bedacht vorgenommen werden!

Bei Benutzern können Postkorbeinträge und Dokumente in Bearbeitung verschoben werden.

Das Entfernen der Einträge ist eine zusätzliche Möglichkeit bei Postkorbeinträgen und Tätigkeitsprofil-Links. Die Dokumente müssen vorher übergeben werden.

Zuordnungen

Auf der Registerkarte Zuordnungen können Sie die Zuordnungen des Benutzers in Gruppen , Berechtigungsprofilen und Dokumentklassen einsehen und ändern.

Erweiterte Eigenschaften

Die Registerkarte Erweiterte Eigenschaften zeigt die entsprechenden Rechte des Benutzers an, die Sie hier auch über die Schaltflächen Zuweisen, Entziehen und Ignorieren verwalten können, siehe  Erweiterte Eigenschaften - Benutzerrechte.

Um einen Benutzer zu entfernen, gehen Sie folgendermaßen vor:

Sollte der zu löschende Benutzer noch Dokumente zur Bearbeitung in seinem Postkorb haben, so erscheint ein weiterer Dialog, der Ihnen die Möglichkeit bietet, diese Dokumente einem anderen Benutzer zuzuweisen oder die Dokumente ebenfalls zu löschen.

Concurrent-User

Bei diesem Modell teilen sich mehrere Anwender eine Lizenz.

Führt ein Anwender eine Funktion im d.3-Repository aus, wird eine freie Lizenz vom ihm für 30 Minuten belegt. Wenn derselbe Anwender innerhalb der 30 Minuten weitere Aktionen ausführt, wird die Belegung jeweils wieder auf 30 Minuten festgesetzt. Werden innerhalb der 30 Minuten keine Aktionen ausgeführt, kann nach dem Zeitraum die Lizenz von einem anderen Mitarbeiter verwendet werden.

Die Anmeldung an d.3 smart explorer bzw. d.3 smart start belegt keine Lizenz.

Named-User

Bei diesem Modell belegt jeder Anwender eine Lizenz. Für jeden Anwender, der mit dem System arbeiten soll, muss also eine Lizenz vorhanden sein. Das gilt auch für Teilzeitkräfte.

Allgemeines

Mit der d.3 Version 8.1 wurde der neue Lizenztyp d.3ecm user S eingeführt. Benutzer mit diesem Lizenztyp haben nur Lesezugriff auf die Dokumente im d.3-Repository und können an einem Workflow teilnehmen.

Der d.3-Server unterscheidet bei diesem Lizenztyp zwischen einem "nur lesenden" Benutzer (Readonly-User genannt) und einem "schreibenden" Benutzer (Full-User genannt).

Einlesen der Lizenzdaten

Beim Start der d.3-Prozesse werden folgende Lizenztypen aus der liccheck.lic ausgelesen:

Im d.3 Log wird das durch die Log-Einträge kenntlich gemacht:

Systemgruppe "$ReadOnly$"

Es wurde eine neue Systemgruppe "$ReadOnly$" eingeführt, über deren Mitgliedschaft ein Benutzer entweder eine Full-User-Lizenz (nicht Mitglied in dieser Gruppe) oder eine Readonly-User-Lizenz (Mitglied in dieser Gruppe) belegt wird.

Readonly-User

Ein Benutzer, der eine Readonly-User Lizenz belegt, hat nur noch Leserechte auf Dokumente. Ein Dokumenten-Import, Änderungen an den Dokumenteigenschaften oder Verknüpfen von Dokumenten sind für diese Benutzer somit nicht möglich.

Phase nach Austausch der Lizenzdatei

Wenn nach dem Start der d.3-Prozesse erstmalig eine Named-User-Lizenz in der Lizenzdatei gefunden wird, beginnt der 30-tägige Einführungszeitraum. In dieser Phase können die Benutzer ohne Zeitverzug bzw. Sperrung der Lizenzen zwischen der Full-User-Lizenz und der Readonly-User-Lizenz hin und her wechseln.

Da alle d.3-Benutzer zunächst als Full-User eingeordnet werden, müssen nach der erstmaligen Installation einer Readonly-User-Lizenz die Benutzer, die als Readonly-User fungieren sollen, über d.3 admin in die Gruppe "$ReadOnly$" eingruppiert werden.

Belegung einer Lizenz

Eine Named User Lizenz wird erst dann belegt, wenn ein Benutzer sich aktiv am d.3-System anmeldet. Bei der Benutzeranlage findet keine Lizenzierung statt. Bei Benutzeränderungen, insbesondere die, bei denen eine Lizenzänderung stattfindet, wird nur noch die bisher belegte Lizenz beim Lizenzserver deregistriert und nach der Einführungszeit für 5 Tage gesperrt. Die neue Lizenz wird nicht registriert.

Tägliche Registrierung der Lizenzen

Der Async-Prozess durchläuft einmal täglich eine Routine, bei der Benutzer beim Lizenzserver registriert werden. Dabei gelten folgende Regeln:

Wechsel eines Benutzers auf eine Readonly-User-Lizenz

Innerhalb der 30-tägigen Einführungszeit der Named-User-Lizenz können Benutzer jederzeit ohne Sperrung einer Lizenz zu Readonly-User umfunktioniert werden.

Ansonsten gelten folgende Regeln:

Wechsel eines Benutzers auf eine Full-User-Lizenz

Eine vorher belegte Readonly-Lizenz wird sofort freigegeben. Eine Full-Lizenz wird bei der nächsten Anmeldung oder bei der nächsten täglichen Registrierung durch den Async-Prozess belegt.

Service-Benutzer

Ein Service-Benutzer belegt keine Named-User Lizenz. Wird aus dem Service-Benutzer allerdings ein "normaler" Benutzer, belegt dieser eine Lizenz, die bei der nächsten Anmeldung oder durch die tägliche Registrierung durch den Async-Prozess aktiv wird.

Wenn ein Named-User zu einem Service-Benutzer, wird nach der Einführungszeit die jeweilige Lizenz (Full oder Readonly) für 5 Tage gesperrt.

Löschen von Benutzern

Nach dem Löschen eines Benutzers wird die bisher belegte Lizenz für 5 Tage gesperrt.

Deaktivieren von Benutzern

Bei Deaktivierung eines Benutzers wird die belegte Lizenz für 5 Tage gesperrt.

Umgang mit den Lizenzen bei einer LDAP-Anbindung

Gruppen haben im d.3-Repository die Aufgabe, Benutzer mit gleichen Aufgaben zusammenzuführen, um z.B. im Postkorbdialog oder im Berechtigungskonzept diese als Adressaten anzugeben.

Klassische Grenzen für Benutzergruppen und Berechtigungsprofile existieren nicht mehr. Halten Sie dennoch die Hauptspeicherauslastung und die Performance bei der Auswertung von Dokumentrechten im Blick. Insbesondere eine hohe Zahl an Berechtigungszuweisungen erhöht den Hauptspeicherbedarf und wirkt sich in Summe bei einer hohen Anzahl an Ergebnissen auf die Suchgeschwindigkeit aus.

Im Übersichtsbild der Gruppen werden alle verfügbaren Gruppen angezeigt. Über das jeweilige Icon wird zusätzlich der Typ der Gruppe angedeutet.

Markieren Sie eine Gruppe, werden die Mitglieder im rechten Fenster gelistet. Wie Sie sehen, können auch Gruppen wiederum Mitglieder sein (geschachtelte Gruppen).

Verteilung von Dokumenten an alle Mitglieder der Gruppe (Postkorb ohne Lastverteiler), Gruppentyp nachträglich nicht mehr änderbar.

Verteilung an ein Mitglied der Gruppe (Postkorb mit Lastverteiler), Gruppentyp nachträglich nicht mehr änderbar.

K eine Verteilung, es werden (zunächst) nur Mitarbeiter gruppiert, der Gruppentyp lässt sich später aber noch ändern, wenn z.B. die Art der Postkorbverteilung geklärt ist.

Über die entsprechenden Icons oberhalb der Auflistung können Sie nach den Gruppentypen filtern.

Über die Schaltfläche Entfernen können Gruppen wieder gelöscht werden. Eine Mehrfachselektion ist in der Gruppenübersicht möglich, sodass in einem Arbeitsschritt mehrere Gruppen entfernt werden können. Die Anzeige der Mitglieder wird hierbei jedoch geleert und die Schaltflächen Neu, Bearbeiten und Kopieren werden deaktiviert.

Über den Button Neu auf der Seite Übersicht der d.3-Gruppen legen Sie eine neue Gruppe im d.3 Repository an.

Zunächst erfassen Sie die allgemeinen Informationen.

Art der Dokumentenverteilung:

Verteilung an alle Mitglieder (Gruppe) 

Wird ein Dokument in den d.3 Postkorb versandt, kann dieses Dokument an alle Gruppenmitglieder gleichberechtigt versandt werden. Jedes Gruppenmitglied erhält einen Eintrag in seinem d.3 Postkorb.

Gruppendokumente sollten von einem Mitglied der Gruppe dann zur weiteren Bearbeitung angenommen werden (siehe d.3 smart explorer- Handbuch ).

Verteilung an ein Mitglied (Tätigkeitsprofil) 

Wird ein Dokument in den d.3 Postkorb versandt, kann das Dokument auch an ein Tätigkeitsprofil gesendet werden. Im Gegensatz zum Versand an eine Gruppe erhält nur (genau) ein Mitglied dieser Gruppe das Dokument als Aufgabe in seinen Postkorb. Für die Steuerung vergeben Sie später zusätzliche Werte für die Lastverteilung.

Keine Verteilung 

Diese Gruppe erscheint nicht in den d.3-Anwendungen, z.B. Postkorb-Dialog. Sie gruppieren hiermit lediglich Mitarbeiter. Der Typ lässt sich nachträglich noch ändern. Ebenso können Sie diese Gruppe bei der Erstellung der Organisationsstruktur nutzen.

Gruppe anlegen - Erweiterte Eigenschaften

Weitere Informationen entnehmen Sie den Hinweisen zu den erweiterten Eigenschaften  bei den Benutzerangaben bzw. dem Kapitel  d.3 policy manager .

Mitglieder

Mitglieder einer Gruppe können sowohl Benutzer als auch Gruppen sein.

Wählen Sie aus der Liste im rechten Fenster die Mitglieder der neu anzulegenden Gruppe aus. Eine Mehrfachmarkierung ist über die übliche Microsoft Windows-Funktionalität möglich. Sie können nur normale Postkorbgruppen zuordnen.

Berechtigungsprofile für Gruppen

Ab der d.3 Version 7 können einer Gruppe auch Berechtigungsprofile zugeordnet werden.

Nach der erfolgreichen Anlage der neuen Gruppe erscheint eine entsprechende Information.

