Die Konfiguration der Benutzerrichtlinien erfolgt im Bereich Lotus Workplace/Benutzer/Benutzerrichtlinien verwalten der Administrationskonsole des IBM Workplace. Dort wird eine Liste der vorhandenen Richtlinien angezeigt. Sie können Richtlinien löschen, die Richtlinienzuordnung durchführen und sich die Konten anzeigen lassen, die einer Richtlinie zugeordnet sind.
Die Erstellung einer neuen Richtlinie
Beim Erstellen einer neuen Richtlinie wird das gleiche Dialogfeld wie beim Bearbeiten der Standardrichtlinie angezeigt. Viele Parameter sind bereits gesetzt. Es muss aber in jedem Fall ein Name für die Richtlinie eingegeben werden. Außerdem sollte auch eine Beschreibung eingetragen werden, um die verschiedenen Richtlinien später besser auseinander halten zu können.
Zusätzlich muss der Geltungsbereich der Richtlinie eindeutig definiert werden. Dazu wird im entsprechenden Feld in LDAP Systnax ein Bereich angegeben. Die Einstellungen hängen vom verwendeten Verzeichnisdienst ab. Ein Beispiel wäre
ou=produktion,o=kuppinger
Die Einstellung * kann nur in der Standardrichtlinie verwendet werden und ist in weiteren Richtlinien nicht zulässig. Die Standardrichtlinie wirkt sich entsprechend auf alle Bereiche aus, für die es keine spezifischen Richtlinien gibt.
Die weiteren Einstellungen
Als nächste Einstellung können die zulässigen Clients konfiguriert werden. Hier gibt es nur die Wahl zwischen dem Browser-Client und dem an dieser Stelle noch als Rich Client bezeichneten Managed Client. Der Browser-Client ist zwingend aktiviert, was auch daran liegt, dass er für verschiedene administrative Aufgaben benötigt wird. Der Managed Client kann dagegen optional genutzt werden.
Mit der Festlegung Mail zulassen wird konfiguriert, ob die Mailfunktionalität des IBM Workplace überhaupt verfügbar sein soll. Falls ausschließlich mit anderen Lösungen wie Lotus Notes/Domino gearbeitet wird, lässt sie sich an dieser Stelle deaktivieren.
Mit der Option Alternative Mail-Clients zulassen können Sie steuern, ob weitere Mail-Clients genutzt werden dürfen. Hier stehen POP3 und IMAP als Auswahlmöglichkeiten zur Verfügung. Neben der Aktivierung in der Benutzerrichtlinie müssen auch die entsprechenden Dienste beim Server aktiviert werden. Die Einstellungen in der Benutzerrichtlinie sind erforderlich, um zu steuern, wer auf die entsprechenden Maildienste zugreifen darf. Da dabei auch eine Authentifizierung stattfindet, kann eine Einschränkung beispielsweise der Benutzer, die mit POP3-Mail arbeiten dürfen, auf bestimmte Teilbereiche der im Verzeichnis abgebildeten Strukturen erfolgen. So könnte man die Nutzung beispielsweise ausschließlich für den Vertrieb zulassen. Der Bereich wird über den Gültigkeitsbereich der Benutzerrichtlinie festgelegt.
Ebenso wie die Mailfunktionalität aktiviert und deaktiviert werden kann, gibt es auch Einstellungen für die Kalenderfunktionalität und das persönliche Adressbuch. Bei Letzterem kann mit Maximale Anzahl der Einträge im persönlichen Adressbuch eine Beschränkung für die Zahl der Kontakte definiert werden. Dabei geht es um eine Beschränkung des benötigten Plattenplatzes. Da die einzelnen Einträge aber nicht allzu viel Speicherplatz benötigen und wohl niemand unnötig viele Einträge anlegen kann, sollte man auf diese Beschränkung verzichten.
Bei der Option Dokumentbibliotheken zulassen kann neben Verwenden auch Erstellen ausgewählt werden. In den meisten Fällen sollen nur wenige Benutzer in der Lage sein, solche Bibliotheken zu erstellen, während deutlich mehr Anwender sie nutzen dürfen. Damit man diese Differenzierung durchführen kann, sollten die Benutzer, die Dokumentbibliotheken erstellen dürfen, aber in einer anderen OU des Verzeichnisses gespeichert sein. Es wäre zwar auch denkbar, die Einschränkung über Gültigkeitsbereiche für einzelne Benutzer vorzunehmen, aber in der Administration ist das wenig effizient. Da es auch möglich ist, solche Richtlinien gezielt über Attribute zuzuweisen, lässt sich das Problem aber umgehen. Darauf wird weiter unten noch eingegangen.
Eine weitere Gruppe von Anwendungen sind die Produktivitätstools, also die Textverarbeitungs und Tabellenkalkulationsanwendungen. Auf diese kann generell Zugriff gewährt werden. Außerdem lässt sich steuern, ob Benutzer auch die Makros in diesen Anwendungen nutzen dürfen. Da Makros generell ein Sicherheitsrisiko darstellen, ist diese Option standardmäßig deaktiviert.
