20 Antworten Neueste Antwort am 27.09.2017 12:10 von boomboom

    Abkündigung der Nuko / Rechteverwaltung

    Martin Kolberg Erfahrener

      Langsam kann das Thema: "Abkündigung der NuKo nicht länger ignoriert werden.

       

      Hier ist folgende Situation:

       

      Historie:

       

      Alle ausgeschiedenen Mitarbeiter wurden in der Nuko und im Mitarbeiterstamm als "inaktiv" gesetzt, um im Rechnungsbuch, Aktivitätenprotokoll usw. keine Verweise auf fehlende Daten zu produzieren.

       

      In der Domäne werden nur aktive Mitarbeiter gehalten.

       

      Frage 1: Dürfen ausgeschiedene Mitarbeiter einfach aus der Benutzerverwaltung gelöscht werden, oder hat das an irgendwelchen Stellen Konsequenzen?

       

      NuKo:

       

      Es gibt DATEV- Benutzer mit speziellen Rechten, für die kein Windows- Login eingerichtet ist:

      - Admin- Konto zur Pflege der NuKo bzw. für Spezialaufgaben, welches mit keiner Win- Anmeldung verknüpft ist.

      - Test- Konto zum Überprüfen der Gruppen- Rechte

      - Prüfer- Konto (Hier könnte ein Win- Login verknüpft werden)

       

      Frage 2: Was passiert mit dem Admin- Konto nach der Umstellung?

       

      Systempflege:

       

      Der Admin muß sich zur Systempflege unter Windows mit den Benutzernamen einloggen.

      Unter Windows gibt es im Prinzip keine relevanten Daten und der Zugriff auf DATEV ist heute durch die NuKo (vom Mitarbeiter vergebenem Passwort) sicher verwehrt....

      Nach der Umstellung kann der Admin mit dem User- Login keine DATEV- Anwendung mehr im eigenen Namen austesten, (DFÜ- Test, Rechnungsschreiben, Dokorg- Verknüpfungen, usw.)

      Ein Login des Admins ist leider nach jedem MS- Upgrade zwingend notwendig, um diverse Nacharbeiten durchzuführen (Standard- Apps reparieren, Willkommen- Screens durchlaufen zu lassen, usw.). Folglich sind die Mitarbeiter Passwörter dem Admin bekannt.

       

      Frage3: Gibt es hierfür Lösungsideen, um diese technischen Tests nicht im Namen des Mitarbeiters, sondern im Namen des Admins auszuführen.

       

      Allgemein: Wo findet sich eine gut dokumentierte Anlaitung zur Umstellung?

      Beinhaltet dieses Dokument alle Infos? https://www.datev.de/dnlexom/client/app/index.html#/document/0904181

       

      Danke für Feedbacks, Erfahrungen und Warnungen auf Probleme.

       

       

       

      -

        Alle Antworten
        • 1. Re: Abkündigung der Nuko / Rechteverwaltung
          chrisocki Aufsteiger

          Hi,


          Historie:

           

          Alle ausgeschiedenen Mitarbeiter wurden in der Nuko und im Mitarbeiterstamm als "inaktiv" gesetzt, um im Rechnungsbuch, Aktivitätenprotokoll usw. keine Verweise auf fehlende Daten zu produzieren.

           

          In der Domäne werden nur aktive Mitarbeiter gehalten.

           

          Frage 1: Dürfen ausgeschiedene Mitarbeiter einfach aus der Benutzerverwaltung gelöscht werden, oder hat das an irgendwelchen Stellen Konsequenzen?

           

           

          lt. DATEV dürfen in der Nuko und in der Benutzerverwaltung Benutzer gelöscht werden. Lediglich in der Mitarbeiterverwaltung NICHT, denn diese Informationen werden für Auswertungen im EO genutzt.

           

          Die Testkonten werden wir wohl auch nicht mehr weiter nutzen können. Nur noch in Verbindung mit zugehörigen AD-Konten. Diese AD-Konten haben wir aber sowieso, um mit diesen auch Windows-Rechte/-auswirkungen testen zu können. Die Nuko-Rechte können dann leider nicht mehr "im Flug (Nuko abmelden/anmelden)" getestet werden. Es muß eine komplette Anmeldung am TS incl. AD-Konto erfolgen.

