Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
public:kolab:kolab-webadmin [2019/01/17 15:17]
jankow@datenkollektiv.net
public:kolab:kolab-webadmin [2020/03/16 13:52] (aktuell)
jankow@datenkollektiv.net [Gruppen und Rollen managen]
Zeile 5: Zeile 5:
 Die Kolab Groupware kommt mit einem zentralen Verwaltungs-Webinterface daher, mit dem (fast) alle Einstellungen für eine Domain vorgenommen werden können. Unter Die Kolab Groupware kommt mit einem zentralen Verwaltungs-Webinterface daher, mit dem (fast) alle Einstellungen für eine Domain vorgenommen werden können. Unter
  
-https://admin.datenkollektiv.net/+  * https://admin.datenkollektiv.net
 +bzw. für Administratoren einer ganzen E-Mail-Domain 
 +  * https://ldap.dknuser.de/kolab-webadmin/
  
 können sich alle User mit ihrer E-Mail-Adresse und ihrem Passwort einloggen. Dort können die verschiedenen Konfigurationen eingesehen werden. Zum Administrieren sind jedoch spezielle Rechte notwendig. Üblicherweise wird mindestens ein User der Domain über die entsprechenden Rechte verfügen (siehe auch [[#rollen|Rollen]]). können sich alle User mit ihrer E-Mail-Adresse und ihrem Passwort einloggen. Dort können die verschiedenen Konfigurationen eingesehen werden. Zum Administrieren sind jedoch spezielle Rechte notwendig. Üblicherweise wird mindestens ein User der Domain über die entsprechenden Rechte verfügen (siehe auch [[#rollen|Rollen]]).
Zeile 17: Zeile 19:
 Ein Grundsatz ist: Alles kann mit allen geteilt werden, egal ob es ein E-Mail-Ordner ist oder ein Kalender, ein Adressbuch, eine Dateiablage oder eine Aufgabenliste. Der technische Hintergrund: all diese Speicherplätze sind tatsächlich ebenfalls E-Mail-Ordner. Ein Grundsatz ist: Alles kann mit allen geteilt werden, egal ob es ein E-Mail-Ordner ist oder ein Kalender, ein Adressbuch, eine Dateiablage oder eine Aufgabenliste. Der technische Hintergrund: all diese Speicherplätze sind tatsächlich ebenfalls E-Mail-Ordner.
  
-In Imap-E-Mail-Umgebungen ((Imap ist ein E-Mail-Protokoll. Im Gegensatz zu dem auch bekannten Pop3 bedeutet es, dass alle E-Mails auf dem Server gespeichert werden. Die unterschiedlichen E-Mail-Programme, egal ob Webmail oder z.B. Thunderbird, greifen dabei nur auf die E-Mails zu - rufen sie aber nicht ab. Daher kann auch mit mehreren E-Mail-Programmen gleichzeitig gearbeitet werden und die Ordnerstruktur ist überall die Selbe)) können alle E-Mail-Ordner mit anderen Nutzer*innen geteilt werden. Dazu gibt es sogenannte ACLs (Access-Controll-Lists oder Zugriffslisten).+In Imap-E-Mail-Umgebungen ((Imap ist ein E-Mail-Protokoll. Im Gegensatz zu dem auch bekannten Pop3 bedeutet es, dass alle E-Mails auf dem Server gespeichert werden. Die unterschiedlichen E-Mail-Programme, egal ob Webmail oder z.B. Thunderbird, greifen dabei nur auf die E-Mails zu - rufen sie aber nicht ab. Daher kann auch mit mehreren E-Mail-Programmen gleichzeitig gearbeitet werden und die Ordnerstruktur ist überall die Selbe)) können alle E-Mail-Ordner mit anderen Nutzer*innen geteilt werden. Dazu gibt es sogenannte [[public:kolab:imap-acls|ACLs (Access-Controll-Lists oder Zugriffslisten)]].
  