Die Gruppeneigenschaften erreichen Sie nach Aufruf der Übersicht der Gruppen (Berechtigungen > Gruppen).

Auf den Registerkarten Allgemein, Erweiterte Eigenschaften, Mitglieder und Berechtigungsprofile können Sie die Angaben, die beim  Anlegen der Gruppe  getätigt wurden, einsehen und zum Teil über Bearbeiten auch noch nachträglich ändern.

Die Schaltfläche Dokumente verschieben dient zum Verschieben von Dokumenten oder Postkorbeinträgen einer Gruppe zu einer anderen Gruppe oder Nutzer. Die Funktionsweise ähnelt der gleichnamigen Schaltfläche in der  Übersicht der Benutzerdaten.

Zusätzlich zu den Postkorbeinträgen und den Dokumenten in Bearbeitung können bei Gruppen Dokumente in Prüfung und Tätigkeitsprofil-Links verschoben werden.

Dokumentklassen sind Bestandteil des Berechtigungskonzepts. Sie können unter Verwendung der Dokumentklassen Berechtigungen auf "Dokumente einer Dokumentart" setzen.

Ein einfaches Beispiel für eine Berechtigung auf "Dokumente einer Dokumentart" ist "alle Rechnungen mit einem Rechnungsbetrag kleiner als 10.000 €".

Dokumentklassen legen immer eine Teilmenge der möglichen Dokumente fest.

Es gibt grundsätzlich zwei Arten von Dokumentklassen. Die eine ist die dokumentartabhängige Klassenart (hier Bestellung (K)) und die andere ist die dokumentartunabhängige (oder auch dokumentartübergreifende) Klassenart.

Die Verwendung einer dokumentartabhängigen Dokumentklasse ist noch sehr verständlich, da diese Klassenart dazu dient, Dokumente einer bestimmten Dokumentart einzugrenzen, wie im obigen Beispiel eine Eingrenzung der Rechnungen auf diejenigen mit einem Rechnungsbetrag kleiner als 10.000 €.

Im Gegensatz dazu wird eine dokumentartunabhängige Dokumentklasse dazu verwendet, die "Dokumente aller relevanten Dokumentarten" im d.3-Repository einzuschränken. Diese Arten von Dokumentklassen verstehen sich nur als zusätzliches Kriterium, um den Zugriff einzuschränken. Sie können einem Benutzer nicht als einzige Dokumentklasse zugeordnet werden, da diese keinen Bezug zu einer Dokument bzw. Aktenart hat und in den Anwendungen diese somit nicht zur Auswahl stehen.

Angenommen, Sie möchten einem Benutzer Zugriff auf alle freigegebenen Dokumente erteilen. Dann reicht es nicht aus, eine dokumentartunabhängige Dokumentklasse anzulegen mit der Restriktion "Status = Freigabe", und diese anschließend dem Benutzer zuzuordnen. Der Benutzer würde dann keine (konkreten) Dokument- bzw. Aktenarten in d.3 smart explorer bzw. d.3 import sehen.

Sie müssen vielmehr ein Berechtigungsprofil anlegen und alle für die Aufgaben des Mitarbeiters relevanten Standardklassen sowie die dokumentartunabhängige Klasse zuordnen.

Die Standardklassen werden automatisch vom d.3-Server beim Anlegen einer neuen Dokumentart oder Aktenart erzeugt. Erkennen können Sie Standardklassen an dem Namenszusatz "(K)" (bei englischen Repositorys "C") und einem Klassenkürzel mit dem Präfix "CLAS_".

Dann vergeben Sie die Rechte NUR für die dokumentartunabhängige Klasse . Abschließend können Sie das Berechtigungsprofil z.B. mit der Bezeichnung "ALLE DOKUMENTE" benennen und fertig stellen.

Dieses Berechtigungsprofil wird dem Benutzer zugeordnet aber erst nach erneuter Anmeldung wirksam. Der Benutzer wird anschließend nur freigegebene Dokumente in den Ergebnissen einer Suche erhalten.

Wollen Sie eine Berechtigung umgekehrt realisieren, also in unserem Beispiel einem Benutzer alle Dokumente bereitstellen, die NICHT freigegeben sind, beachten Sie folgende Hinweise:

Sie verbieten für die dokumentartunabhängige Klasse das Leserecht ("NEIN" bzw. "Recht verweigert"), müssen aber für die Standardklassen das Leserecht erteilen ("JA" bzw. "Recht erteilt"). Betrachten Sie zum Verständnis die dokumentartunabhängige Klasse einfach als Schablone mit schwarzen Bereichen und die anderen Klassen als Schablonen mit "Löchern". Alle Schablonen werden übereinandergelegt. Durchschauen kann man nur durch die "Löcher", die schwarzen Bereiche sind immer undurchsichtig.

Sobald Sie eine Dokumentart auswählen, auf die sich die Dokumentklasse beziehen soll, werden Ihnen die Eigenschaften zu dieser Dokumentart angezeigt. Sie können dann in den einzelnen Feldern Ihre Restriktionen definieren.

In Abhängigkeit des Datentyps eines Feldes können Sie auch mit Sonderzeichen und Makros arbeiten.

Unter Identifikation geben Sie der neuen Dokumentklasse eine beschreibende Bezeichnung, aus der ein Teil der Einschränkungen hervorgeht.

Der Name einer Dokumentklasse hat ausschließlich informativen Charakter. Sie können für den Namen maximal 255 Zeichen verwenden. Somit besteht die Möglichkeit, Namen zu vergeben, die leicht verständlich sind. Ein sinnvoller Name ist zum Beispiel "Rechnungen mit einem Rechnungsbetrag unter 10.000 €".

Zusätzlich müssen Sie einen maximal zehnstelligen eindeutigen technischen Namen (Kürzel) vergeben. Dieser Name wird in der Hook-Programmierung genutzt. Das Kürzel ist case-sensitiv, d.h. Groß-/Kleinschreibung wird streng unterschieden.

Alle Standarddokumentklassen haben als Kürzel das Präfix CLAS_. Dieses Präfix ist ausschließlich für die Standarddokumentklassen reserviert. Sie können keine Dokumentklasse mit einem solchen Präfix anlegen.

Über die Option Aufnahme der Filter als Suchbedingung kann eingestellt werden, dass die Restriktionen der Dokumentklasse in das SELECT-Statement bei der Dokumentensuche integriert werden können.

Dabei ist folgendes zu beachten:

Beispiel:

Gegeben ist eine Dokumentklasse der Dokumentart "E-Mail" (Dokumentartkürzel EMAIL) mit der Restriktion "@D3USER_EMAIL" auf dem Eigenschaftsfeld "Empfänger" (DB-Position 1).

Der Benutzer "user1" hat als E-Mail Adresse folgenden Eintrag: user1@firma.de 

Bei der Dokumentensuche in der Dokumentart "E-Mail" ohne weitere Suchkriterien wird das folgende SQL-Kommando generiert (verkürzt dargestellt):

SELECT * FROM firmen_spezifisch WHERE kue_dokuart = 'EMAIL' AND dok_dat_feld_1 = 'user1@firma.de'

Restriktionen

Eine Dokumentart kann mit einer Restriktion eingeschränkt werden, ähnlich wie bei einer Suche im d.3 . Somit können auch die üblichen Wildcards in der Restriktion verwendet werden. Die möglichen Wildcards sind wiederum vom Datentyp des Feldes abhängig. Beachten Sie die erweiterten Möglichkeiten bei alphanumerischen Sonderzeichen.

Alphanumerische Felder

Bei Textfeldern können Sie Platzhalter nutzen, die in der d.3-Konfiguration definiert sind. Standardmäßig sind das "%" (Prozent) und "_" (Unterstrich). Dabei ist das Prozentzeichen ein Platzhalter für eine unbekannte Anzahl von Zeichen und der Unterstrich ist ein Platzhalter für genau ein Zeichen.

Angenommen, in Ihrem d.3- Repository existiert eine Dokumentart mit der Bezeichnung "Lieferscheine". Diese Dokumentart enthält ein Feld mit der Bezeichnung "Lieferant". Dieses alphanumerische Feld soll die Namen der Lieferanten enthalten. Um einem Benutzer Zugriff auf die Lieferscheine des Lieferanten "d.velop AG" zu erteilen, müssen Sie für dieses Feld die Restriktion "d.velop AG" angeben.

Der Nachteil dieser exakten Angabe liegt aber nun darin, dass Dokumente, welche als Lieferant die Angabe "Fa. d.velop AG" tragen, nicht gefunden werden. An dieser Stelle wäre es besser, die Restriktion "%d.velop AG" anzugeben. Dadurch werden beide Schreibweisen gefunden. Wenn bei einigen Dokumenten für das Feld Lieferant der Wert "Firma d.velop" angegeben wurde, dann würde dieses Feld wiederum nicht der Restriktion entsprechen. Diesen Umstand kann man durch die Restriktion "%d.velop%" umgehen. Ein letztes Problem könnte der "Punkt" in dem Firmennamen darstellen. Dokumente bei denen als Lieferant "Firma d-velop AG" (mit Bindestrich) angegeben wurde, werden immer noch nicht gefunden. Abhilfe schafft an dieser Stelle der Platzhalter "Unterstrich". Somit lautet die endgültige Restriktion für das Feld Lieferant der Dokumentart Lieferscheine "%d_velop%". Diesen Wert müssten Sie bei der Definition der Dokumentklasse angeben.

Anmerkung

Als Platzhalter können statt der Zeichen "%" und "_" auch die gleichbedeutenden Platzhalter "*" und "?" verwendet werden. Ab der d.3 Version 6.2 können weitere Sonderzeichen für die alphanumerische Suche definiert werden.

Diese individuell definierten Sonderzeichen können sowohl in der Recherche als auch bei der Dokumentklassen-Definition genutzt werden.

Für die Dokumentklassen-Definition gilt allerdings die Einschränkung, dass die Sonderzeichen nicht kombinierbar sind!

Ausnahme: Kombinationen mit "*", "%","_" und "?".

Datumsfelder

Bei Datumsfeldern können Sie das Minuszeichen ("-") verwenden. Dadurch lassen sich die Bereichsangaben "von – bis", "seit –" und "- bis" definieren.

Bereichsangaben	Restriktionen
von – bis	01.01.1997 - 31.12.2001
seit	01.01.1997 –
bis	- 31.12.1999
{-m}-{+n}	Beispiel: {-28}-{+28} Restriktion für den Zeitraum von (vor 4 Wochen) bis (in 4 Wochen)

Angenommen, in Ihrem d.3 -Repository existiert eine Dokumentart mit der Bezeichnung "Rechnung". Diese Dokumentart besitzt eine Eigenschaft "Datum", in welchem das Rechnungsdatum abgelegt ist.