           

          Die Windows-Unannehmlichkeiten versuchen wir mit GPOs zu umschiffen. In den meisten Fällen funktioniert das auch ohne Probleme.

           

          Grüße

          Chr.Ockenfels

          • 2. Re: Abkündigung der Nuko / Rechteverwaltung
            dombrowski Einsteiger

            lt. DATEV dürfen in der Nuko und in der Benutzerverwaltung Benutzer gelöscht werden. Lediglich in der Mitarbeiterverwaltung NICHT, denn diese Informationen werden für Auswertungen im EO genutzt.

            Das stimmt so. Ich war bei dem Punkt selber unsicher und habe nachgefragt gehabt. Im Grunde einmal komplett aufgeräumt und dann die Umstellung gemacht, allerdings bisher nur im Pilot-System.

            • 3. Re: Abkündigung der Nuko / Rechteverwaltung
              4you-computer Einsteiger

              Warum wird die Nuko überhaupt abgekündigt? Warum diese unglückliche Verkettung zwischen Betriebssystem und Anwendersoftware?

               

              Die Frage ist ist zwar hinfällig, da die Umstellung ja Fakt und beschlossen ist allerdings erkenne ich nun wirklich keinerlei Vorteil.

              • 4. Re: Abkündigung der Nuko / Rechteverwaltung
                boomboom Beginner

                wir haben schon lange umgestellt und es gefällt mir ganz gut bzw würde es wg diverser sachen auch empfehlen.

                 

                die o.a. "probleme" erfordern nur ein umdenken und sind keine ernsthaften probleme. ich kenne auch kein benutzerpasswort.

                • 5. Re: Abkündigung der Nuko / Rechteverwaltung
                  Martin Kolberg Erfahrener

                  Ein großes "Umdenken" scheint mir folgendes zu sein:

                  Bis heute gab es zwei Kompetenzen:

                   

                  1. DATEV: Hier gibt es eine eigene "Nutzungskontrolle" und wenn der Admin diese korrekt konfiguriert hat, dann liegt es allein im Verantwortungsbereich des Anwenders, wie er mitt seinem selber gewählten Passwort umgeht.

                   

                  2, Windows incl. Domäne & Email.

                  Hier gelten weniger strenge Richtlinien und auch Kollegen haben ihre Passwärter untereinander ausgetauscht, so daß schnell eine Urlaubsvertretung in die Emails schauen kann.

                   

                  Heute wird die DATEV- Aufgabe komplett auf den Kanzlei- Admin bzw. den hausinternen Datenschutzbeauftragten  umgelagert. (Haftungstechnisches Problem bei Verstößen)

                   

                  Was würde denn ein Verantwortlicher sagen, wenn ein Bankenlogin an die Windows- Anmeldung verknüpft wäre?

                   

                  Wir starten unser Windows und anschließend erwarte ich bei Software mit hochsensiblen Daten ein separates Login um Fremden die Nutzung dieser Software zu verwehren.

                   

                  Insbesondere auch deswegen, da der Installationsmanager sich nicht scheut, sich vollautomatisch mit Admin Rechten an den Arbeitsstationen anzumelden.

                   

                  Hier gibt es z.B. einen Einzelarbeitsplatz, der eingeschaltet ist und der auch einmal von Schülern genutzt wird. Es kann einfach nicht sein, daß die DATEV- Daten nach dem Win- Login immer offen sind, auch dann, wenn überhaupt nicht mit diesen Daten gearbeitet werden soll. Wer meldet sich denn täglich bei seinem online- Bankkonto ein, wenn er z.B. Urlaubsfotos bearbeiten möchte?

                  • 6. Re: Abkündigung der Nuko / Rechteverwaltung
                    boomboom Beginner

                    dann erstellt man einen winlogin ohne datev und einen mit datev.

                    Mail-Vertretungen kann man idR über Exchange oder diverse andere Programme selbst einrichten, ohne Passwörter kennen zu müssen.

                    Hausinterne Datenschutzbeauftragte gibt es nicht so viele, da es meistens im Interessenskonflikt steht.