 Wie das für User*innen geht, ist in der [[:public:roundcube#ordner_gemeinsam_nutzen|Anleitung für den Webmailer]] beschrieben. Wie das für User*innen geht, ist in der [[:public:roundcube#ordner_gemeinsam_nutzen|Anleitung für den Webmailer]] beschrieben.
Zeile 27: Zeile 29:
 === Shared Folder - gemeinsame Ordner (Gemeinschaftsordner)=== === Shared Folder - gemeinsame Ordner (Gemeinschaftsordner)===
  
-Hier greift das Konzept der Shared Folder: Ein Ordner kann direkt mit einer E-Mail-Adresse adressiert werden, ohne dass er zu einem bestimmten Account gehört. Über Freigaben können alle, die das sollen, über ihren normalen Account auf den Ordner zugreifen. Scheidet eine Person aus der Organisation aus, werden entsprechend einfach die Ordnerrechte angepasst. Das gleiche passiert, wenn weitere Personen Zugriff auf den Ordner bekommen sollen.+Hier greift das Konzept der Shared Folder: Ein Ordner kann direkt mit einer E-Mail-Adresse adressiert werden, ohne dass er zu einem bestimmten Account gehört. Über Freigaben können alle, die das sollen, über ihren normalen Account auf den Ordner zugreifen. Scheidet eine Person aus der Organisation aus, werden entsprechend einfach die [[public:kolab:imap-acls|Ordnerrechte]] angepasst. Das gleiche passiert, wenn weitere Personen Zugriff auf den Ordner bekommen sollen.
  
 Gleichzeitig lassen sich mit Shared-Folder auch E-Mails gemeinsam organisieren. JedeR sieht, welche E-Mails angekommen sind. Auch eine gemeinsame Ordnerstruktur lässt sich aufbauen. So werden E-Mails nicht von mehreren Personen gleichzeitig bearbeitet. Alle können - bei entsprechender Konfiguration - sehen, ob schon geantwortet wurde oder nicht.  Diese Konfigurationsmöglichkeit findet sich unter [[#Geteilte Ordner und Ressourcen verwalten]] Gleichzeitig lassen sich mit Shared-Folder auch E-Mails gemeinsam organisieren. JedeR sieht, welche E-Mails angekommen sind. Auch eine gemeinsame Ordnerstruktur lässt sich aufbauen. So werden E-Mails nicht von mehreren Personen gleichzeitig bearbeitet. Alle können - bei entsprechender Konfiguration - sehen, ob schon geantwortet wurde oder nicht.  Diese Konfigurationsmöglichkeit findet sich unter [[#Geteilte Ordner und Ressourcen verwalten]]
Zeile 93: Zeile 95:
  
 Grundlegend sind es aber folgende: Grundlegend sind es aber folgende:
 +
 +++++
 +Binduser |
 +Ein Nutzertyp zur Authentifizierung von Servern und Diensten. Nur für die Systemadministration.
 +++++
  
 ++++  ++++ 
Zeile 100: Zeile 107:
  
 ++++ ++++
-Groupware User |+Kolab User |
 Dieser Kontotyp ist der Standard. Er bietet alle Felder (Attribute) für die Nutzung der Kolab-Groupware. Der/die Nutzer*in kann E-Mails empfangen/versenden sowie die anderen Funktionen der Groupware nutzen. Dieser Kontotyp ist der Standard. Er bietet alle Felder (Attribute) für die Nutzung der Kolab-Groupware. Der/die Nutzer*in kann E-Mails empfangen/versenden sowie die anderen Funktionen der Groupware nutzen.
 ++++ ++++
Zeile 128: Zeile 135:
 Mail-Enabled SAMBA and POSIX User | Mail-Enabled SAMBA and POSIX User |
 Mit diesem Kontotyp werden zusätzlich zum Posix-E-Mail-Konto noch Funktionen für die Anmeldung an einer Windows Domäne (via Samba) zur Verfügung gestellt. Dies ermöglicht in Zusammenhang mit einem entsprechend konfigurierten lokalen Netzwerk eine zentrale Windows-Anmeldung oder die Nutzung von einzelnen Windows-Shares über Samba. Mit diesem Kontotyp werden zusätzlich zum Posix-E-Mail-Konto noch Funktionen für die Anmeldung an einer Windows Domäne (via Samba) zur Verfügung gestellt. Dies ermöglicht in Zusammenhang mit einem entsprechend konfigurierten lokalen Netzwerk eine zentrale Windows-Anmeldung oder die Nutzung von einzelnen Windows-Shares über Samba.
 +++++
 +
 +++++
 +SAMBA and POSIX User |
 +Mit diesem Kontotyp werden zusätzlich zum POSIX User noch Funktionen für die Anmeldung an einer Windows Domäne (via Samba) zur Verfügung gestellt. Dies ermöglicht in Zusammenhang mit einem entsprechend konfigurierten lokalen Netzwerk eine zentrale Windows-Anmeldung oder die Nutzung von einzelnen Windows-Shares über Samba.
 ++++ ++++
  