Wenn Sie einem Benutzer den Zugriff auf die Rechnungen bis zum Datum "31.12.2000" erteilen möchten, müssen Sie beim Erstellen dieser Dokumentklasse die Dokumentart "Rechnung" auswählen.

Weiterhin muss für das Feld Datum dieser Dokumentart die Restriktion "-31.12.2000" angegeben werden. Anschließend muss dem Benutzer diese Dokumentklasse zugeordnet werden.

Numerische Felder

Bei numerischen Feldern können Sie den Bindestrich ("-") als Bereichszeichen angeben.

Ein Beispiel hierfür ist der "Rechnungsbetrag". Wenn Sie beispielsweise eine Dokumentklasse für die Rechnungen mit einem Rechnungsbetrag kleiner als 10.000 € erstellen möchten, dann müssen Sie für das Feld "Rechnungsbetrag" die Restriktion "-10.000" angeben. Um Rechnungen mit einem Rechnungsbetrag größer als 10.000 € anzugeben, müssen Sie die Restriktion "10.000-" angeben.

Um einen negativen Wert zu definieren, müssen Sie das Zeichen "\" (Backslash) dem Bindestrich ("-") voranstellen.

Feld Abweichung in mm (länger / kürzer) bei der Produktion eines Guts von der Standardnorm.

• 100-

  Alle Abweichungen, bei denen das produzierte Gut länger als 100 mm gegenüber dem Norm-Gut ist.

• -10

  Alle Abweichungen, bei denen das produzierte Gut bis zu 10 mm kürzer als das Norm-Gut ist.

• \-10

  Suche nach Gütern, die genau 10 mm kürzer als das Norm-Gut sind.

• 10-100

  Suche nach Gütern, die mindestens 10 mm länger und höchstens 100 mm länger sind als das Norm-Gut.

Wertemengen-Restriktionen

Bei der Definition der Dokumentklassen werden bei allen Eigenschaften mit einer zugeordneten Wertemenge die Werte dieser Wertemenge nach Betätigen der Combobox rechts zur Auswahl angeboten.

Die hinterlegte Wertemenge wird angezeigt.

Technische Felder

Im oberen Teil der Übersicht stehen Ihnen die technischen Eigenschaften für Restriktionen zur Verfügung. Diese Felder sind unabhängig von der Dokumentart.

Dokumenten-Nummer: Dieses alphanumerische Feld steht für die Zeichnungs-Nummer ( zeich_nr ).

Dokument-ID: Die Dokument-ID ist ein eindeutiges Kennzeichen für ein Dokument im d.3 -Repository. Bei diesem Feld handelt es sich um ein alphanumerisches Feld.

Erstellt am: In diesem Feld können Sie bei einer Restriktion das Datum angeben, wann ein Dokument erstellt wurde. Es handelt sich bei diesem Feld um ein Datumsfeld und somit müssen die Restriktionen, wie zuvor beschrieben, angegeben werden.

Frei/Gesperrt: Diese Eigenschaft bezieht sich auf freigegebene Dokumente. Bei der Definition einer Dokumentklasse können Sie bei diesem Feld entweder "Freigegeben", "Gesperrt" oder nichts angeben.

Die Wertemenge mit "Freigegeben" und "Gesperrt" wird angeboten, wenn man auf die Combobox rechts außen klickt. Die Combobox erscheint auch, wenn man doppelt in das Restriktionsfeld klickt.

Angenommen, ein Anwender soll Zugriff auf alle freigegebenen Dokumente der Dokumentart "Dokumentation" erhalten, dann würde es ausreichen, für den Status den Wert "Freigabe" als Restriktion anzugeben. Somit hat der Anwender Zugriff auf alle freigegebenen Dokumente dieser Dokumentart, auch auf die gesperrten Dokumente. Damit der Anwender keinen Zugriff auf die gesperrten Dokumente erhält, müssen Sie für das Feld Frei/Gesperrt die Restriktion "Freigegeben" auswählen.

Anmerkung

Das Sperren eines freigegebenen Dokuments ist sinnvoll, wenn es sich als inhaltlich fehlerhaft herausstellen sollte, seine Gültigkeit verliert oder seine Gültigkeit erst zukünftig erlangt.

Plan/Geprüft: Dieses Feld bezieht sich auf den ersten Prüfschritt. Sie können für dieses Feld entweder "Ja", "Nein" oder nichts auswählen. Wenn Sie an dieser Stelle "Ja" auswählen, muss das entsprechende Dokument geprüft worden sein. Die Wertemenge mit "Ja" und "Nein" wird angeboten, wenn man auf die Combobox rechts außen klickt. Die Combobox erscheint auch, wenn man doppelt in das Restriktionsfeld klickt.

Status: Dieses Feld steht für den Status eines Dokumentes. Mögliche Werte sind "Bearbeitung", "Prüfung", "Freigabe", "Archiv" und nichts.

Anmerkung

Bei der Auswertung der Berechtigung wird immer auf den aktuellsten Status geprüft. D.h., tragen Sie hier als Restriktion "Freigabe" ein, werden nur die Dokumente bereit gestellt, die als aktuellsten Status den Status "Freigabe" haben. Alle Dokumente, die zusätzlich in "Bearbeitung" bzw. "Prüfung" sind, werden nicht berücksichtigt.

Um eine Restriktion "alle freigegebenen Dokumente" zu realisieren, lassen Sie diese Eigenschaft frei und tragen dafür bei Frei/Gesperrt "Freigegeben" ein.

Bearbeiter: Dieses Feld bezieht sich auf Dokumente im Status "Bearbeitung". Sie können für dieses Feld entweder einen Benutzernamen oder einen Gruppennamen aus der Auswahlliste wählen.

Denkbar sind an dieser Stelle auch die unten aufgeführten Makros, insbesondere die Makros @D3USER und @D3GROUP (siehe auch Kapitel Makros ).

Diese Eigenschaft ist ein alphanumerisches Feld.

Ungeschützter Webzugriff: Es besteht die Möglichkeit, Dokumente für das Web zu veröffentlichen. Wenn ein Dokument für das Web veröffentlicht wurde, wird im d.3 smart explorer eine kleine Weltkugel angezeigt. Um einem Benutzer ausschließlich den Zugriff auf diese für das Web veröffentlichten Dokumente zu erteilen, müssen Sie aus der Auswahlliste den Wert Web Veröffentlicht auswählen. Um dem Anwender explizit den Zugriff auf die nicht veröffentlichten Dokumente zu erteilen, wählen Sie bitte NICHT Web Veröffentlicht aus. Die dritte Möglichkeit besteht in der Auswahl des Leereintrages. Dadurch hat die Eigenschaft Web Veröffentlicht keine Auswirkung auf die Bestimmung der Berechtigung.

Anmerkung

Ab der d.3 Version 6.3 heißt diese Eigenschaft Ungeschützter Webzugriff. Es stellt allerdings eine obsolete Funktion bereit, da diese auf CGI-Skripten beruht und zukünftig der d.3 Web Publisher nicht mehr ausgeliefert wird.

Besitzer: In diesem Feld kann über den Besitzer eines Dokuments eine Restriktion erstellt werden. Der Besitzer ist die Benutzerkennung, unter der das Dokument importiert wurde.

Client-Kennung: Es besteht die Möglichkeit, eine Client-Kennung als Restriktion zu hinterlegen. Jede Anwendung wird mit einer internen Kennung versehen. Das ist ein dreistelliger Code, z.B. 200 bei d.3 smart explorer . So ist auch für zukünftige Zwecke gewährleistet, dass der Aufruf neuer oder auch externer Anwendungen über das Berechtigungskonzept erlaubt bzw. verboten werden kann. Diese Einstellungen werden momentan primär für kundenspezifische Lösungen verwendet. Beispielsweise werden d.3 smart explorer , d.3 import und d.3 view mit den Kennungen 200, 220 und 100 verwendet. Diese Kennungen werden auch bei jedem API-Call an den d.3 -Server übermittelt und können in d.3 logviewer eingesehen werden:

Dateierweiterung: Eine Restriktion über die Dateierweiterung ist ab der d.3 Version 6.3 verfügbar. Somit ist es möglich, Anwendern nur bestimmte Dateitypen zur Verfügung zu stellen.

 proc  liefer_nr_klasse (liefer_nr)                     
   {                                                               
    if ( liefer_nr >= 1 && liefer_nr <= 10 \  
        || liefer_nr == 15                 \          
        || liefer_nr > 100                 \          
       )                                                           
       return (1)                                               
    else                                                         
       return (0)                                               
   }   

Im Gegensatz dazu werden bei Auswahl von Dokumentart Unabhängig alle Datenbankfelder (dok_dat_feld_1 bis dok_dat_feld_89) unter den Namen "DB Position X" angezeigt. Die Restriktion, die hier vorgenommen wird, gilt also nicht logisch für eine Eigenschaft (z.B. Lieferantenname), sondern physikalisch für ein Tabellenfeld.

Achten Sie deshalb bei der Planung darauf, dass für die beteiligten Dokumentklassen, auf die Sie eine dokumentartunabhängige Klasse anwenden wollen, die Datenbankpositionen immer gleich sind. Hier klärt sich vielleicht die Bezeichnung bevorzugte Position bei der Anlage von Eigenschaften.

Wählen Sie als Dokumentart Dokumentart Unabhängig aus, dann werden Ihnen alle möglichen Eigenschaftsfelder (DOK_DAT_FELDER) angezeigt.

Unter der Bezeichnung "DB Position 1" ist das DOK_DAT_FELD_1 zu verstehen. Auch bei diesen Eigenschaftsfeldern können Sie in Abhängigkeit des Datentyps eines Feldes die zuvor genannten Sonderzeichen in den Restriktionen verwenden. Dabei sind die

Die oben genannten Auswahlmöglichkeiten sind hier ebenfalls gegeben.

Die Gesamtübersicht gibt eine Übersicht über alle Dokumentklassen. Wollen Sie die Gesamtübersicht speichern, gehen Sie folgendermaßen vor:

Die Kennung (ID) einer Dokumentklasse (1. Spalte der Darstellung) wird ausschließlich von d.3 server vergeben. Sie haben keinen Einfluss auf die Nummerierung.

d.3 bietet die Möglichkeit der AdHoc-Vererbung von Dokumenten. Für die Umsetzung werden Dokumentklassen auf das entsprechende Dokument erstellt. Da diese Dokumentklassen nur temporär existieren, werden diese in den normalen Dialogen nicht präsentiert. In der Gesamtübersicht werden diese jedoch speziell gekennzeichnet dargestellt.