Mit der Option Externe Tools konfigurieren Sie, ob für die Bearbeitung von Dokumenten in der Dokumentbibliothek die von IBM bereitgestellten Produktivitätstools oder externe Anwendungen wie beispielsweise Microsoft Word verwendet werden dürfen. Die Standardeinstellung ist die Verwendung der Produktivitätstools, soweit diese das jeweilige Dateiformat unterstützen. Ist das nicht der Fall, können externe Anwendungen verwendet werden.
Mit den beiden Optionen Import von Dateien zulassen und Export von Dateien zulassen können Sie regeln, ob lesend oder schreibend auf das lokale Dateisystem zugegriffen werden darf.
Die Einstellung Workplace-Anwendungen zulassen steuert, ob weitere Workplace-Anwendungen genutzt werden dürfen und ob Anwender solche auch erstellen dürfen. Hier gilt sinngemäß das, was bereits im Zusammenhang mit den Dokumentbibliotheken ausgeführt wurde.
Weitere Einstellungen gibt es für die Team Spaces, bei denen ebenfalls zwischen der Erstellung und Verwendung unterschieden wird, und für die Workplace-Schablonen. Bei Letzteren kann einerseits die Erstellung und Bearbeitung erlaubt oder untersagt werden und andererseits definiert werden, ob solche Schablonen für alle Benutzer freigegeben werden dürfen.
Mit den übrigen Optionen lassen sich noch das Web Conferencing, das Instant Messaging, der Aktivitäts-Explorer und die Lernprogramme aktivieren. Wichtig ist außerdem die Option Notes Anwendungs-Plug-In zulassen. Damit kann Notes 7 als Anwendung in den IBM Workplace Managed Client integriert werden, so dass dort die bestehenden Notes-Anwendungen nutzbar sind.
Schließlich gibt es noch die Option Technische Voranzeigefunktionen zulassen. Sie muss in der Regel nur in Testumgebungen aktiviert werden. Sie war beispielsweise erforderlich, um mit der Betaversion des IBM Workplace Designer arbeiten zu können.
Die Zuweisung an Benutzer
Im Bereich Richtlinien zuordnen steuern Sie, in welcher Weise die Zuordnung von Richtlinien zu Benutzern erfolgen soll. Es gibt zwei Optionen. Zum einen kann der Vergleich über den DN (Distinguished Name) erfolgen, wie es oben auch beschrieben wurde. Als Alternative kann man ein Verzeichnisattribut des WMM (WebSphere Membership Manager) beziehungsweise des verwendeten Verzeichnisdienstes nutzen.
Die Verwendung von DNs ist relativ komplex, wenn es innerhalb einer OU Benutzer gibt, die beispielsweise Dokumentbibliotheken erstellen dürfen, während andere Benutzer die Bibliotheken nur nutzen dürfen. Zwar kann die Angabe in der Form
cn=Martin Kuppinger,ou=beratung,o=kuppinger
erfolgen und damit bis zur Ebene einzelner Benutzer reichen. Das ist aber relativ aufwändig in der Administration.
Wenn über Attribute gearbeitet wird, muss in diesen der Name der Richtlinie gesetzt werden. Auch das ist in der Pflege relativ komplex, lässt sich aber gegebenenfalls über LDAP-Anwendungen stärker automatisieren.
Keine der beiden Varianten ist optimal. Da sie sich aber gegenseitig ausschließen, muss der Ansatz gewählt werden, der im eigenen Umfeld weniger Probleme bereitet.
Es wäre sehr viel einfacher, wenn die beiden Optionen parallel zueinander genutzt werden könnten, weil in diesem Fall zunächst der Gültigkeitsbereich über die Zuordnung beispielsweise zu einer OU beschränkt werden könnte, um im nächsten Schritt über ein oder mehrere definierte Attribute Ausnahmen davon zu konfigurieren.
Das Kernproblem bei der Implementierung der Funktionalität ist, dass in den meisten Fällen ohnehin auf bereits bestehende Verzeichnisse aufgesetzt wird, weil normalerweise ein bereits vorhandener LDAP-Server verwendet wird oder die Informationen von einem solchen Server mit Werkzeugen wie dem IBM Tivoli Directory Integrator ausgelesen werden. Für die einfache Steuerung der Benutzerrichtlinien wären aber oftmals andere Strukturierungen optimal, in denen es beispielsweise für die Benutzer innerhalb einer Abteilung, die administrative Funktionen wie das Anlegen von Dokumentbibliotheken übernehmen dürfen, eigene OUs gibt. Das lässt sich aber bei Nutzung vorhandener Verzeichnisse kaum oder nur mit erheblichem zusätzlichen Aufwand umsetzen.
Man darf gespannt sein, ob und wie IBM dieses Problem in den zukünftigen Releases des IBM Workplace adressiert – denn noch ist die Steuerung der Funktionalität über Richtlinien nicht wirklich ausgereift.