                    Das mit dem Instman versteh ich nicht.. der Desktop wird doch gesperrt (kann man zumindest einstellen).

                    der willkommensscreen mit den datenschutzeinstellungen kann auch auf adminebene gemacht werden.

                    standardapps einstellen können auch die kollegen selbst machen (kleine anleitung mit ggfs. etwas nachschulung).

                    technische tests mach ich mit meinem persönlichen login. wenn es da funktioniert, funktioniert es in der regel auch bei den kollegen. wobei ich dfü und sonstiges nie teste. ich starte da meistens nur dap, ein dokument aus dms und vlt noch rewe und lohn.

                    Geändert am 26.09.17 um 06:32 Uhr
                    • 7. Re: Abkündigung der Nuko / Rechteverwaltung
                      Martin Kolberg Erfahrener

                      Beim Instman kann man vieles einstellen, aber nicht alles funktioniert so, wie es soll.
                      z.B. mußte bei einigen PCs ein manuelles Login erfolgen, um den Updatemanager anzustoßen. Dann blieb auf einem PC die Installation hängen, so daß er den kompletten Samstag (= Putzfirmen- Termin) eingeloggt herumstand.

                       

                      Mail- Vertretung über Exchange einrichten, usw. ist natürlich bekannt.

                      Nur wer weiß, was in den Büros letztlich genutzt wird?

                       

                      Da wird der Urlauber- PC eingeschaltet, da es schon immer so gemacht wurde.

                       

                      Mehrere Win- Logins pro Person?

                      Dann doch lieber eine NuKo beim Programmstart, eine Pin beim Starten der Banksoftware und das Kennwort beim Starten von Outlook bzw. dem Smartcard- Zugriff..

                      • 8. Re: Abkündigung der Nuko / Rechteverwaltung
                        boomboom Beginner

                        ob man da oder da was eingibt ..

                        ich logge mich bei sowas per rdp ein.. da bleibt alles gesperrt.

                        letzten endes ist es nur ein umdenken und etwas schulen.

                        • 9. Re: Abkündigung der Nuko / Rechteverwaltung
                          chrisocki Aufsteiger

                          Abkündigung Nuko:

                           

                          Ein DATEV-Mitarbeiter hat es mir so dargestellt:

                          Der mittelfristige Plan ist es, die verschiedenen Benutzerkonten (Identitäten) zusammenzuführen bzw. zu verknüpfen (AD/SC/SmartLogin/Nuko/o.ä.).

                          Wenn dass dann erfolgt ist und die einzelnen DATEV-Anwendungen auf die RZ-Webservices umgestellt werden können (derzeit SEPA und LEXinform), wäre in der Buchhaltung das Zenario denkbar, dass die gesteckte SC incl. PIN-Eingabe zur Anzeige der digitalen Belege in UO nicht mehr notwendig ist, da ein durchgängiges Login vom AD-Konto bis zu DUO möglich ist.

                           

                          Wenn ich an die immer wieder auftretenden Lesefehler von SCs denke, ein deutlicher Vorteil.

                           

                          Grüße

                          Chr.Ockenfels

                          • 10. Re: Abkündigung der Nuko / Rechteverwaltung
                            ulli.preuss Aufsteiger

                            Hallo,

                             

                            momentan nutzen wir noch die Nutzungskontrolle. Die einzelnen PC (auch Kanzleiinhaber) werden per Autologin als User gestartet, so dass alle Nutzer bis auf das Einloggen per Nutzungskontrolle von irgendwelchen anderen Passwörtern oder Logins verschont bleiben.

                             

                            In diesem Szenario kann der Kanzleiinhaber-PC ebenfalls als Arbeitsstation durch Mitarbeiter genutzt werden, da ja nur der eingeschränkte NuKo-Login bekannt ist. Mit der Umstellung auf die neue Benutzerverwaltung und der damit verbundenen Verknüpfung des Windows-Users an den DATEV-Benutzer ist ein Autologin doch hinfällig? Oder gibt es dafür eine Alternative?

                             

                            (Hintergrund dabei ist, dass die restlichen Mitarbeiter inkl. Inhaber computertechnisch nicht besonders beschlagen sind und sich ein verändertes Nutzerverhalten nur sehr schwer durchsetzen kann. Abweichungen vom Gewohnten lösen in aller Regel Panikattacken aus.)

                            • 11. Re: Abkündigung der Nuko / Rechteverwaltung
                              boomboom Beginner

                              ein autologin ist hinfällig. allerdings gibt man einmal einen user und passwort ein und ist damit dann auch durch (ausser smartcard).