Weitere Informationen finden Sie auch im Kapitel d.3  inherit rights manager.

Über den Button Verwendung auf der Übersicht der Dokumentklassen können Sie bei einer gesetzten Auswahl im Filter sehen, in welchen Berechtigungsprofilen diese Dokumentklasse Verwendung findet.

Ein Berechtigungsprofil ist eine Zusammenfassung von Dokumentklassen und den Rechten darauf und kann einem oder mehreren Benutzer(n), aber auch Gruppen direkt für die Rechtevergabe zugeordnet werden.

Im d.3 Projekt wird für jeden Aufgabenbereich (Abteilungen, Zuständigkeiten, etc) erarbeitet, auf welche Dokumente/Akten die Mitarbeiter Zugriff haben müssen, damit sie in ihren Aufgabenbereichen gemäß der Stellenbeschreibung die nötigen Dokumente verfügbar haben.

Ein Berechtigungsprofil kann nun als Gegenstück im d.3 eingerichtet werden, sodass später das Berechtigungsprofil nur noch den Mitarbeitern der Abteilungen zugewiesen werden muss, z.B. "Auszubildender Einkauf" oder "Vertrieb Länderbüro Südeuropa".

Angenommen, in Ihrem Unternehmen existieren die Dokumentarten "Lieferschein", "Bestellung" und "Rechnung". Ihre Mitarbeiter im Einkauf sollen lesenden Zugriff auf diese Dokumentarten erhalten. Sie könnten nun für jede dieser drei Dokumentarten eine Dokumentklasse mit der Berechtigung zum Lesen erstellen.

Abschließend werden jedem Benutzer aus dem Einkauf diese drei Dokumentklassen zugeordnet (direkte Benutzer - Klassenzuordnung). Jetzt kann es vorkommen, dass einige Wochen später eine neue Dokumentart in Ihrem Unternehmen benötigt wird, und zwar die Dokumentart "Mahnbescheid". Sie müssten nun wieder eine Dokumentklasse für den Zugriff auf die Dokumentart "Mahnbescheid" anlegen und diese Dokumentklasse allen Benutzern aus dem Einkauf zuweisen. Das wäre recht zeitaufwändig.

Die bessere Vorgehensweise ist die Verwendung eines Berechtigungsprofils. Auch bei der Verwendung eines Berechtigungsprofils müssen Sie die Dokumentklassen für die drei erstgenannten Dokumentarten anlegen. Dann wird jedoch ein Berechtigungsprofil angelegt, welche diese drei Dokumentklassen enthält. Anschließend wird allen Benutzern aus dem Einkauf dieses Berechtigungsprofil zugewiesen (Benutzer - Berechtigungsprofil-Zuordnung). Wenn jetzt nach vier Wochen die neue Dokumentart "Mahnbescheid" angelegt wird, reicht es aus, die zugehörige Dokumentklasse in das zuvor angelegte Berechtigungsprofil mit aufzunehmen.

Beim Erstellen eines Berechtigungsprofils besteht nach der Benennung der erste Schritt darin, die entsprechenden Dokumentklassen auszuwählen. Die Anzahl der Dokumentklassen, die in einem Berechtigungsprofil enthalten sein können, ist nicht beschränkt.

Aus der Liste der verfügbaren Dokumentklassen wählen Sie diejenigen aus, die für das Berechtigungsprofil bestimmt sind.

Da in den ausgewählten Dokumentklassen auch Dokumentart unabhängige enthalten sein können, haben Sie die Möglichkeit, diese übergreifende Restriktion nur auf dieses Profil zu beziehen.

Hintergrund ist die Tatsache, dass bei einer solchen übergreifenden Dokumentklasse die Datenbanktabelle nur entlang einer Datenbankspalte ausgewertet wird. Wird diese Datenbankspalte aber in anderen Dokumentarten für andere Werte genutzt, würde eine falsche Interpretation erfolgen.

Das kann z.B. gegeben sein, wenn Sie Mitarbeitern mehrere Profile zuordnen. Die Dokumentart unabhängige Klasse würde über alle in den Profilen enthaltenen Dokumentklassen als "Schablone" gelegt.

Hier lässt sich die Vielfalt der Möglichkeiten der Rechtevergabe einsehen. Sie sind z.B. in der Lage, über Profile bzw. Dokumentklassen Benutzern das Erstellen von Notizen oder Redlining-Elementen zu verbieten oder den manuellen Wechsel in den Status "Archiv" nicht zu erlauben.

Die Schaltflächen unterhalb der Rechteübersicht haben folgende Funktion:

Recht erteilen: Die Berechtigung wird grundsätzlich für das ausgewählte Recht vergeben.

Recht verweigern: Die Berechtigung wird grundsätzlich für das ausgewählte Recht nicht erteilt.

Recht ignorieren: Die Berechtigung wird an dieser Stelle weder erteilt noch verweigert. Das System prüft, ob die Berechtigung in einem anderen Berechtigungsprofil, welches dem Benutzer zugeordnet ist, erteilt wird. Ist dies nicht der Fall, gilt die Berechtigung als nicht erteilt.

Auf der rechten Seite können Sie auch mehrere Einträge auf einmal markieren. Alternativ können Sie die Berechtigungen auch per Tastenkombination setzen:

Über die Aktivitäten 

Über die Aktivitäten in d.3 erfährt der Anwender, wie der Lebenszyklus eines Dokuments oder eine Akte konkret aussieht. Alle Benutzerhandlungen und Ereignisse wie z.B. der Import eines neuen Dokuments, einer neuen Version, Eigenschaftsänderungen, Workflows oder neue Kommentare können nachvollzogen werden und sind in einem chronologischen Verlauf aufgeführt. Es ist ersichtlich, wann welche Aktivität durch welchen Benutzer oder das System stattgefunden haben. Hierdurch kann bspw. ein Projektleiter auf einen Blick erfahren, was ist letzter Zeit in einer bestimmten Projektakte passiert ist.

Der Aktivitätsstrom eines Dokuments oder einer Akte wird über eine HTML-Oberfläche angezeigt, die von d.3 server bereitgestellt wird. Der Anwender sieht dann auf einer Registerkarte der Detailansicht nun den Verlauf der Änderungen seines Dokuments oder in seiner Akte. Hierbei kann er zwischen zwei Detaillierungsgraden wählen: Kompakt bedeutet, es werden nur die wichtigsten Aktivitäten angezeigt, während bei Erweitert alle Aktivitäten angezeigt werden.

Zur Aktivierung der Anzeige ist eine entsprechende, gesonderte Rechtevergabe erforderlich:

Die Anzeige der Aktivitäten zu Dokumenten kann mittels des Dokumentklassenrechtes Lesen Aktivitäten gesteuert werden. Dies ist standardmäßig nicht aktiv und muss manuell im Berechtigungsprofil eingeschaltet werden. Falls die Funktion generell erwünscht ist, kann separat das Script set_activitystream_rights.jpl zum Setzen des Rechts genutzt werden, so dass bei bestehendem Leserecht auch der Aktivitätsstrom zum Dokument/zur Akte angezeigt werden.

Einrichten der HTTP-Schnittstelle 

d.3-Konfiguration 

Die HTTP-Schnittstelle von d.3 server ist im Standard aktiviert. Um diese komplett zu deaktivieren, kann in d.3 admin in der d.3-Konfiguration der Schalter ENABLE_HTTP auf Nein gesetzt werden. Dadurch können keine neuen Features genutzt werden, die diese Schnittstelle benötigen. Das betrifft aktuell:

Einrichtung des Reverse-Proxy 

d.3 server kommuniziert normalerweise über d.3 gateway mit den d.3-Anwendungen. Wenn die HTTP-Schnittstelle verwendet wird, dann verwendet d.3 gateway zusätzlich d.3 presentation server gateway als Reverse-Proxy. Die dazu notwendigen Schritte können den Hinweisen zur Inbetriebnahme am Ende des Setups der Version 8.0 entnommen werden.

Setzen der Berechtigung 

Im Standard hat kein Benutzer das Recht, die Aktivitäten zu sehen.

Einzelne Rechtevergabe 

Das Recht zur Anzeige der Aktivitäten heißt Lesen Aktivitäten. Es kann in d.3 admin in einem Berechtigungsprofil vergeben oder verweigert werden.

Globale Rechtevergabe 

Alternativ kann allen Benutzern, die Leseberechtigung auf ein Dokument haben, das Recht zum Lesen der Aktivitäten erteilt werden. Dazu kann das externe JPL-Skript set_activitystream_rights.jpl (zu finden im d.3-Installationsverzeichnis \d3\d3server.prg\ext_jpl) verwendet werden. Folgen Sie dazu den Anweisungen im Skript.

Einrichten der Home-Seite 

Auf der Home-Seite wird eine kundenspezifische Webseite sowie optional zwei Ansichten für Aktivitäten angezeigt. Über die Tabs Meine Aktivitäten und Alle Aktivitäten kann zwischen den verschiedenen Ansichten gewechselt werden.

Aktivieren der Aktivitäten-Ansicht 

Es gibt zwei Ansichten für Aktivitäten auf der Home-Seite

Aus Datenschutzgründen sind beide Ansichten im Standard deaktiviert. Um diese zu aktivieren, müssen in d.3 admin in der d.3-Konfiguration folgende Einstellungen vorgenommen werden.

Der Schalter DETAILVIEW_ENABLE_ACTIVITIES aktiviert die dokumentbezogenen Aktivitäten für alle Benutzer.

Aktivitäten-Ansicht in d.3 smart explorer 

Aktivitäten zeigt die letzten Aktivitäten des Benutzers oder auch im gesamten System an. Diese Anzeige ist standardmäßig durch oben gesetzte Schalter aktiv und kann über folgende Einstellung für bspw. bestimmte Gruppen deaktiviert werden:

d.3-Anwendungsprofil: d.3 admin > Systemeinstellungen > d.3 client config > d.3 smart explorer > Main Window > Activities (navigation) 

Aktivitätsverlauf eines Dokuments als Anwender verfolgen 

Im Fenster Verlauf werden alle Änderungen an einem Dokument als zeitlicher Verlauf dargestellt, bei Akten auch alle Änderungen innerhalb dieser.

Die Anzeige des Aktivitätsverlaufes zu Dokumenten kann mittels des Rechtes Lesen Aktivitäten zur Dokumentklasse gesteuert und wieder für einzelne Gruppen deaktiviert werden:

d.3-Anwendungsprofil: d.3 admin > Systemeinstellungen > d.3 client config > d.3 smart explorer > Main Window > Drop down menu > View > Activities 

Hinterlegen einer kundenspezifischen Webseite 

Im Installationsverzeichnis von d.3 server kann unter dem Ordner html/events/home eine kundenspezifische Webseite hinterlegt werden. Diese wird dann linksbündig auf der Home-Seite angezeigt. Im Standard ist hier ein Platzhalter hinterlegt. Die Webseite muss sich in der Datei welcome.html befinden. Ggf. referenzierte Dateien können in dem Ordner ebenfalls hinterlegt werden.

