9 Antworten Neueste Antwort am 16.02.2018 11:07 von chrisocki

    Umstellung NUKO -> Rechteverwaltung Detailierte Liste

    agmü Fortgeschrittener

      "Kurze" Frage in die Runde:

       

      hat jemand, oder kennt jemand eine detaillierte Aufstellung wie weitreichend welche Rechte gehen, bzw. wie weitreichend einzelne Freigaben sein müssen.

       

      Wir haben zwar die NUKO schon länger abgeschafft.  In der NUKO war jedoch das Sperrprinzip hinterlegt.  Wann immer ich nunmehr versuche, einzelne Komponenten für einzelne Mitarbeiter zu sperren, lande ich im Chaos.  So wollte ich z.B. den Zugriff auf die Mitarbeiterverwaltung sperren.  Nachdem ich alle - m.E. - hierfür erforderlichen Einträge gesperrt hatte, konnte der Mitarbeiter im Terminkalender keine Termine mehr erfassen.

       

      Der Versuch Berechtigungen im Bereich des Aktenkonto/Zahlungsverkehr zu beschränken war ähnlich desaströs, so dass ich die Rechte wieder freigegeben habe.

       

      eine ziemlich unbefriedigende Situation.  Allerdings habe ich bisher in der InfoDB noch kein Dokument gefunden, welches an dieser Stelle eine entsprechende Hilfestellung gibt. Für Trial and Error habe ich nicht den Nerv.

       

      Spätestens mit Ablauf des 31.05.2018, dem Ablaufen der Übergangsfrist der Datenschutzgrundverordnung, wird die Sache richtig heiter.

       

      Danke

       

      Andreas G. Müller

        Alle Antworten
        • 1. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
          jasminpfeifer DATEV-Mitarbeiter

          Hallo Herr Müller,

           

          in unserer Informationsdatenbank steht Ihnen ein Leitfaden für das Einrichten anwendungsspezifischer Freigaben in der Nutzungskontrolle/Rechteverwaltung zur Verfügung.

          Dieses Dokument bietet einen Überblick der Freigabe-Möglichkeiten in den verschiedenen DATEV-Programmen.

           

          Leitfaden Nutzungskontrolle/Rechteverwaltung: Einrichten anwendungsspezifischer Freigaben

           

           

          Viele Grüße aus Nürnberg

           

          Jasmin Pfeifer

          Service Betriebswirtschaftliche Basis

          DATEVeG

          • 2. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
            agmü Fortgeschrittener

            Hallo Fr. Pfeifer,

             

            zunächst Danke für den Hinweis auf das InfoDB-Dokument.  Ich werde mich in einer - nicht vorhandenen - ruhigen Minute mal mit dem InfoDB-Dokument im Detail beschäftigen. Nach dem ersten überschlägigen Blick, werde ich wieder beim Trial-and-Error-Verfahren landen.  Allerdings hätte ich mit diesem Dokument den SK 50012735 nicht verhindert.  Dieser und noch ein weiterer, den ich leider auf die Schnelle in der Masse der SK nicht finde, waren Anlass für meine Frage in die Community.

             

            Möglicherweise hängen die Schwierigkeiten auch damit zusammen, dass wir als eine der ersten Kanzleien schon sehr früh umgestellt haben und daher noch "Altlasten" mit uns führen.

             

            Dabei wäre es mein Wunschziel, dass die Benutzer- und Rechteverwaltung eine DSGVO-konforme Einrichtung der Arbeitsplätze/Mitarbeiterberechtigungen ermöglicht, ohne dass ich zuvor drei Präsenzseminare und zwei Onlineseminare und dann noch Dutzende von Handoutseiten gelesen habe.

             

             

            Schöne Grüße nach Nürnberg

             

            Andreas G. Müller

            • 3. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
              herz1farkt Neuling

              Hallo Andreas,

               

              Du kannst nach der Umstellung von Nuko auf Rechteverwaltung es einfach mit dem AD koppeln. Habe hier https://www.bios-tec.de/imu00947-umstellung-datev-nutzungskontrolle-nuko-zur-datev-rechteverwaltung/ eine kleine Anleitung zum Umzug gemacht. Ich hoffe es hilft Dir weiter.

               

              Viele Grüße

               

              Thomas

              • 4. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                agmü Fortgeschrittener

                Sehr geehrter Her Herzog,

                 

                Die Anleitung war für mich in meiner konkreten Situation wenig hilfreich, da ich bereits - gefühlt vor Ewigkeiten - auf die Benutzer- und Rechteverwaltung umgestellt habe. Allerdings habe ich bisher die "Feinsteuerung" der Rechte unterlassen.  Die Beschäftigung mit der DSVGO hat mich jedoch dazu gebracht, hier tiefer einzusteigen.