Zeile 236: Zeile 248:
 === Gruppen === === Gruppen ===
  
-Gruppen sind grundsätzlich Listen von mehreren Benutzer*innen. Die Listen können verschiedene Funktionen haben. Im Folgenden Beispiel wird eine E-Mail Verteilerliste angelegt (Kolab-Distribution-Group (Static)). Die Gruppe erhält einen Namen und eine E-Mail-Adresse.+Gruppen sind grundsätzlich Listen von mehreren Benutzer*innen. Die Listen können verschiedene Funktionen haben. Dazu stehen u.a.: folgende Gruppentypen zur Verfügung: 
 + 
 +  * (pure) Posix Group: Posix-Gruppen dienen dazu, Dateiberechtigungen u.a. in Linux-Systemen zu definieren. Sie werden dann gebraucht, wenn das Verzeichnis auch zur Anmeldung an PCs dient. 
 +  * Kolab Distribution Group (dynamic): Distribution Groups/Verteilergruppen sind E-Mail-Verteiler für das Verzeichnis. Eine dynamische Gruppe kann so konfiguriert werden, dass sie verschiedene Merkmale dynamisch zu einer Gruppe zusammenfasst: z.B. mehrere andere Gruppen - oder alle Nutzer*innen mit einer Rolle. Sie sind komplizierter zu konfigurieren. Bitte an support@datenkollektiv.net wenden. 
 +  * Kolab Distribution Group (static): Dies sind Verteilergruppen mit einer Liste von definierten Nutzer*innen. Der Standardfall für E-Mail-Verteiler innerhalb des Verzeichnisses. 
 +  * Mail enabled Posix Group: Hier wird die Posix-Group mit einer Verteilerliste kombiniert. Die Gruppe dient sowohl als Posix-Group als auch als statischer Mailverteiler. 
 +  * Posix Samba Group: Zusätzlich zur Posix-Group gibt es hier noch Samba-Attribute. Bitte an support@datenkollektiv.net wenden, wenn diese Gruppe verwendet werden soll. 
 +  * simple Group (static): Einfache Gruppen können für Zugangsberechtigungen in vielen anderen Fällen dienen: z.B. als Gruppen in einer Nextcloud, die per Ldap angebunden ist. 
 + 
 +Im Folgenden Beispiel wird eine E-Mail Verteilerliste angelegt (Kolab-Distribution-Group (Static)). Die Gruppe erhält einen Namen und eine E-Mail-Adresse.
  
 {{ :public:kolab:kolab-webadmin_gruppen-1.png?600 |}} {{ :public:kolab:kolab-webadmin_gruppen-1.png?600 |}}
Zeile 264: Zeile 285:
  
 ==== Geteilte Ordner und Ressourcen verwalten ==== ==== Geteilte Ordner und Ressourcen verwalten ====
 +
 +Ein wichtiger Bestandteil für die Nutzung geteilter Ressourcen ist die [[public:kolab:imap-acls|Rechteverwaltung]]. Administratoren sollten sich damit vertraut machen.
 +
 === Gemeinschaftsordner === === Gemeinschaftsordner ===
  
