Einschränkungen vom Hauptadministrator - DATEV-Community

TomBe1 · ‎26.04.2024

Hallo in die Runde,

ich habe eine Frage zur Rechteverwaltung in Datev.

Ich soll bei uns intern die Mitarbeiterverwaltung/Benutzeranlage und Rechteverwaltung in Datev übernehmen, um die Geschäftsführung zu entlasten. Benutzer- und Rechteadministrator bin ich schon, jedoch habe ich keinen Zugriff auf die Mitarbeiterverwaltung.

Nach meinem Kenntnisstand benötige ich dafür die Position des Hauptadministrators um auf die Mitarbeiterverwaltung zugreifen zu können. Allerdings soll ich keinen Zugriff auf unsere Firmen-Fibu und die Lohnabrechnung erhalten. Diesen Zugriff kann ich mir als Hauptadministrator aber jederzeit selbst geben.

Kennt jemand eine Möglichkeit, wie auch für den Hauptadministrator Bestände in Kanzlei REWE gesperrt werden können, auch wenn sich dies eigentlich mit der Administratorposition ausschließt?

Gegebenenfalls gibt es auch eine andere Möglichkeit ohne die Stellung als Hauptadministrator?

Vielen Dank für Ihre Hilfe!

lukasklein · ‎26.04.2024

Hallo @TomBe1 ,

Es gibt Möglichkeiten der DATEV, die genau das berücksichtigen. Mein ehemaliger Arbeitgeber hatte die Kanzlei-FiBu unter einer eigenen Beraternummer, die mit einem Schutzkennwort versehen war. Hat den Vorteil, dass der Admin nicht reinkommt. Der Nachteil ist, dass nur die DATEV Nutzer dazu freischalten kann. Sollte es dort also Änderungen geben, muss man sich mit einem Formular an die DATEV wenden.

Die Lösung wäre also zunächst den Status Quo zu ermitteln. Sofern die Kanzlei-FiBu auf der Beraternummer liegt für die Sie Hauptadministrator werden sollen, wäre ohne eine Übertragung der Kanzlei-FiBu auf eine neue einzurichtende Beraternummer mit Schutzfunktion soweit ich weiß nichts zu machen.

VG

andrereissig · ‎26.04.2024

Hauptadministrator ist Hauptadministrator.

Ich finde so etwas seitens der Kanzleileitung immer etwas merkwürdig.

Entweder vertraue ich dem Mitarbeiter genug, um ihn zum Hauptadministrator zu machen. Dann traue ich ihm auch zu, das Kanzleilohnjournal nicht auf der nächsten Firmenfeier auszuhängen.

Oder ich traue mich nicht, ihm Zugriff auf alles zu geben, aber dann sollte ich ihn auch nicht zum Hauptadministrator machen, denn dieser Zugriff ermöglicht ihm schlimmeres, als nur man einen Blick auf die Lohnstruktur zu werfen.

Der Blick auf das Risiko ist da ein völlig falscher.

@lukasklein schrieb:
Hallo @TomBe1 ,

Es gibt Möglichkeiten der DATEV, die genau das berücksichtigen. Mein ehemaliger Arbeitgeber hatte die Kanzlei-FiBu unter einer eigenen Beraternummer, die mit einem Schutzkennwort versehen war. Hat den Vorteil, dass der Admin nicht reinkommt. Der Nachteil ist, dass nur die DATEV Nutzer dazu freischalten kann. Sollte es dort also Änderungen geben, muss man sich mit einem Formular an die DATEV wenden.

Nein, das bringt nichts. Dieses Schutzkennwort wirkt nur im RZ. Die lokalen Bestände kann der Hauptadmin unverändert sehen.

@lukasklein schrieb:
Hallo @TomBe1 ,
Beraternummer liegt für die Sie Hauptadministrator werden sollen, wäre ohne eine Übertragung der Kanzlei-FiBu auf eine neue einzurichtende Beraternummer mit Schutzfunktion soweit ich weiß nichts zu machen.

Nein, das würde nur für einen Standortadministrator funktionieren. Der Hauptadmin schaltet sich einfach selbst für die neue Beraternummer frei.

Live long and prosper!

TomBe1 · ‎26.04.2024

Hallo @lukasklein ,

vielen Dank für deine schneller Antwort.

An die Beraternummer mit Schutzkennwort hatten wir auch schon gedacht, ein Übertrag ist auch kein Problem.

Jedoch sind wir davon ausgegangen, dass sich dies Sperre nur auf die Umgebung im RZ also Datev Unternehmen Online bezieht und nicht auf unseren Server in welchem Datev mit den jeweiligen Beständen liegt. Kann dabei Datev auch die Benutzer für die Beraternummer auf "unserem" Server sperren?

Sofern dies möglich ist, wäre das eine Lösung.

Besten Gruß

andrereissig · ‎26.04.2024

@TomBe1 schrieb:
Jedoch sind wir davon ausgegangen, dass sich dies Sperre nur auf die Umgebung im RZ also Datev Unternehmen Online bezieht und nicht auf unseren Server in welchem Datev mit den jeweiligen Beständen liegt.

Korrekt. Das ist - wie oben erwähnt - keine Lösung.

@lukasklein : Lokalen Daten und RZ-Daten sind ein mächtiger Unterschied.

Die einzige Lösung wäre eine komplett neue, vom bisherigen System unabhängige Plattform, auf welcher Sie keinen Zugang haben.

Wenn das Vertrauen allerdings so gering ist, daß man zu dieser extrem aufwändigen Lösung greift, sollte die Kanzleileitung sich mal ganz andere Gedanken machen.

Live long and prosper!

lukasklein · ‎26.04.2024

@andrereissig ,

Allerbesten Dank fürs Aufklären! Das wusste ich nicht.

janm · ‎26.04.2024

Das lässt sich teilweise per DATEV connect und der IAM API lösen: Identity and Access Management – User Administration - DATEV Developer Portal | DATEV Developer Portal

Hier wäre eine Art "Middleware" denkbar, die die benötigten Infos abfragt/bekommt und dann den User anlegt.

Hier müsste dann aber die Kanzleileitung zumindest noch ran und den neu angelegten Benutzer mit einem RZ User verknüpfen. Das kann die IAM API leider nicht.

Eine andere Frage: Sind Windows-seitig administrative Berechtigungen auf den DATEV Systemen vorhanden? Dann ist der DATEV Hauptadministrator eh egal. 😉 Je nachdem wie das Active Directory aussieht, sind dann auch die fehlenden Windows-seitigen, administrativen Berechtigungen nur eine (sehr) kleine Hürde. 🙂