Liebe Rechte-Gelehrte in der Community 😉 ,
... klingt trivial, ist vielleicht auch trivial, aber sicher nicht intuitiv zu lösen, jedenfalls nicht für mich
Frage:
wie kann ich einen "VIP"-Mandanten für alle Mitarbeiter "unsichtbar" machen außer für genau 1 Datev-Benutzer(in), der/die nicht Administrator(in) ist ?
... ja, ich weiß, dass es "Globale Sperren" gibt, aber dummerweise lassen sich die "Globalen Sperren" nicht bei allen Datev-Programmen anwenden.
... außerdem soll weder der Mandantenname noch die Mandantennummer irgendwo in der Datev-Umgebung auftauchen, nicht im Datev-Arbeitsplatz, nicht in der Mandantenübersicht, nicht in der Dokumentenablage, nicht in "Unternehmen Online", nicht in den Stammdaten, einfach nirgendwo ! ...
Dass der Datev-Administrator freien Zugriff hat, ist klar, aber ansonsten soll nur 1 Mitarbeiter(in) Zugriff haben.
... gibt es eine entscheidende Stelle, wo ich den 17er-Schlüssel ansetzen kann oder muss ich an x Schräubchen (oder "am Rad") drehen ?
Möglich ist das, jedoch gibt es genau zwei Stellen, an denen das eingestellt werden muss.
Einmal in der Rechteverwaltung im DATEV- Arbeitsplatz und dann nochmals in der Rechteverwaltung Online, die man im Unternehmen Online(duo.datev.de) findet.
Wenn an beiden Punkten die Rechte korrekt eingestellt sind, ist das VIP- Mandat nicht für normale User sichtbar.
@Willinger schrieb:
... Wenn an beiden Punkten die Rechte korrekt eingestellt sind, ist das VIP- Mandat nicht für normale User sichtbar...
... gut zu wissen, aber damit hatte ich schon irgendwie gerechnet ... 😁
Tipp: Mandanten-Nummernkreis für VIP planen / reservieren und diesen Nummernkreis nicht jedem per * freigeben.
... noch eine Info zum 'Background':
ich habe einige NUKO- und BRV-Erfahrung mit dem ...
... anwendungsspezifische Freigaben und Sperren sind mir eigentlich zu aufwändig und etwas 'suspekt' ...
... würde sie gerne vermeiden, falls möglich
... am liebsten wäre mir ein einzelner 'Handgriff', um einzelne "VIP"-Mandanten kanzleiweit zu schützen ("unsichtbar" zu machen) und nur ganz gezielt für einzelne Mitarbeiter freizugeben
... vielleicht geht ja was mit Hilfe von Gruppen
(wer sagt, dass eine einzelne Person keine Gruppe sein kann ? niemand 😁)
Hallo @vogtsburger
Ich finde den Vorschlag gut, aber ich denke die DATEV wird das frühestens nach 2030 umsetzen 🤣 . Die 8000 DATEV Mitarbeiter haben gerade etwas anderes zu tun. Kleiner Wink mit dem Zaunpfahl...
@Willinger hat dir die Antwort schon gegeben. Wenn du den Tipp mit dem expliziten Nummernkreis beherzigst, hast du einen gute logische Übersicht und kannst Gruppen für die Ordnungsbegriffe bzw. Mandantennummern bauen. Auch für zukünftige Drittprogramme, welche DATEVconnect nutzen empfiehlt sich das sehr. Ebenso sollte die Programmfreigaben von den Gruppen mit den Rechten für die Ordnungsbegriffen / Mandanten entkoppelt werden. Solltest du DMS classic nutzen, muss das hier natürlich auch gemacht werden. Meines Wissens ist hier jedoch für DMS classic eine andere Logik mit Zugriffslisten aktiv. Am besten nur den DATEV Arbeitsplatz für DMS Aktivitäten nutzen und DMS classic für die Anwender nicht freigeben...
Beispiel:
Mich würde persönlich mal interessieren, wie viele Ideen aus der Community tatsächlich mal in irgendwelche Roadmaps / Sprints oder gar in die Umsetzung übernommen werden. Stichwort Transparenz!
Moin moin,
also ich organisiere es folgendermaßen:
- grundsätzlich hat erstmal jeder für alles Freigaben. (Gruppe 1)
- dann gibt es eine Gruppe mit jeglichen Sperren ("VIP" in deinem Kontext) (Gruppe 2)
- Jeder Sonderrechtler wird statt mit Gruppe 2 einzeln administriert. Hierbei ist die Grundlage immer Gruppe 2 ./. des benötigten Sonderrechtes.
- Sollte es Sonderrechtler mit gleichen Rechten geben (z.B. Sekretariat) bekommen diese wieder eine Gruppe. (weicht auch nur 1 Recht ab -> keine Gruppe!!!)
In meinem Fall muss ich dann zwar noch bei jeder Rechteänderung 20 Gruppen/Sonderrechtler anpassen, aber besser 20 als 60! Und es sind auch alle zufrieden.
Von Einelpersonengruppen würde ich wg. der Übersichtlichkeit abraten; Sonderrechtler haben bei mir stattdessen eine abweichende Schreibweise im Benutzernamen.
Ich glaube anwendungsspezifische Sperren wirst du jedoch nicht umgehen können, wenn der VIP vollständig unsichtbar sein soll. Bsp. im Zahlungsverkehr\HBCI Benutzer anlegen lässt sich der "VIP" trotz Globalsperre blicken (auch wenn nicht bearbeiten) soweit hier eine Bankverbindung hinterlegt ist.
Wo sonst noch anwendungsspezifische Sperren nötig wären, kann ich auch nicht abschließend sagen.
Viel Erfolg!