                 

                Meine Schwierigkeiten liegen weniger in der generellen Umstelleung als vielmehr in den Details; zum Beispiel:  was passiert, wenn ich den Zugriff auf das Aktenkonto sperre. Kann ich dann noch Zahlungsaufträge anlegen (aber eben nicht verbuchen)? Oder:  Bedeutet die Sperrung der Mandantennummer, dass ich dann auch nicht mehr mit den Mandanten arbeiten kann?

                 

                Dennoch Danke für den Hinweis.

                 

                mfg.

                 

                Andreas G. Müller

                • 5. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                  misc Einsteiger

                  Hallo Herr Müller,

                   

                  um sich bei der täglichen Arbeit von der einen oder anderen Tätigkeit nicht selbst auszuschließen, macht es Sinn, dass ein Rechte- und Rollenkonzept zu erstellt wird.

                   

                  Gliedern Sie dazu die anfallenden Arbeiten in Einzelschritte (hier einzelne Rechte) auf und fassen Sie diese dann in Gruppen (=Rollen) zusammen.

                  Beispiele:

                  a) Lohnbuchhaltung = jeder darf Mandanten-Lohn tätigen, aber nur eine Person zusätzlich den internen Lohn

                  b) FiBu = Aufteilung nach Typ (denkbar) oder VIPs

                  c) Zahlungen = Grenzen nach Betrag bzw. Workflow ("Bestellung-Sichtung-Zahlung")

                   

                  Das klingt anfangs umfangreich, ist es meist aber nicht wirklich. Es kommt auch darauf, ob in einem Workflow gearbeitet werden soll (z.B. Vorbereiten - Prüfen - Absenden/Buchen).

                  Es lässt sich so zum Beispiel eine Rolle "Azubi", "Praktikant oder "Prüfer" erstellen und bei Bedarf zuweisen.

                   

                  Damit hängt ein Recht nicht mehr an einer Person, sondern an einer Rolle, die dann von einer Personen eingenommen wird.

                   

                  Mit freundlichem Gruß

                  Michael Schreiner

                  • 6. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                    Martin KoIberg Fachmann

                    Sehr geehrter Herr Schreiner,

                     

                    Die Idee ist natürlich gut, aber es hapert an den zur Verfügung gestellten Werkzeugen mit ihren nicht konfigurierten Grundeinstellungen.

                     

                    Welche Grundeinstellungen bräuchten wir (kumulativ zuordenbar)

                     

                    Positionen der Kanzlei:

                    - Administrator

                    - Geschäftsleitung

                    - Sekretariat

                    - StB (Rewe, Lohn, Steuern, BiBer, Wirtschaftsprogramme usw.)
                    - Lohn / FiBu (wobei hier nicht getrennt wird)
                       - es muß einfach alles funktionieren, was die Mitarbeiter benötigen,
                         incl. schreibgeschützter Blick in diverse Programme.

                       - Administrative Dinge müssen aber gesperrt bleiben.

                    - Sozialversicherungsprüfer

                    - Betriebsprüfer

                    - online aufgeschaltete Mandanten (und da muß die Zugangskontrolle echt funktionieren...)
                      ohne daß man über Hintertürchen "Bestandsdienste, Adressaten, usw." irgend etwas einsehen oder gar exportieren könnte.

                     

                    Dann gäbe es noch "Mandantengruppen"

                    - Eigenmandat

                    - Privatmandate (nur für einzelne Mitarbeiter sichtbar)

                    - aktive Mandanten

                    - inaktive Mandanten

                    - Auswahl für BP

                     

                    zuletzt Filter:

                    - alle Jahre

                    - max 10 Jahre (Gerade bei Personalarchiven)

                    - max 3 Jahre (z.B. FiBu & Lohn)

                    - "Prüfungszeitraum" MMJJ - MMJJ

                     

                    Wenn es hier sinnvolle Vorbelegungen gäbe, die sich bei jedem DATEV- Update aktualisieren würden, ließe sich alles binnen 1/2 Stunde unfallfrei konfigurieren und man könnte sicher sein, daß alles OK ist. So bleibt aber "Jugend forscht" und man findet immer wieder Tricks, wie man auf Daten kommt, die eigentlich gesperrt sein sollten.

