Hallo Gemeinde,

ich stehe vor einem Problem mit der Benutzerprofil- Synchronisation zwischen meiner i5 und meinem AD Windows-Server.

Stand jetzt: Immer wenn ich einen Benutzer auf meiner i5 anlege wird dieser automatisch auf meinem Windows-Server angelegt (über den i-Series Benutzeradministrationsdienst auf dem W2K3-Server). Das ist auch gut so. Jetzt habe ich herausgefunden wenn beim User nicht ein bestimmtes Gruppenprofil (nennen wir es mal GRPF1) eingetragen haben, wird der User nicht auf diesem Windows-Server angelegt. Noch schlimmer, wenn ich das Gruppenprofil aus dem User-Profil herausnehme wird der ganze User auf dem Windows-Server gelöscht. Grande Katastrophe!!! :eek:

Wir möchten zukünftig das IFS stärker nutzen. Dummerweise hat jeder unserer User das Gruppenprofil GRPF1 eingetragen, noch schlimmer das GRPF1 hat *ALLOBJ. Wir befürchten jetzt, wenn wir *ALLOBJ aus GRPF1 herausnehmen, werden alle unsere User auf dem Windows-Server gelöscht.

Wo wird es eingetragen/gesteuert das er nur User mit o.g. Gruppenprofil auf dem Windows-Server anlegt? Meiner Meinung nach soll der User auch mit Gruppenprofil *NONE bei Windows angelegt werden. Was passiert wenn ich GRPF1 das *ALLOBJ wegnehmen? Werden dann alle meine User gelöscht -> SUPERGAU?!

Wäre für jeden Tipp dankbar! :)

Sky

Ich denke mal, *ALLOBJ ist da nicht relevant und kann entfernt werden.

...Dummerweise hat jeder unserer User das Gruppenprofil GRPF1 eingetragen, noch schlimmer das GRPF1 hat *ALLOBJ....

dann hat jeder User *ALLOBJ-Rechte?
Da hätte ich Sicherheitsbedenken...

Gibt es vielleicht eine Doku zum Nachlesen, was dieser User GRPF1 alles steuert? Vielleicht beim Hersteller (IBM?) nachfragen?

Ein Test-System hast Du vermutlich nicht, wo Du das mal in Ruhe probieren kannst, bis es passt?

Gruß,
Christian

Ein Testsystem habe ich leider nicht :(

Die Sicherheitsbedenken sind ja unser Problem! Ein früher Release-Stand unsere ERP-Software brauchte mal über ein Gruppenprofil *ALLOBJ, dies ist aber seit langem nicht mehr so. Zwar wird dieser Gruppenprofil immer noch gebraucht das die User mit der Software arbeiten können, dieser Gruppenprofil braucht aber wie gesagt kein *ALLOBJ mehr zu haben und darum möchte ich es auch herausholen aus diesen Gruppenprofil.

Aber wie gesagt, beim testen ist mir dann aufgefallen wenn ich einem User dieses Gruppenprofil wegnehme wird er auf meinem Windows-Server gelöscht. Ich werde dieses Gruppenprofil natürlich den Usern nicht wegnehmen, weil es ja grundsätzlich noch benötigt wird um mit unserer ERP-Software zu arbeiten. Nur ich möchte dem Gruppenprofil *ALLOBJ wegnehmen. Und da hab ich halt meine bedenken. Hängt es am *ALLOBJ das die User angelegt/gelöscht werden auf dem Windows-Server oder hängt es an dem Namen des Gruppenprofils GRPF1 oder eine Kombination aus beidem :confused:

Fuerchau glaubt ja das es nicht am *ALLOBJ liegt. Also muss es an dem Namen GRPF1 hängen. Den es ist defentiv so wenn ich GRPF1 beim User austrage wird er gelöscht, bzw. neu angelegt wenn ich es wieder eintrage. Mich würde halt interessieren wo die Steuerung da zwischen i5 und Windows liegt. Wo ist eingetragen das er bei GRPF1 etwas machen soll...

Den eines ist klar *ALLOBJ-User im IFS = Offen Holland!!!

Offen-Holland ist nett ausgedrückt, mit *ALLOBJ kann man _ALLES_ mit der AS400 machen, nicht nur im IFS schauen.

Dass bei GRPF1 ohne *ALLOBJ die Windows-User bleiben, glaube ich zwar auch.
Wenn allerdings nicht, würdest Du von mir nur ein "Ups" hören... daher: Kannst Du nicht beim Software-Hersteller nachfragen?

Hmm, dann müsste ich mal bei der IBM anrufen. Denn die Benutzer-Synch. fällt ja in diesen Bereich. Meinem ERP-Softwareanbieter kann mir ja nur bestätigen das für seine Objekte *ALLOBJ nicht mehr nötig ist, aber mit meiner i5 -> Windows Benutzer-Synch. hat der ja nichts zu schaffen...