Sie können folgendermaßen eine neue Zuordnung erstellen:

Benutzerzuordnung

Wählen Sie alle Benutzer, Gruppen oder Tätigkeitsprofile für diese Zuordnung aus.

Über die vorangestellten Symbole kann man zwischen den folgenden Möglichkeiten unterscheiden:

• Benutzern

• Gruppen (ohne Postkorb)

• Gruppen (mit Postkorb)

• Tätigkeitsprofile (Lastverteilung)

Um bestehende Zuordnungen zu verändern, klicken Sie auf Bearbeiten.

Diese Änderungen beziehen sich jeweils nur auf den aktuell ausgewählten Benutzer.

Wollen Sie mehreren Benutzern zusätzliche Profile zuordnen, gehen Sie wie bei einer neuen Zuordnung von Profilen vor.

Wenn Sie auf diese Weise dem Benutzer "USER" die Berechtigungsprofile "Profil1" und "Profil2" zuweisen, dieser Benutzer jedoch zuvor schon in der Rolle "Profil3" war, dann sind dem Benutzer am Ende drei Berechtigungsprofile zugeordnet.

Es ist nicht möglich, mehreren Benutzern gleichzeitig Berechtigungsprofile zu entziehen.

Die Übersicht zeigt, welche Berechtigungsprofile welchem Benutzer bzw. welcher Gruppe zugeordnet sind.

Es wird eine Gesamtübersicht der Berechtigungsprofile und der zugehörigen Benutzer/Gruppen dargestellt.

Auch hier erfahren Sie über die vorangestellten Symbole den Typ der Zuordnung.

Benutzer

Postkorbversand ohne Lastverteiler

Postkorbversand über Lastverteiler

kein Postkorbversand, nur Gruppierung

Möchten Sie die Übersicht speichern, betätigen Sie den Speichern-Button oder verwenden Sie die Tastenkombination STRG+S.

Mit der d.3 Version 6.3 wird die AdHoc-Vererbung von Rechten auf Dokumente eingeführt. Dadurch entsteht eine differenzierte Möglichkeit der Rechtevergabe über Dokumentklassen.

Die sogenannten temporären, von d.3 server zugewiesenen Dokumentklassen, werden losgelöst von den permanenten, über d.3 admin zugewiesenen, unterschieden.

Unter den Permanenten Dokumentklassen sind die "normalen" Dokumentklassen aufgeführt. Unter den Temporären Dokumentklassen werden die aufgrund einer Vererbung zugewiesenen Dokumentklassen gelistet. Diese vererbten Dokumentklassen können vom d.3- Administrator NICHT manipuliert, z. B. die Berechtigungen verändert werden.

Wird der Benutzer "bearbeitet", werden die temporären Dokumentklassen in der Auswahlübersicht nicht gelistet.

Verfügt der Benutzer jedoch über geerbte Dokumentklassen, erhalten Sie einen entsprechenden Dialog.

Der d.3-Administrator hat hier die Möglichkeit, die durch Vererbung zugewiesenen Dokumentklassen zu entfernen.

Sie haben zwei Möglichkeiten einen Sub-Administrator zu ernennen:

Um einen bereits existierenden Benutzer als Sub-Administrator hinzuzufügen, gehen Sie folgendermaßen vor:

Die folgende Abbildung zeigt beispielhaft, dass ein Benutzer ein Leserecht für die Übersicht der Benutzer erhält, aber dort keine Änderungen vornehmen darf.

Unterhalb Berechtigungen | Sub-Administration finden Sie nun den vorher ausgewählten Benutzer in der Übersicht der Sub-Administratoren. Auch hier lassen sich noch Rechte zuweisen oder wieder entziehen.

In der Darstellung zum Rechtetyp Benutzer werden die erweiterten Berechtigungen (Policies) im rechten unteren Bereich präsentiert. Die Baumstruktur links besteht aus einem Hauptknoten und ggf. mehreren Unterknoten. Hier wählen Sie aus, für welche Ebene Ihnen die Policies dargestellt werden sollen. Zusätzliche Informationen erhalten Sie auch immer in der Statuszeile des Fensters.

Über die Ebene des Hauptknotens erhalten Sie die effektiven Rechte des Benutzers. Daher sind alle Berechtigungen im rechten unteren Bereich mit Ja oder Nein bestimmt. Ob die Verweigerung des Rechts (Nein) über die direkte Zuordnung Recht verweigert resultiert oder über ein durchgereichtes Recht ignoriert resultiert, kann man auf der Ebene der effektiven Rechte nicht ersehen. Markieren Sie allerdings einen Unterknoten, wobei Benutzer, Gruppe oder Organisationseinheit auswählbar sind, erhalten Sie die Rechte angezeigt, die auf dieser Ebene zugewiesen wurden.

Über die Auswahl im rechten, oberen Bereich können Sie die Darstellung weiter filtern.

Interessieren Sie sich für die Berechtigungen eines Benutzers bezogen auf Dokumentklassen, wählen Sie als Rechtetyp Dokumentklasse aus.

Im linken Fenster werden alle Dokumentklassen, die dem Benutzer zugeordnet sind, gelistet, im rechten oberen Fenster werden die Dokumentklassenrechte als Filter angeboten.

Allgemeine Rechte auf die Dokumentart

Wählen Sie eine Akten- oder Dokumentart aus, erhalten Sie zunächst eine Übersicht aller Dokument- und Aktenarten des ausgewählten Benutzers. Für die jeweils markierte Dokumentart erhalten Sie im unteren, rechten Fenster die allgemeinen Rechte angezeigt.

Anmerkung

Besonderheit: Die Rechte auf versteckte Eigenschaften ( Lesen versteckter Eigenschaften , Schreiben versteckter Eigenschaften ) werden hier unter dem Aspekt der Darstellung in d.3 smart explorer bzw. d.3 import angezeigt.

Damit ist gemeint, dass die Information geliefert wird, ob diese Felder in den Anwendungen verfügbar oder nicht verfügbar sind.

Effektive Rechte auf Dokumentklasse

Markieren Sie unterhalb des Baums zu einer Dokumentart eine Dokumentklasse, werden die effektiven Rechte der Dokumentklasse dargestellt.

Ja: Das Recht wurde erteilt.

Verweigert: Das Recht wurde verweigert.

Nein: Das Recht wurde ignoriert und es gilt standardmäßig Nein.

Zugewiesene Rechte über Benutzer, Gruppen oder Organisationseinheiten

Öffnen Sie in der linken Baumstruktur die unterste(n) Ebene(n) und wählen einen Eintrag aus.

Sie erhalten Sie die Rechte, die über dieses Element vergeben wurden.

Dabei bedeuten die Symbole und Beschriftungen:

direkte Zuordnung einer Dokumentklasse oder eines Berechtigungsprofils zum Benutzer.

Ob es sich um eine direkte Zuordnung einer Dokumentklasse oder eines Berechtigungsprofils handelt, ist in dieser Darstellung nicht zu erkennen. Vergeben Sie also immer aussagekräftige Bezeichnungen für Dokumentklassen und Berechtigungsprofile.

Zuordnung der Dokumentklasse über ein Profil (Bezeichnung bis zu Klammern).

Das Profil wurde über die Gruppe (Bezeichnung in Klammern) zugeordnet.

Der Typ der Gruppe (Lastverteilung, keine Lastverteilung, Gruppe ohne Postkorb) lässt sich nicht ablesen, hat aber für die Berechtigungen auch keine Bedeutung.

Berechtigung zu einem Dokument

Über die Eingabe einer Dokument-ID können Sie ermitteln, welche Berechtigungen der ausgewählte Mitarbeiter auf ein Dokument hat. Geben Sie hierfür im Feld Dokument-ID die konkrete Dokument-ID ein.

In der Darstellung wird zum einen die Dokumentart bzw. Aktenart fett hervorgehoben, zu der die Dokument-ID gehört, zum anderen wird in der Baumstruktur auch die Dokumentklasse hervorgehoben, über die der Mitarbeiter die Berechtigungen erhalten hat. Die konkreten Berechtigungen auf die Dokumentklasse bezogen lassen sich wie vorher beschrieben ansehen und filtern.

Die Eigenschaften des Dokuments lassen sich über die Drucktaste Eigenschaften abrufen.

Um eine neue Organisationseinheit anzulegen, gehen Sie folgendermaßen vor:

Im Dialog wird immer die übergeordnete Ebene angezeigt, sodass Sie noch einmal die Hierarchie kontrollieren können.

Anschließend wird die neue Ebene in der Baumstruktur angezeigt und Sie können nun Gruppen zuordnen.

Die Zuordnung von Gruppen zu einer Organisationseinheit erfolgt über Drag&Drop. "Greifen" Sie also die Gruppe im rechten Auswahlfenster mit der linken Maustaste und Sie ziehen diese auf die Organisationseinheit, zu der diese Gruppe gehören soll.

Für die Zuordnung ist es hilfreich, dass zur jeweils markierten Gruppe immer die Mitglieder im unteren rechten Fenster angezeigt werden.

Über Drag&Drop können Sie auch bereits erstellte Zuordnungen verändern. Ziehen Sie dann die Gruppe einfach in die andere Organisationseinheit.

Wollen Sie eine Zuordnung wieder löschen, z. B. eine Gruppe aus der Organisationseinheit entfernen, haben Sie folgende Möglichkeiten:

Markieren Sie die Gruppe und betätigen die Drucktaste Entfernen.

Oder:

Wählen Sie im Kontextmenü den Eintrag Entfernen aus.

Oder:

Ziehen Sie die Gruppe einfach wieder in das Auswahlfenster rechts, oben zurück.

Nach Bestätigung der Sicherheitsabfrage ist die Zuordnung gelöscht und die Gruppe wieder in der Auswahl verfügbar.

Sie haben die Möglichkeit, über das Kontextmenü eine Gruppe als Leitung der Organisationseinheit zu definieren.

Damit werden alle Mitglieder dieser Gruppe zu Leitern der Organisationseinheit. Dabei ist aber zu beachten, dass mindestens eine weitere Gruppe als Mitglied der Organisationseinheit angegeben wird. Dann können alle Mitglieder dieser Leitungsgruppe die Abwesenheitssteuerung übernehmen.

Alternativ können Sie natürlich für jede Gruppe die Leitung der Gruppe definieren (siehe hierzu Gruppe anlegen; Lastverteilung ).