                    Geändert am 15.02.18 um 19:55 Uhr 1 von 1 Personen fanden dies hilfreich
                    • 7. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                      chrisocki Aufsteiger

                      Hi,

                       

                      wir haben zwar erst letztes Jahr auf die BRV umgestellt, aber seit es die Nuko-Freigabeprinzip gibt, diese installiert und uns damit "angefreundet".

                       

                      Leider gibt es bei dem Freigaben (auch unter der BRV) nicht alle Rechte. In der Konsequenz sind dann u.U. Funktionen gesperrt, die nicht gesperrt sein sollten...

                       

                      Beispiel: In der Fibu/OPOS-Schnittstelle EO comfort nach Rechnungswesen gibt es die Funktion "Buchungssatz ändern". Für die Funktion gibt es kein Sperr-/Freigaberecht. Im Sperrprinz konnte ein Mitarbeiter einen BS ändern. Im FP hiingegen gibt es das Recht nicht zur Freigabe und somit ist die Funktion für den MA nicht mehr erreichbar...

                       

                      Hier sind m.E. die einzelnen Anwendungsentwicklungen (Rewe/Lohn/etc.) bei DATEV gefordert der neuen BRV und dem Freigabeprinzip (FP) mehr Rechnung zu tragen. Aus Admin-Sicht kann es nur mit dem FP eine wirkungsvolle BRV geben. Dann müssen aber auch ordentliche Dokumentationen in die Info-DB, welche Rechte wo zu administrieren sind.

                      Für Admins wäre es z.B. mega, wenn mit einem "Maus-over" in einer Anwendung auch das passende Recht in einem Tooltip angezeigt würde...

                       

                      Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

                       

                      Grüße

                      Chr.Ockenfels

                      1 von 1 Personen fanden dies hilfreich
                      • 8. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                        misc Einsteiger

                        Hallo Herr Ockenfels,

                         

                        Danke für Ihren interessanten Hinweis. Zu folgendem Punkt:

                        ...

                        Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

                        Ich gehe davon aus, dass sich diese Rechte ("Mandantengruppen" - wahrscheinlich individuell ausgestaltet) je auf ein neu anzulegendes Mandat (evtl. gleicher Typ, quasi als Vorlagen-Profil) übertragen/kopieren ließen(?). Das wäre dann eine Lösung mit der man unter diesen Umständen/Möglichkeiten leben könnte.

                         

                        Gruß

                        Michael Schreiner

                        • 9. Re: Umstellung NUKO -> Rechteverwaltung Detailierte Liste
                          chrisocki Aufsteiger

                          Hallo Herr Schreiner,

                          ...

                          Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

                          Ich gehe davon aus, dass sich diese Rechte ("Mandantengruppen" - wahrscheinlich individuell ausgestaltet) je auf ein neu anzulegendes Mandat (evtl. gleicher Typ, quasi als Vorlagen-Profil) übertragen/kopieren ließen(?). Das wäre dann eine Lösung mit der man unter diesen Umständen/Möglichkeiten leben könnte.

                           

                           

                          Leider nein... Aber das Kopieren wäre eine nette Programmerweiterung....

                           

                          Wir haben als erstes in in einer Mandantengruppe die allgemeinen Mandate definiiert (Beispiel: 10.000 bis 10499 | 10501 bis 69999). Jedes Mandat (10500), welches dort nicht enthalten ist oder im späteren Verlauf "entfernt" wird, bekommt eine eigene Gruppe. D.h. neue Mandate innerhalb des "erlaubten" allgemeinen Bereichs sind allen Gruppenmitgliedern direkt zugäniglich. Wenn das bei einem neuen Mandat verhindert werden soll, muß der Freigabebereich entsprechend angepasst und eine neue Mandantengruppe hinzugefügt werden. Ist für Admins schon Aufwand, lässt sich aber nicht wirklich verhindern.

                           

                          Wenn die Nuko eine Funktion "Gruppen in Gruppen" hätte, wäre das deutlich einfacher...

                          Da wäre dann der Wunsch, dass für jedes neue Mandat direkt eine eigene Gruppe angelegt wird, diese wird dann in die allgemeine Mandatsgruppe Mitglied oder bestimmte Mitarbeiter würden entsprechend berechtigt. (Ein Traum...).

                           

                          Was uns hier auch noch fehlt, sind Komentarfelder, die auch lang genug sind. Rechtezeitfenster (wenn nur in einem bestimmten Zeitraum an diesem Mandat gearbeitet werden darf). u.s.w.

                           

                          Grüße

                          Chr.Ockenfels

                          1 von 1 Personen fanden dies hilfreich