Hi,

Historie:

Alle ausgeschiedenen Mitarbeiter wurden in der Nuko und im Mitarbeiterstamm als "inaktiv" gesetzt, um im Rechnungsbuch, Aktivitätenprotokoll usw. keine Verweise auf fehlende Daten zu produzieren.

In der Domäne werden nur aktive Mitarbeiter gehalten.

Frage 1: Dürfen ausgeschiedene Mitarbeiter einfach aus der Benutzerverwaltung gelöscht werden, oder hat das an irgendwelchen Stellen Konsequenzen?

lt. DATEV dürfen in der Nuko und in der Benutzerverwaltung Benutzer gelöscht werden. Lediglich in der Mitarbeiterverwaltung NICHT, denn diese Informationen werden für Auswertungen im EO genutzt.

Die Testkonten werden wir wohl auch nicht mehr weiter nutzen können. Nur noch in Verbindung mit zugehörigen AD-Konten. Diese AD-Konten haben wir aber sowieso, um mit diesen auch Windows-Rechte/-auswirkungen testen zu können. Die Nuko-Rechte können dann leider nicht mehr "im Flug (Nuko abmelden/anmelden)" getestet werden. Es muß eine komplette Anmeldung am TS incl. AD-Konto erfolgen.

Die Windows-Unannehmlichkeiten versuchen wir mit GPOs zu umschiffen. In den meisten Fällen funktioniert das auch ohne Probleme.

Grüße

Chr.Ockenfels

lt. DATEV dürfen in der Nuko und in der Benutzerverwaltung Benutzer gelöscht werden. Lediglich in der Mitarbeiterverwaltung NICHT, denn diese Informationen werden für Auswertungen im EO genutzt.

Das stimmt so. Ich war bei dem Punkt selber unsicher und habe nachgefragt gehabt. Im Grunde einmal komplett aufgeräumt und dann die Umstellung gemacht, allerdings bisher nur im Pilot-System.

wir haben schon lange umgestellt und es gefällt mir ganz gut bzw würde es wg diverser sachen auch empfehlen.

die o.a. "probleme" erfordern nur ein umdenken und sind keine ernsthaften probleme. ich kenne auch kein benutzerpasswort.

Ein großes "Umdenken" scheint mir folgendes zu sein:

Bis heute gab es zwei Kompetenzen:

1. DATEV: Hier gibt es eine eigene "Nutzungskontrolle" und wenn der Admin diese korrekt konfiguriert hat, dann liegt es allein im Verantwortungsbereich des Anwenders, wie er mitt seinem selber gewählten Passwort umgeht.

2, Windows incl. Domäne & Email.

Hier gelten weniger strenge Richtlinien und auch Kollegen haben ihre Passwärter untereinander ausgetauscht, so daß schnell eine Urlaubsvertretung in die Emails schauen kann.

Heute wird die DATEV- Aufgabe komplett auf den Kanzlei- Admin bzw. den hausinternen Datenschutzbeauftragten  umgelagert. (Haftungstechnisches Problem bei Verstößen)

Was würde denn ein Verantwortlicher sagen, wenn ein Bankenlogin an die Windows- Anmeldung verknüpft wäre?

Wir starten unser Windows und anschließend erwarte ich bei Software mit hochsensiblen Daten ein separates Login um Fremden die Nutzung dieser Software zu verwehren.

Insbesondere auch deswegen, da der Installationsmanager sich nicht scheut, sich vollautomatisch mit Admin Rechten an den Arbeitsstationen anzumelden.

Hier gibt es z.B. einen Einzelarbeitsplatz, der eingeschaltet ist und der auch einmal von Schülern genutzt wird. Es kann einfach nicht sein, daß die DATEV- Daten nach dem Win- Login immer offen sind, auch dann, wenn überhaupt nicht mit diesen Daten gearbeitet werden soll. Wer meldet sich denn täglich bei seinem online- Bankkonto ein, wenn er z.B. Urlaubsfotos bearbeiten möchte?

dann erstellt man einen winlogin ohne datev und einen mit datev.

Mail-Vertretungen kann man idR über Exchange oder diverse andere Programme selbst einrichten, ohne Passwörter kennen zu müssen.

Hausinterne Datenschutzbeauftragte gibt es nicht so viele, da es meistens im Interessenskonflikt steht.