Zeile 274: Zeile 298:
 {{ :public:kolab:kolab-webadmin_shared_folders-2.png?600 |}} {{ :public:kolab:kolab-webadmin_shared_folders-2.png?600 |}}
  
-Im Reiter ''Andere'' lassen sich die Zugangsberechtigungen für die Ordner konfigurieren. Wer darf Was (lesen, schreiben, etc.). Standardeinstellung ist, dass alle Nutzer*innen lesen können. Das wird nicht immer gewünscht sein. In diesem Fall muss dieser Eintrag gelöscht werden.+Im Reiter ''Andere'' lassen sich die Zugangsberechtigungen für die Ordner konfigurieren. Wer darf Was (lesen, schreiben, etc.). Standardeinstellung ist, dass alle Nutzer*innen lesen können. Das wird nicht immer gewünscht sein. In diesem Fall müssen diese Rechte  gelöscht werden.  
 + 
 +<WRAP center round important 100%> 
 +Aber Achtung: Für geteilte E-Mail-Ordner muss einen Eintrag für "Alle Benutzer" (anyone) oder "Gast" (anonymous) existieren, der das Recht ''Zustellung'' bekommt. Daher den bereits standardmäßig vorhandenen Eintrag "Alle Benutzer (jeder)" bearbeiten und das Häkchen bei "Zustellen" setzen. Ggf. die Häkchen bei "Nachschlagen", "Nachrichten lesen" und "Behalte Gelesen Status" löschen: 
 + 
 +{{ :public:kolab:kolab-webadmin_shared_folders-2a.png?600 |}} 
 + 
 +</WRAP>
  
 {{ :public:kolab:kolab-webadmin_shared_folders-3.png?600 |}} {{ :public:kolab:kolab-webadmin_shared_folders-3.png?600 |}}
Zeile 301: Zeile 332:
 {{ :public:kolab:kolab-webadmin_ressourcen-2.png?600 |}} {{ :public:kolab:kolab-webadmin_ressourcen-2.png?600 |}}
  
-Alle anderen Felder können leer bleiben. Optional können noch Zugriffrechte gesetzt werden - siehe zur Erklärung -> [[#Gemeinschaftsordner]].+Alle anderen Felder können leer bleiben. Optional können noch [[public:kolab:imap-acls|Zugriffrechte]] gesetzt werden - siehe zur Erklärung -> [[#Gemeinschaftsordner]].
  
 {{ :public:kolab:kolab-webadmin_ressourcen-3.png?600 |}} {{ :public:kolab:kolab-webadmin_ressourcen-3.png?600 |}}
  
 === Informationen zur Rechtevergabe === === Informationen zur Rechtevergabe ===
 +
 +Die Bedeutung der Einzelnen Rechte ist hier erklärt: [[public:kolab:imap-acls|Imap-Rechte-Verwaltung]]
  
 Grundsätzlich sollte man bei der Vergabe von Rechten zurückhaltend sein. JedeR sollte nur über soviel Rechte verfügen, wie unbedingt notwendig. Nicht nur das bewusste Löschen von dazu nicht befugten Personen kann ein Problem darstellen. Insbesondere bei der Synchronisation mit verschiednenen Geräten kann es aufgrund von Fehlfunktionen zu einem Datenverlust führen - z.B. wenn ein E-Mail-Client automatisch E-Mails löscht, die älter als eine bestimmte Zeit sind. Oder wenn Kalenderapplikationen auf Smart-Phones fehlerhafte Daten synchronisieren. Grundsätzlich sollte man bei der Vergabe von Rechten zurückhaltend sein. JedeR sollte nur über soviel Rechte verfügen, wie unbedingt notwendig. Nicht nur das bewusste Löschen von dazu nicht befugten Personen kann ein Problem darstellen. Insbesondere bei der Synchronisation mit verschiednenen Geräten kann es aufgrund von Fehlfunktionen zu einem Datenverlust führen - z.B. wenn ein E-Mail-Client automatisch E-Mails löscht, die älter als eine bestimmte Zeit sind. Oder wenn Kalenderapplikationen auf Smart-Phones fehlerhafte Daten synchronisieren.