# Gruppen- und Berechtigungskonzept
Es ist sinnvoll, Funktionen und Berechtigungen in Gruppen zusammenzufassen.
Um die unterschiedlichen Bereiche im Repository mit unterschiedlichen Berechtigungen zu versehen, bietet es sich an, hierfür spezifische Bereichsgruppen zu bilden. Im folgenden Beispiel wird erläutert, wie so eine Vergabe der Rechte über Gruppen und UND-Gruppen aufgestellt werden könnte.
# Vergabe der Rechte über Gruppen
Die Firma Mustermann besteht aus den Abteilungen Personal, Produktion und Logistik. Für die verschiedenen Abteilungen sind unterschiedliche Berechtigungen im Repository vorgesehen.
Die Zugehörigkeit zu den verschiedenen Bereichen im Repository regelt auch die Berechtigungen auf die im Repository befindlichen Dokumente. In unserem Beispiel dürfen die Mitglieder der Abteilung Personal auf alle Dokumente im Bereich Personal zugreifen, die Mitglieder der Abteilung Produktion auf den Bereich Produktion und die Mitglieder der Abteilung Logistik auf den Bereich Logistik. Daher werden die Gruppen auch entsprechend der Firmenbereiche angelegt.
Die Gruppen, über die die Benutzerrechte vergeben werden, auch als Rollengruppen bezeichnet, werden mit den Gruppen der Abteilungszugehörigkeit kombiniert.
Die Benutzerrechte sollten immer an Gruppen geknüpft werden, nicht an den einzelnen Benutzer. Die Rechtevergabe kann somit einfach und transparent erfolgen, überwacht und verwaltet werden.
In der Gruppe ELO_StandardUsers in unserer Beispielfirma haben wir folgende Mitglieder:
In der Rollengruppe Abteilung Personal haben wir folgende Mitglieder. Nur diese werden im Bereich Personal auf Dokumente zugreifen können.
# Verwendung von UND-Gruppen
Das nachfolgende Schaubild soll die Berechtigungsvergabe innerhalb der Personalabteilung verdeutlichen.
Nun können wir die Berechtigungen auf Dokumente und Ordner im Bereich Personal mittels einer UND-Gruppe bestimmen: So gelten die Berechtigungen für die Mitglieder, die sowohl in der Gruppe Abteilung Personal als auch in der Gruppe ELO_StandardUsers sind (in diesem Beispiel Lena Adler und Angie Althaus).
So kann man beispielsweise bei einem Personaldokument bestimmen, dass alle Mitglieder der Abteilung Personal das Dokument sehen können.
Um sicherzustellen, dass nur die ELO_StandardUsers in der Gruppe Abteilung Personal Vollzugriff auf dieses Dokument haben, bilden wir eine UND-Gruppe. Eine UND-Gruppe bildet die Schnittmenge der ausgewählten Gruppen.
In diesem Beispiel haben die Mitglieder der UND-Gruppe Vollzugriff auf dieses Dokument. ELO zeigt an, um welche Personen es sich in diesem Beispiel handelt.
# Vergabe der Berechtigungen über Masken
Um sicherzustellen, dass die Personaldokumente nur von berechtigten Personen bearbeitet werden können, empfiehlt es sich, diese Berechtigungen über die Maske zu definieren und nicht bei den einzelnen Einträgen im Repository.