                               

                              autologin und damit unkontrollierter zugang zum kanzleinetzwerk ist auch nicht zu empfehlen.

                               

                              das mit den panikattacken kenne ich..

                              geht aber gefühlt fast jedem admin in einer kanzlei so .

                               

                              die reader tauscht man dann aus und gut ist. wir haben seit jahren 16-17 reader im

                              umlauf und einer ist bisher defekt gegangen. gut.. habe seitdem einen auf reserve.

                              Geändert am 26.09.17 um 10:51 Uhr
                              • 12. Re: Abkündigung der Nuko / Rechteverwaltung
                                p.göldner Beginner

                                kurze Rückfrage zu 1): können ausgeschiedene Mitarbeiter auch in Bezug auf "ihre" DMS Dokumente aus der NUKO gelöscht werden? Bleiben DMS Dokumente davon unberührt (also steht dann z.B. immer noch als Erlediger oder (damals) Zuständiger der ausgeschiedene Mitarbeiter?)

                                • 13. Re: Abkündigung der Nuko / Rechteverwaltung
                                  boomboom Beginner

                                  sollte so sein, da dms erst einmal ein fremdprodukt ist und mit der nuko nichts zu tun hat. ich deaktiviere derzeit noch einfach das windowskonto. löschen kann ich später irgendwann immer noch.

                                  • 14. Re: Abkündigung der Nuko / Rechteverwaltung
                                    p.göldner Beginner

                                    Besten Dank. Ja, so habe ich mir das auch vorgestellt, war mir aber nicht sicher.

                                    Wie es dann im DMS mit der Benutzerverwaltung und ausgeschiedenen Mitarbeitern aussieht --> andere Baustelle, anderer Thread, bei Gelegenheit.

                                    • 15. Re: Abkündigung der Nuko / Rechteverwaltung
                                      4you-computer Einsteiger

                                      "Hier gibt es z.B. einen Einzelarbeitsplatz, der eingeschaltet ist und der auch einmal von Schülern genutzt wird. Es kann einfach nicht sein, daß die DATEV- Daten nach dem Win- Login immer offen sind, auch dann, wenn überhaupt nicht mit diesen Daten gearbeitet werden soll. Wer meldet sich denn täglich bei seinem online- Bankkonto ein, wenn er z.B. Urlaubsfotos bearbeiten möchte?"

                                       

                                      Ich meine, mir ist´s als Techniker egal, ich muss damit nicht arbeiten - aber ich empfinde es als "Schwachsinn in Potenz" und das Beispiel Banking Software gekoppelt ans Windows AD bringt es bestens auf den Punkt!

                                       

                                      Ferner: Ich habe auch mehrere Kanzlei-Kunden wo ein und der selbe Mitarbeiter zwei NuKo-Kennungen (bei natürlich nur einem Windows-Account) besitzt was ja absolut sinnvoll sein kann.

                                      • 16. Re: Abkündigung der Nuko / Rechteverwaltung
                                        boomboom Beginner

                                        warum zwei nuko-kennungen? haben wir in 15?! jahren nuko noch nie genutzt..

                                        • 17. Re: Abkündigung der Nuko / Rechteverwaltung
                                          chrisocki Aufsteiger

                                          Hi,

                                           

                                          "Hier gibt es z.B. einen Einzelarbeitsplatz, der eingeschaltet ist und der auch einmal von Schülern genutzt wird. Es kann einfach nicht sein, daß die DATEV- Daten nach dem Win- Login immer offen sind, auch dann, wenn überhaupt nicht mit diesen Daten gearbeitet werden soll. Wer meldet sich denn täglich bei seinem online- Bankkonto ein, wenn er z.B. Urlaubsfotos bearbeiten möchte?"

                                           

                                          Ich meine, mir ist´s als Techniker egal, ich muss damit nicht arbeiten - aber ich empfinde es als "Schwachsinn in Potenz" und das Beispiel Banking Software gekoppelt ans Windows AD bringt es bestens auf den Punkt!

                                           

                                          Ferner: Ich habe auch mehrere Kanzlei-Kunden wo ein und der selbe Mitarbeiter zwei NuKo-Kennungen (bei natürlich nur einem Windows-Account) besitzt was ja absolut sinnvoll sein kann.

                                          dann liegt es aber an den Banken, wenn keine vernünftige Rechteverwaltung möglich ist, die ich über AD oder eine verknüpfte Benutzerverwaltung steuern kann.