Das mit dem Instman versteh ich nicht.. der Desktop wird doch gesperrt (kann man zumindest einstellen).

der willkommensscreen mit den datenschutzeinstellungen kann auch auf adminebene gemacht werden.

standardapps einstellen können auch die kollegen selbst machen (kleine anleitung mit ggfs. etwas nachschulung).

technische tests mach ich mit meinem persönlichen login. wenn es da funktioniert, funktioniert es in der regel auch bei den kollegen. wobei ich dfü und sonstiges nie teste. ich starte da meistens nur dap, ein dokument aus dms und vlt noch rewe und lohn.

Beim Instman kann man vieles einstellen, aber nicht alles funktioniert so, wie es soll.
z.B. mußte bei einigen PCs ein manuelles Login erfolgen, um den Updatemanager anzustoßen. Dann blieb auf einem PC die Installation hängen, so daß er den kompletten Samstag (= Putzfirmen- Termin) eingeloggt herumstand.

Mail- Vertretung über Exchange einrichten, usw. ist natürlich bekannt.

Nur wer weiß, was in den Büros letztlich genutzt wird?

Da wird der Urlauber- PC eingeschaltet, da es schon immer so gemacht wurde.

Mehrere Win- Logins pro Person?

Dann doch lieber eine NuKo beim Programmstart, eine Pin beim Starten der Banksoftware und das Kennwort beim Starten von Outlook bzw. dem Smartcard- Zugriff..

ob man da oder da was eingibt ..

ich logge mich bei sowas per rdp ein.. da bleibt alles gesperrt.

letzten endes ist es nur ein umdenken und etwas schulen.

Abkündigung Nuko:

Ein DATEV-Mitarbeiter hat es mir so dargestellt:

Der mittelfristige Plan ist es, die verschiedenen Benutzerkonten (Identitäten) zusammenzuführen bzw. zu verknüpfen (AD/SC/SmartLogin/Nuko/o.ä.).

Wenn dass dann erfolgt ist und die einzelnen DATEV-Anwendungen auf die RZ-Webservices umgestellt werden können (derzeit SEPA und LEXinform), wäre in der Buchhaltung das Zenario denkbar, dass die gesteckte SC incl. PIN-Eingabe zur Anzeige der digitalen Belege in UO nicht mehr notwendig ist, da ein durchgängiges Login vom AD-Konto bis zu DUO möglich ist.

Wenn ich an die immer wieder auftretenden Lesefehler von SCs denke, ein deutlicher Vorteil.

Grüße

Chr.Ockenfels

Hallo,

momentan nutzen wir noch die Nutzungskontrolle. Die einzelnen PC (auch Kanzleiinhaber) werden per Autologin als User gestartet, so dass alle Nutzer bis auf das Einloggen per Nutzungskontrolle von irgendwelchen anderen Passwörtern oder Logins verschont bleiben.

In diesem Szenario kann der Kanzleiinhaber-PC ebenfalls als Arbeitsstation durch Mitarbeiter genutzt werden, da ja nur der eingeschränkte NuKo-Login bekannt ist. Mit der Umstellung auf die neue Benutzerverwaltung und der damit verbundenen Verknüpfung des Windows-Users an den DATEV-Benutzer ist ein Autologin doch hinfällig? Oder gibt es dafür eine Alternative?

(Hintergrund dabei ist, dass die restlichen Mitarbeiter inkl. Inhaber computertechnisch nicht besonders beschlagen sind und sich ein verändertes Nutzerverhalten nur sehr schwer durchsetzen kann. Abweichungen vom Gewohnten lösen in aller Regel Panikattacken aus.)

ein autologin ist hinfällig. allerdings gibt man einmal einen user und passwort ein und ist damit dann auch durch (ausser smartcard).

autologin und damit unkontrollierter zugang zum kanzleinetzwerk ist auch nicht zu empfehlen.

das mit den panikattacken kenne ich..

geht aber gefühlt fast jedem admin in einer kanzlei so .

die reader tauscht man dann aus und gut ist. wir haben seit jahren 16-17 reader im

umlauf und einer ist bisher defekt gegangen. gut.. habe seitdem einen auf reserve.

kurze Rückfrage zu 1): können ausgeschiedene Mitarbeiter auch in Bezug auf "ihre" DMS Dokumente aus der NUKO gelöscht werden? Bleiben DMS Dokumente davon unberührt (also steht dann z.B. immer noch als Erlediger oder (damals) Zuständiger der ausgeschiedene Mitarbeiter?)

sollte so sein, da dms erst einmal ein fremdprodukt ist und mit der nuko nichts zu tun hat. ich deaktiviere derzeit noch einfach das windowskonto. löschen kann ich später irgendwann immer noch.

Besten Dank. Ja, so habe ich mir das auch vorgestellt, war mir aber nicht sicher.