Wenn Sie erfahren wollen, in welchen Organisationsebenen ein Mitarbeiter zu finden ist, wählen Sie in der Auswahlliste Benutzer einen Namen aus.

Anschließend werden alle Ebenen, in denen der Mitarbeiter enthalten ist, unterstrichen dargestellt.

Für die IDP-Unterstützung eines d.3-Systems muss d.ecs infrastructure setup mindestens in der Version 1.2.2 installiert sein.

In d.ecs http gateway muss das d.3-System als App d3 registriert sein.

Im d.3-Repository ist der Parameter ENABLE_HTTP standardmäßig aktiviert.

Über den d.3-Konfigurationsparameter AUTH_SYSTEM wird das Authentifizierungssystem für den Zugriff auf das d.3-System eingestellt. Stellen Sie hier den Wert des Parameters auf IDP. Sie finden diesen Parameter in d.3 config unter d.ecs infrastructure.

Zusätzlich müssen Sie noch über die Parameter DECS_SERVICE_USER und DECS_SERVICE_USER_PWD die Daten eines Service-Benutzer für den Zugriff auf IDP einstellen.

Speichern Sie anschließend die Konfiguration und beenden Sie d.3 admin. Starten Sie alle d.3-Prozesse in d.3 process manager neu, damit die neue Konfiguration wirksam wird. Starten Sie anschließend d.3 admin neu.

Sobald die Benutzersteuerung über die IDP-Verknüpfung aktiviert ist, ist der IDP das führende System gegen das Berechtigungen überprüft werden. Ist die IDP-Authentifizierung fehlgeschlagen und ist eine Anmeldung an IDP nicht möglich, prüft d.3, ob es sich um einen lokalen Benutzer handelt und führt gegebenenfalls damit die Anmeldung durch.

Theoretisch können sich alle Benutzer am d.3-System anmelden, die über IDP definiert sind und mit den IDP-Zuordnungen von d.3 ausgelesen werden. Dies ist aber nur möglich, wenn diesem auch über die Berechtigungszuweisung im d.3-IDP-Dialog entsprechende Berechtigungen zugeordnet wurden.

Mit der ersten Anmeldung wird ein d.3-Benutzer angelegt, der auch in d.3 admin gepflegt werden kann. Änderungen an dem zugehörigen d.3-Benutzer haben keine Auswirkungen, da IDP immer das führende System ist und die über den d.3-IDP-Dialog zugeordneten Berechtigungen jeweils neu eingelesen werden. Die Konfiguration bezüglich grundsätzlicher Berechtigungen (soweit möglich) muss im d.3-IDP-Dialog erfolgen.

Bei jeder d.3-Anmeldung werden die Daten an IDP übergeben. Die Anmeldung und das Kennwort werden über IDP verifiziert.

In Verbindung mit IDP sind Benutzer dem d.3-System erst bekannt, nachdem sie sich mindestens einmal angemeldet haben.

Folgende weitere Parameter können in diesem Zusammenhang zusätzlich gesetzt werden:

AUTH_SYSTEM_NEW_USER_ONLY_MODE: "Nur neue Benutzer" Modus für die Übernahme von Benutztern aus Fremdsystemen.

Wird dieser Modus aktiviert, so werden nur noch neue Benutzer aus Fremdsystemen nach d.3 übernommen, aber keine Änderungen mehr an bestehenden Benutzern vorgenommen. Dieser Modus kann genutzt werden, wenn die Benutzer per d.3 admin gepflegt und verändert werden sollen.

Die Änderungen werden nicht von der IDP-Schnittstelle übersteuert. Die per d.3-IDP-Dialog vorgenommenen Eigenschaften- und Rechtezuweisungen greifen hier nur für die initiale Übernahme eines externen Benutzers nach d.3.

Standardeinstellung = 0 (deaktiviert):

Alle Änderungen in der IDP-Konfiguration oder an den Daten im Directory Service werden nach d.3 übernommen.

AUTH_SYSTEM_SYNC_TIME: Zeitangabe für Synchronisierung aller Benutzer aus Fremdsystemen.

Wird hier eine Uhrzeit (Format: "hh:mm") angegeben, so wird jeden Tag zu dieser Zeit eine Synchronisierung der d.3-Benutzerverwaltung mit der über das IDP-Administrationsmodul konfigurierten IDP-d.3-Verbindungen durchgeführt.

Dabei werden neue Benutzer sowie geänderte Benutzereinstellungen vorhandener Benutzer nach d.3 übernommen.

Öffnen Sie den Dialog zur Erstellung und Verwaltung von IDP-Zuordnungen unter IDP-Unterstützung.

Die Zuordnung von IDP-Daten gliedert sich in die Bereiche Hinweise, Gruppen und Benutzer Informationen.

Alle Änderungen an den Daten, die Sie in diesem Dialog vornehmen, werden zunächst intern vorgemerkt. Erst wenn Sie auf Speichern klicken, werden die Daten zum Server übertragen und gültig.

Mit Neu laden können Sie die Daten erneut vom Server abrufen. Dabei gehen alle vorgemerkten, noch nicht gespeicherten Informationen verloren.

Aktivieren Sie die Option LDAP-IDP-Konvertierungsvorschläge, um Vorschläge zur Konvertierung der bisherigen LDAP-Konfiguration zu erhalten.

Bitte beachten Sie:

Web-Zugriff: Benutzer mit dieser Berechtigung können die Web-Recherche- und Import-Komponenten verwenden. Legt man einen neuen Benutzer an, muss dieses Recht explizit erteilt werden.

Workflow hochladen: Mit diesem Recht erhält ein Benutzer die Berechtigung, Leitwege zum Server hochzuladen. Bei deaktivierten erweiterten Berechtigungen haben noch alle Benutzer diese Berechtigung. Aktiviert man die erweiterten Rechte, haben die Benutzer nicht mehr dieses Recht. Ebenso muss man neu angelegten Benutzern diese Berechtigung explizit erteilen.

Workflow freigeben: Mit diesem Recht erhält ein Benutzer die Berechtigung, Leitwege freizugeben. Bei deaktivierten erweiterten Berechtigungen haben noch alle Benutzer diese Berechtigung. Aktiviert man die erweiterten Rechte, haben die Benutzer nicht mehr dieses Recht. Ebenso muss man neu angelegten Benutzern diese Berechtigung explizit erteilen.

Workflow deaktivieren: Mit diesem Recht erhält ein Benutzer die Berechtigung, Leitwege zu deaktivieren. Bei deaktivierten erweiterten Berechtigungen haben noch alle Benutzer diese Berechtigung. Aktiviert man die erweiterten Rechte, haben die Benutzer nicht mehr dieses Recht. Ebenso muss man neu angelegten Benutzern diese Berechtigung explizit erteilen.

Workflow beaufsichtigen: Mit diesem Recht erhält ein Benutzer die Berechtigung sich am d.3 flow inspector anzumelden und dort Workflows zu beaufsichtigen und zu administrieren. Dies beinhaltet das Recht Dokumente aus einem ausgewählten Workflow zu entfernen oder innerhalb des Workflows zu verschieben.

Anzeigen des Audit-Trails (alles): Mit diesem Recht erhält ein Benutzer die Berechtigung, alle Protokolle einsehen zu dürfen.

Postkörbe anderer Benutzer sichten: Hier wird bestimmt, wer Postkörbe anderer Benutzer einsehen darf. Voraussetzung hierfür ist die konfigurierte Organisationsstruktur, in der die Hierarchie festgelegt wurde. Beachten Sie auch die Konfiguration zu den Gruppen , in denen Sie die Vertreterregelungen festlegen können.

Zugriff auf JPL-Skripte: JPL-Skripte benutzerabhängig ausführen (für internen Gebrauch, Projekt bezogen)

Nicht vollständig signierte Dokumente freigeben: Auch wenn nicht alle Signaturen vorliegen, kann das Dokument dennoch freigegeben werden.

Ändern der E-Mail-Benachrichtigungen: Mit der Option E-Mail-Benachrichtigung in d.3 smart explorer können d.3-Anwender angeben, ob sie per E-Mail Benachrichtigungen für Nachrichten oder Workflowaufgaben erhalten möchten.

Als d.3-Administrator müssen Sie Folgendes tun, damit Ihre d.3-Anwender die Funktion E-Mail-Benachrichtigung nutzen können:

Kann Kennwort nicht ändern: Der Benutzer, dem dieses Recht zugewiesen wurde, kann sein Kennwort nicht ändern.

Kennwort läuft nie ab: Bei Erteilung des Rechts läuft das Kennwort des Benutzers niemals ab. Dieses Recht überschreibt die d.3-Server-Einstellung PASSWORT_EXPIRE_DAYS.

Dialoganmeldung: Der Benutzer bekommt das Recht, sich über d.3 login manager an einem d.3 -Repository anzumelden.

Im Folgenden werden die erweiterten Rechte des Benutzerkontos genauer erläutert.

Konto ist gesperrt: Ist diese Eigenschaft erteilt bzw. zugewiesen, kann der Benutzer keinen API-Call mehr absetzen. Der Benutzer ist aber immer noch im Repository „aktiv“ und wird z. B. in d.3 smart explorer in der Liste der Benutzer bei der Dokumentenversendung aufgeführt.

Die Sperre kann u.a. durch die Überschreitung der Anzahl erlaubter Anmeldeversuche aktiviert werden.

Konto ist deaktiviert: Ist diese Eigenschaft zugewiesen, kann der Benutzer keinen API-Call mehr absetzen. Der Benutzer ist im Archiv nicht mehr „aktiv“ und wird z.B. in d.3 smart explorer in der Liste der Benutzer bei der Dokumentenversendung nicht mehr aufgeführt. Ein Benutzer kann nur dann deaktiviert werden, wenn dieser keine Dokumente mehr in seiner Bearbeitung und in seinem Postkorb hat.

Konto ist ausgeblendet: Ist diese Eigenschaft erteilt bzw. zugewiesen, gilt für den Benutzer folgendes:

Administrator-Berechtigung: Der Benutzer erhält die Berechtigung, sich an d.3 admin anzumelden. Mit dieser Berechtigung hat der Benutzer die Möglichkeit, alle administrativen Tätigkeiten durchzuführen.

Service Benutzer: Diese Benutzer werden für Dienste angelegt, die sich an das d.3 anbinden müssen, z. B. d.3 abo service oder d.3 iTrieve server.

Folgendes gilt für den Benutzer:

Authentifizierung delegieren: Dieses Recht bewirkt, dass dieser Benutzer berechtigt ist, als Aufrufer einer Benutzeranmeldung dem übergebenen Benutzer zu vertrauen. Dieses Recht dient dazu, in Zusammenhang mit Diensten die selber bereits eine Benutzer-Authentifizierung durchführen und auf d.3 zugreifen, eine doppelte Authentifizierung und damit auch die Konfiguration von Vertrauensstellungen zwischen den Diensten zu ersparen.