                                           

                                          Bis jetzt ist mir zudem keine Bankingsoftware bekannt, in der nicht ein extra Login notwendig ist. Insofern ist es egal ob ein Windows mit Wem auch immer angemeldet ist. Insofern stellt sich das Problem nicht und der Vergleich ist für den Papierkorb.

                                           

                                          Und was die Rechte auf dem "Schüler-PC" angeht: Wenn hindert es denn daran eben für dieses AD-Konto in der Rechteverwaltung alles zu sperren? Gerade mit dem Freigabeprinzip kann ich für die Schüler/Praktikanten schnell und einfach eine Rechteorga aufstellen, so dass diese nur die "Musterholz GmbH" sehen und nutzen können. Fertig.

                                           

                                          Und welche Notwendigkeit gibt es für zwei Nuko-Anmeldungen? Ich kenne seit 25 Jahren DATEV-Nutzung keine sinnvolle... Wenn ein Mitarbeiter mit den Daten arbeiten soll, warum soll er sich abmelden und dann wieder anmelden? Um irgendwelche Loginprotokolle zu füttern?

                                           

                                          Ich denke, dass wir in der DATEV-Mitgliedschaft nicht alle von der neuen BRV überzeugen können, ich persönlich finde sie gut und richtig. Bei der fast monatlichen Mitarbeiteranlage hilft sie ungemein, nicht immer wieder die gleichen persönlichen Daten in die diversen Authorisierungsmechanismen reinzutippen.

                                           

                                          Grüße

                                          Chr.Ockenfels

                                           

                                          Nachtrag: So richtig glücklich wäre ich, wenn ich die komplette BRV im AD abbilden könnte... mit allen Vorzügen (Gruppen in Gruppen, u.s.w.)... das wird aber wohl nie kommen...

                                          Geändert am 27.09.17 um 07:27 Uhr
                                          • 18. Re: Abkündigung der Nuko / Rechteverwaltung
                                            4you-computer Einsteiger

                                            Zu den zwei Nuko-Kennungen: Ich hab mir das nicht ausgedacht, dennoch sehe ich dieses Konstrukt in der Praxis wirklich öfters.

                                             

                                            Beispiel:

                                             

                                            1.) "Normale" Nuko-Kennung von Mitarbeiter "A" für seine tägliche Arbeit, im wesentlichen haben alle Mitarbeiter der Kanzlei die selben Rechte.

                                             

                                            2.) "Besondere" Nuko-Kennung vom selben Mitarbeiter "A" die er/sie nur für z.B. die interne, eigene Bürobuchhaltung nutzt

                                             

                                            Ist der Mitarbeiter mit der normalen Nuko-Kennung unterwegs, wird er seinen DATEV-Arbeitsplatz im Mehrplatzbüro beim kurzzeitigen Verlassen des Schreibtisches eher geöffnet lassen. Der Arbeitskollege vom Tisch nebenan kann wegen der gesetzten Sperren nichts "weggucken".

                                             

                                            Nutzt er die gesonderte Nuko-Kennung, wird er sich beim Verlassen des Schreibtisches von der Nuko wohl erst abmelden.

                                             

                                            Ob dieses Anwendungsverhalten "toll" ist, ist mir egal - wird aber tatsächlich so öfters genutzt.

                                            • 19. Re: Abkündigung der Nuko / Rechteverwaltung
                                              chrisocki Aufsteiger

                                              Hi,

                                               

                                              dann wird es höchste Zeit dem Kollegen die Kombi [WIN]+[L] beizubringen... Bei WTS [STRG]+[ALT]+[ENDE]...

                                               

                                              Von gespalteten Persönlichkeiten halte ich nichts. Auch wenn ich es für mich manchmal wünschen würde....

                                               

                                              Grüße

                                              Chr.Ockenfels

                                              1 von 1 Personen fanden dies hilfreich
                                              • 20. Re: Abkündigung der Nuko / Rechteverwaltung
                                                boomboom Beginner

                                                da gäbe es in dem fall auch zwei ad-konten,  wenn das mit dem sperren den ma überfordert. ich muss idr mehrmals am tag an die "interne" buchhaltung und es wäre für mich absolut nicht praktikabel, da mit 2 nuko-kennungen zu arbeiten.