Wie es dann im DMS mit der Benutzerverwaltung und ausgeschiedenen Mitarbeitern aussieht --> andere Baustelle, anderer Thread, bei Gelegenheit.

warum zwei nuko-kennungen? haben wir in 15?! jahren nuko noch nie genutzt..

Hi,

"Hier gibt es z.B. einen Einzelarbeitsplatz, der eingeschaltet ist und der auch einmal von Schülern genutzt wird. Es kann einfach nicht sein, daß die DATEV- Daten nach dem Win- Login immer offen sind, auch dann, wenn überhaupt nicht mit diesen Daten gearbeitet werden soll. Wer meldet sich denn täglich bei seinem online- Bankkonto ein, wenn er z.B. Urlaubsfotos bearbeiten möchte?"

Ich meine, mir ist´s als Techniker egal, ich muss damit nicht arbeiten - aber ich empfinde es als "Schwachsinn in Potenz" und das Beispiel Banking Software gekoppelt ans Windows AD bringt es bestens auf den Punkt!

Ferner: Ich habe auch mehrere Kanzlei-Kunden wo ein und der selbe Mitarbeiter zwei NuKo-Kennungen (bei natürlich nur einem Windows-Account) besitzt was ja absolut sinnvoll sein kann.

dann liegt es aber an den Banken, wenn keine vernünftige Rechteverwaltung möglich ist, die ich über AD oder eine verknüpfte Benutzerverwaltung steuern kann.

Bis jetzt ist mir zudem keine Bankingsoftware bekannt, in der nicht ein extra Login notwendig ist. Insofern ist es egal ob ein Windows mit Wem auch immer angemeldet ist. Insofern stellt sich das Problem nicht und der Vergleich ist für den Papierkorb.

Und was die Rechte auf dem "Schüler-PC" angeht: Wenn hindert es denn daran eben für dieses AD-Konto in der Rechteverwaltung alles zu sperren? Gerade mit dem Freigabeprinzip kann ich für die Schüler/Praktikanten schnell und einfach eine Rechteorga aufstellen, so dass diese nur die "Musterholz GmbH" sehen und nutzen können. Fertig.

Und welche Notwendigkeit gibt es für zwei Nuko-Anmeldungen? Ich kenne seit 25 Jahren DATEV-Nutzung keine sinnvolle... Wenn ein Mitarbeiter mit den Daten arbeiten soll, warum soll er sich abmelden und dann wieder anmelden? Um irgendwelche Loginprotokolle zu füttern?

Ich denke, dass wir in der DATEV-Mitgliedschaft nicht alle von der neuen BRV überzeugen können, ich persönlich finde sie gut und richtig. Bei der fast monatlichen Mitarbeiteranlage hilft sie ungemein, nicht immer wieder die gleichen persönlichen Daten in die diversen Authorisierungsmechanismen reinzutippen.

Grüße

Chr.Ockenfels

Nachtrag: So richtig glücklich wäre ich, wenn ich die komplette BRV im AD abbilden könnte... mit allen Vorzügen (Gruppen in Gruppen, u.s.w.)... das wird aber wohl nie kommen...

Hi,

dann wird es höchste Zeit dem Kollegen die Kombi [WIN]+[L] beizubringen... Bei WTS [STRG]+[ALT]+[ENDE]...

Von gespalteten Persönlichkeiten halte ich nichts. Auch wenn ich es für mich manchmal wünschen würde....

Grüße

Chr.Ockenfels

da gäbe es in dem fall auch zwei ad-konten,  wenn das mit dem sperren den ma überfordert. ich muss idr mehrmals am tag an die "interne" buchhaltung und es wäre für mich absolut nicht praktikabel, da mit 2 nuko-kennungen zu arbeiten.

Vielleicht interessiert das Jemand.... Umgebung: EO Comfort/DMS

Anfrage an Datev:

"Sehr geehrte Damen und Herren,

vor der Umstellung auf die neue Rechte- Benutzerverwaltung, muss ich etwas aufräumen. Wir setzen EO Comfort und DMS ein.

Nach den mir vorliegenden Infos, können

- in der NUKO und der BENUTZERVERWALTUNG die inaktiven Mitarbeiter gelöscht werden.

- In der MITARBEITERVEWALTUNG müssen diese erhalten bleiben, wegen Bezug auf EO.

- DMS hat eine eigene Benutzerverwaltung und ist von der Umstellung nicht betroffen.

Ist dies alles korrekt?"

Antwort:

alle Ihre Fragen, zur Umstellung auf die Benutzer- und Rechteverwaltung, kann ich mit Ja bzw. korrekt beantworten.