Funktionsaufrufe delegieren: Ruft der Benutzer API-Funktionen auf, können diese unter einer anderen Benutzerkennung ausgeführt werden. Die Benutzerkennung wird dabei über den Importparameter vice_user bei jeder API-Funktion angegeben.

Sub-Administrator-Berechtigung: Der Benutzer erhält die Berechtigung, sich an d.3 admin anzumelden. Mit dieser Berechtigung hat der Benutzer die Möglichkeit, ausgewählte, administrative Tätigkeiten durchzuführen. Dafür muss der Benutzer jedoch von einem Administrator die erforderlichen Sub-Administrator-Berechtigungen erhalten.

Rechte vererben: Gibt einem Benutzer das Recht, beim Versenden eines Dokuments in den Postkorb eines anderen Benutzers das Recht auf das Dokument zu vererben, falls der Empfänger über Dokumentklassen kein Recht auf das Dokument hat.

Das Recht kann für die Dauer der Ablage im Postkorb oder zeitbezogen vergeben werden.

Der Dokumentation zu d.3 smart explorer entnehmen Sie weitere Informationen.

Mit dem d.3 smart explorer- PlugIn ist es auch möglich, komplette Aktenstrukturen zu vererben.

Priviligiert Löschen: Wird die "Privileged Delete"-Funktionalität eines Storagesystems unterstützt, kann dieses Recht zugeordnet werden.

Mit d.3 inherit rights manager können Sie eine Übersicht über vererbte Dokumente abrufen und bei Bedarf auch die Vererbung lösen, d.h. den Zugriff auf ausgewählte Dokumente zurücknehmen.

Unterhalb d.3 Administration können Sie noch gezielt für von Ihnen ausgewählte Benutzer Lese- und Schreibrechte auf die einzelnen Optionen und Funktionen in d.3 admin setzen.

Erweiterte Eigenschaften über Policies vergeben Sie nach Auswahl des Rechts an Benutzer, Gruppen oder Organisationseinheiten.

Über Filtermöglichkeiten können Sie die Liste der Adressaten bequem reduzieren.

Für die ausgewählten Einträge können Sie anschließend die Rechte vergeben, wobei Sie immer daran denken müssen, dass auch hier die Standardeinstellung (Recht ignoriert) einem "Nein" entspricht, wenn in der Summe aller Zuordnungen ein explizites "Ja" nicht erteilt ist.

Nutzen Sie hierfür die Buttons Zuweisen, Entziehen, Ignorieren oder das Kontextmenü.

Ein einmal festgelegtes "Nein" lässt sich auch hier, genau wie bei den Dokumentklassen, nicht mehr mit einem "Ja" übersteuern.

Denken Sie ferner daran, dass Sie hier Rechte sowohl auf Benutzer, als auch auf Gruppen bzw. Organisationseinheiten-Ebene vergeben können und Sie ggf. Rechte implizit vergeben.

Planen Sie also die Vergabe der Policies gründlich und dokumentieren Sie diese.

Mit dem d.3 Administrations Plugin Berechtigungsanalyse können Sie sich immer einen Überblick über die effektiv vergebenen Rechte verschaffen. Das ersetzt allerdings niemals die gründliche Planung.

Mit dem Einsatz der Berechtigungsmengen können viele Einzelwerte für eine Dokumentklasse als Werteliste hinterlegt werden.

Hier können verschiedene Wertekombinationen gesammelt werden und über das Makro @D3SET in der Definition der Restriktion zugeordnet werden. Der Vorteil liegt in der Reduzierung von Hook-Funktionen für die Berechtigungssteuerung, die immer dann nötig wurden, wenn sich die Restriktion für eine Eigenschaft aus verschiedenen Werten ergab, z. B. Auflistungen von Standorten, Filialen, oder verschiedene Datumswerte.

Der Begriff der Berechtigungsmenge charakterisiert folgendes:

Die Verwendung des bisherigen Berechtigungskonzeptes (bis d.3 Version 6.1) stieß immer wieder an gewisse Grenzen.

Vielfach war die Erstellung von Dokumentklassen zu umständlich oder es wurden zur Flexibilisierung Hook-Funktionen eingesetzt, die bei der Ermittlung von Berechtigungen sehr rechenintensiv sein können.

Mit Hilfe von Berechtigungsmengen ist folgendes ab der d.3 Version 6.2 ermöglicht worden:

Nachfolgend finden Sie ein paar Anwendungsbeispiele.

Die Berechtigungsmengen werden in Form von Dokumenten in der Dokumentart $Restrictionset$ gespeichert. Dadurch wird ein einfacher Aufbau eines Berechtigungskonzepts für die Bearbeitung von Mengen ermöglicht, da über Dokumentklassen und Berechtigungsprofile Rechte auf diese Dokumente vergeben werden können.

Eine Auflistung der Mengen im System wird in der Datenbank gehalten, wobei dort zusätzlich, sprachabhängig, noch ein beschreibender Text zu der Menge abgelegt ist.

Bei den Restriktionsmengen gibt es keine Versionierung in Form der Nutzdateien (da es keine Nutzdateien gibt), sondern nur seitens der Eigenschaften, die in der Eigenschaftshistorie oder im Audit-Trail eingesehen werden können.

Betrachten Sie diese angelegte Menge als Container für Werte gegen die später zur Laufzeit der Eigenschaftswert geprüft werden soll.

Diese angelegten Mengen können nun in der Dokumentklassendefinition über das Makro @D3SET (im Beispiel: PLZ 48000 - 49000) genutzt werden.

Werte der Menge zuordnen

Im rechten Bereich Mengen-Zuordnungen kann über den Button Anlegen eine Zuordnung erstellt werden.

Zugeordnet: Hier ordnen Sie den Filter, also die Menge der erlaubten und nicht erlaubten Werte, einer der gelisteten Ebenen zu. Je nach Zuordnungsebene wird diese Berechtigungsmenge nur in die Ermittlung der realen Berechtigung einfließen, wenn der Benutzer:

• in der Gruppe oder

• in der Organisationseinheit Mitglied ist oder

• ihm der Filter direkt zugeordnet wurde.

Wählen Sie den Punkt Keine Zuordnung, wenn Sie die Kriterien allgemein - als Basiswerte - nutzen wollen.

Filter: Hier sammeln Sie alle erlaubten oder nicht erlaubten Werte. Für die Auflistung stehen Ihnen die von Ihnen zu definierenden Sonderzeichen (siehe Kapitel  d.3-Retrieval-Verhalten) zur Verfügung.

Sie können eine Negation immer über das intern vergebene Zeichen "!" erstellen. Da erst zur Laufzeit eine Liste aller Vergleichs-Werte ermittelt wird, ist die Positionierung des negierten Eintrags freigestellt. Es gilt aber: ein negierter Wert lässt sich nicht durch mehrere positive Zuordnungen übersteuern.

Sie können die Ausdrücke zeilenweise erfassen oder das von Ihnen definierte ODER-Zeichen nutzen. Insgesamt können Sie 150.000 Zeichen für Ihre Filterkriterien nutzen.

Erst mit der Zuordnung der Klasse (implizit zum Benutzer oder explizit über ein Berechtigungsprofil) wird die konkrete Berechtigung festgelegt. Die tatsächliche Berechtigung hängt also entscheidend davon ab, in welcher Gruppe oder Organisationseinheit ein Mitarbeiter enthalten ist, oder ob eine Werteauflistung einem Benutzer direkt zugeordnet wurde.

Mit der d.3 Version 6.3 von d.3 server können Restriktionsmengen auch über den Hostimport erstellt werden.

Konfiguration

Mit dem Parameter D3SET_IMPORT_PATH wird ein Verzeichnis für den Hostimport-Prozess definiert, aus dem die Mengen-Definitions-Dateien eingelesen werden. Dieser Parameter kann über d.3 config in d.3 admin gesetzt werden. Als Dateierweiterung für solche Filter-Dateien wird dabei automatisch TXT verwendet.

Bereitstellung der Import-Dateien

Wie bei einem normalen Hostimport-Ablauf werden auch hier eine JPL-Datei und eine Nutzdatei benötigt. Die Nutzdatei bekommt dabei die Dateierweiterung TXT (siehe oben).

Folgende Parameter sind in der JPL-Datei zu setzen:

set_name

enthält dabei den Kurznamen der Restriktionsmenge und ist ein Pflichtparameter

set_object

enthält das Objekt, dem die Mengenfilter zugeordnet werden sollen. Dabei kann folgendes angegeben werden:

Der Parameter kann auf Leerstring gesetzt werden oder auch weggelassen werden. In diesem Fall wird eine Menge ohne direkte Objektzuordnung erstellt bzw. geändert.

Die TXT-Datei enthält die Filterkriterien, die entweder durch ein „;“ voneinander getrennt werden oder jeweils in einer neuen Zeile stehen.

Die erstellten Restriktionsmengen können von berechtigten Personen administriert werden, d.h. es können Werte hinzugefügt oder gelöscht/korrigiert werden. Dies kann z. B. eine Aufgabe eines Abteilungsleiters oder Bereichsleiters sein, der die Aufgaben eines Mitarbeiters oder einer Gruppe kurzzeitig, bzw. auch langfristig anpassen möchte. Eine Restriktionsmenge kann grundsätzlich auch leer angelegt und erst vom Verantwortlichen mit konkreten Einträgen den Aufgaben entsprechend versorgt werden.

Für diese Tätigkeit ist eine Dokumentklasse mit entsprechenden Zuordnungen und Rechten zu erstellen.

Über den d.3-Konfigurationsparameter WATERMARK_SUPPORT kann die allgemeine Unterstützung für die Anzeige mit Wasserzeichen aktiviert werden.

Man findet diesen Parameter in d.3 config unter Sonstige Parameter.

Mit dem Aktivieren des Parameters können Sie Benutzern mittels des Dokumentklassenrechtes "Anzeige mit Wasserzeichen" die Eigenschaft zuweisen, dass diese Benutzer nur Dokumente mit Wasserzeichen anschauen dürfen.

Wenn bei der Rechteprüfung für den Benutzer festgestellt wird, dass das Recht "Anzeigen mit Wasserzeichen" erteilt ist und die Datei, die zur Anzeige gebracht werden soll, eine PDF-Datei ist (Nutzdatei ist PDF oder abhängige Datei ist P1), wird bei der Anforderung der Datei über das d.3 gateway eine Routine zur Aufbringung von Wasserzeichen durchlaufen.

Dabei werden alle Dokumentklassen ermittelt, die das Dokument treffen. Daraus folgt dann eine Liste der Wasserzeichen, die diesen Dokumentklassen zugeordnet sind.

Wenn keine Wasserzeichen-Zuordnung gefunden wurde, werden automatisch 2 Standard-Wasserzeichen generiert, so dass immer sichergestellt ist, dass ein Wasserzeichen aufgetragen wird.

Nach der Aufbringung der Wasserzeichen wird die generierte Datei in einem temporären Bereich des d.3-Dokumentenbaumes abgelegt und bereitgestellt. Diese Datei ist für 15 Minuten gültig. Wenn also ein weiterer Download des Dokumentes innerhalb von 15 Minuten nach der Generierung stattfinden soll, kann das Dokument direkt bereitgestellt werden. Ansonsten wird die Wasserzeichen-Generierung erneut ausgeführt.

Der Master-Async löscht automatisch die temporären Wasserzeichen-Datei, die in den letzten 5 Tagen erzeugt wurden.

Folgende Einschränkungen sind in d.3 mobile im Offline-Bereich bei der Nutzung von Dokumenten mit Wasserzeichen zu beachten:

Workaround in der d.3 mobile App:

Um für diese Dokumente im Offline-Bereich ein aktuelles Wasserzeichen zu erhalten, ist es notwendig das Dokument aus dem Offline-Bereich zu entfernen und wieder hinzuzufügen.

Dazu kann wie folgt vorgegangen werden:

Öffnen Sie den Dialog zur Erstellung und Verwaltung von Wasserzeichen über die Auswahl des Plugins Wasserzeichen.

Wasserzeichen erstellen

Um ein neues Wasserzeichen zu erstellen, betätigen Sie die Schaltfläche Neu in der Übersicht.

Allgemeine Einstellungen  

Über die Kategorie Allgemein werden Grundeinstellungen des Wasserzeichens festgelegt. Diese Kategorie öffnet sich automatisch, wenn Neu gedrückt wurde.

Geben Sie einen Namen zum Wasserzeichen ein. Diese Information hat nur administrativen Charakter und wird außerhalb von d.3 admin nicht angezeigt. Der Name kann maximal 50 Zeichen lang sein.

Im Text-Feld müssen die Bestandteile des Textes für die Anzeige des Wasserzeichens definiert werden.

Dabei wird die Open-Source Template Sprache "Liquid" unterstützt. Näheres dazu kann man den Seiten https://shopify.github.io/liquid/  oder https://github.com/shopify/liquid/wiki/Liquid-for-Designers entnehmen. Es können auch Eigenschaften des d.3-Dokumentes oder des d.3-Benutzers in den Text aufgenommen werden. Diese Eigenschaften müssen innerhalb der Zeichenkette {{...}} eingetragen werden.

Mögliche Eigenschaften für ein Dokument sind:

Eigenschaft	Beschreibung	Syntax
doc_id	Dokument-ID	{{doc.doc_id}}
number	Dokumentnummer	{{doc.number}}
current_status	aktueller Status des Dokumentes	{{doc.current_status}}
file_id_current_vers	aktuelle Dateiversion des Dokumentes	{{doc.file_id_current_vers}}
current_version_id	aktuelle Versionsnummer des Dokumentes	{{doc.current_version_id}}
editor	Bearbeiter des Dokumentes	{{doc.editor}}
field[...]	Eigenschaftsfelder 1-59 und 70-89	{{doc.field[15]}}
field[6.][...]	Mehrfacheigenschaftsfelder 60-69	{{doc.field[60][15]}}

Mögliche Eigenschaften für einen Benutzer sind:

Eigenschaft	Beschreibung	Syntax
id	Benutzerkennung in d.3	{{user.id}}
long_name	Anmeldename in d.3	{{user.long_name}}
name	vollständiger Name des Benutzers	{{user.name}}
plant	Abteilung	{{user.plant}}
department	Organisation	{{user.department}}
opt_field[...]	optionales Feld des Benutzers	{{user.opt_field[1]}}

Beispiele:

{{doc.field[1]}} zeigt den Wert des d.3-Dokumentes aus dem Eigenschaftsfeld an der Datenbank-Position 1 an.

{{user.name}} zeigt den vollständigen Namen des d.3-Benutzers an.

Mit Aktivierung der Option Fallback-Wasserzeichen können Sie einstellen, dass dieses Wasserzeichen dann angezeigt wird, wenn für das Dokument kein anderes Wasserzeichen ermittelt werden konnte.

Bei Aktivierung der Option Wasserzeichen immer anzeigen wird dieses Wasserzeichen in jedem Fall verrechnet und zur Anzeige gebracht, auch wenn schon andere Wasserzeichen auf das Dokument aufgebracht werden.

Textoptionen 

In der Kategorie Textoptionen tätigen Sie Einstellungen zum Wasserzeichentext:

Folgende Optionen stehen dabei zur Verfügung:

Farbe: Hiermit wird die Farbe des Wasserzeichens festgelegt. Folgende Farben sind möglich:

• 0: Schwarz

• 1: Rot

• 2: Grün

• 3: Blau

Deckkraft: Hiermit wird die Deckkraft bzw. Transparenz des Wasserzeichens festgelegt. Die Angabe erfolgt in Prozent. Je höher der Wert, desto kräftiger wird das Wasserzeichen dargestellt. Der Wert 0 führt dann zu einer transparenten und der Wert 100 zu einer deckenden Darstellung.

Skalierung: Hiermit wird die prozentuale Größe des Wasserzeichens im Verhältnis zur Seite gesteuert. Mit dem Wert 100 erstreckt sich das Wasserzeichen über die gesamte Breite bzw. Länge des Dokumentes.

Ausrichtung 

In der Kategorie Ausrichtung positionieren Sie den Text des Wasserzeichens.

Über Position legen Sie die horizontale und vertikale Position des Textes fest. Dabei stehen 9 Ankerpunkte zur Verfügung.

Über die horizontale Position gelten folgende Regeln:

• Links: Der Text beginnt am linken Rand des Dokuments.

• Mitte: Die Mitte des Textes befindet sich in der Mitte des Dokuments.

• Rechts: Der Text endet am rechten Rand des Dokuments.

Über die vertikale Position gelten folgende Regeln:

• Oben: Der Text beginnt oder endet am oberen Rand des Dokuments (abhängig von der konfigurierten Rotation).

• Mitte: Die Mitte des Textes befindet sich in der Mitte des Dokuments.

• Unten: Der Text beginnt oder endet am unteren Rand des Dokuments (abhängig von der konfigurierten Rotation).

In der Sektion Verschiebung wird die Position des Wasserzeichens prozentual zur Seitenbreite bzw. Seitenhöhe festgelegt.

Horizontal: Dieser Parameter legt die horizontale Verschiebung der Position des Wasserzeichens prozentual zur Seitenbreite fest.

Mit einem negativen Wert wird die Position nach links und mit einem positiven Wert nach rechts verschoben.

Anmerkung

Negative Werte können den Text oder Teile des Textes nach links, positive Werte nach rechts aus dem Dokument herausrücken!

Vertikal: Dieser Parameter legt die vertikale Verschiebung der Position des Wasserzeichens prozentual zur Seitenhöhe fest.

Mit einem negativen Wert wird die Position nach oben und mit einem positiven Wert nach unten verschoben.

Anmerkung

Negative Werte können den Text oder Teile des Textes nach oben, positive Werte nach unten aus dem Dokument herausrücken!

Über Rotation wird die Drehung des Wasserzeichens gegen den Uhrzeigersinn gesteuert. Die Angabe erfolgt in Grad. Mit dem Wert 0 erscheint das Wasserzeichen waagerecht, mit dem Wert 90 senkrecht.

Dokumentklassen  

In der Kategorie Dokumentklassen legen Sie fest, für welche Dokumentklassen das Wasserzeichen angezeigt werden soll. Näheres dazu können Sie dem Kapitel  Anzeige von Dokumenten mit Wasserzeichen entnehmen.

Die Übersicht zeigt die ausgewählten Dokumentklassen an.

Über Hinzufügen können neue Dokumentklassen ausgewählt oder bestehende entfernt werden. Folgendes Fenster erscheint dabei:

Über Entfernen können Dokumentklassen auch direkt abgewählt werden. Dabei ist eine Mehrfachauswahl möglich.

Änderungen übernehmen oder zurücksetzen 

Wenn Änderungen vorgenommen wurden, werden automatisch die Knöpfe Übernehmen und Zurücksetzen freigegeben.

Mit Übernehmen werden die Änderungen gesichert aber noch nicht zum d.3-Server gesendet. In der Übersicht erscheint der Name des Wasserzeichen in kursiv und fett, wenn ein bestehendes Wasserzeichen geändert wurde und in fett, wenn ein Wasserzeichen neu erstellt wurde.

Mit Zurücksetzen werden die Änderungen rückgängig gemacht und auf den Stand vom Start des Plugins bzw. auf den Stand nach der letzten Speicherung der Änderungen gebracht.

Änderungen speichern 

Um alle Änderungen an den Wasserzeichen dauerhaft zu sichern, betätigt man die Schaltfläche Speichern.

Vorschau

Um Einstellungen an Wasserzeichen besser prüfen zu können, können Sie die Vorschaufunktion des Plugins nutzen.

Diese befindet sich im oberen rechten Bereich des Plugins und kann mittels der Schaltfläche Vorschau verwendet werden. Die Vorschau kann nur dann verwendet werden, wenn Sie ein Wasserzeichen in der Übersicht ausgewählt haben.

Die Vorschau kann nur für im d.3-System befindliche Dokumente ausgeführt werden. Suchen Sie sich also zunächst PDF-Dokumente mittels der Dokument-ID aus dem d.3-System aus, an denen Sie die Wasserzeichen ausprobieren wollen.

Die d.3-Dokument-ID muss in das Feld Dokument eingegeben werden.

Im Feld Benutzer tragen Sie die ID eines d.3-Benutzers ein, in dessen Namen Sie das Wasserzeichen verrechnen wollen.

Über das Optionsfeld Simulation können Sie zusätzlich zum ausgewählten Wasserzeichen noch die schon im d.3-System gespeicherten Wasserzeichen mit verrechnen lassen. Dabei werden die Dokumentklassen des angegebenen d.3-Dokumentes ermittelt und die diesen zugeordneten Wasserzeichen eingerechnet.

Durch betätigen des Knopfes Vorschau wird eine Anfrage zur Erstellung des Vorschaudokumentes zum d.3-Server gesendet und nach erfolgreicher Verarbeitung das Dokument heruntergeladen und im Vorschaubereich angezeigt.

Im Vorschaufenster können Sie das Dokument vergrößern, im Dokument blättern oder das Dokument auf Vollbild vergrößern.