Workplace: Benutzerrichtlinien

Eine weitere Gruppe von Anwendungen sind die Produktivitätstools, also die Textverarbeitungs und Tabellenkalkulationsanwendungen. Auf diese kann generell Zugriff gewährt werden. Außerdem lässt sich steuern, ob Benutzer auch die Makros in diesen Anwendungen nutzen dürfen. Da Makros generell ein Sicherheitsrisiko darstellen, ist diese Option standardmäßig deaktiviert.

Mit der Option Externe Tools konfigurieren Sie, ob für die Bearbeitung von Dokumenten in der Dokumentbibliothek die von IBM bereitgestellten Produktivitätstools oder externe Anwendungen wie beispielsweise Microsoft Word verwendet werden dürfen. Die Standardeinstellung ist die Verwendung der Produktivitätstools, soweit diese das jeweilige Dateiformat unterstützen. Ist das nicht der Fall, können externe Anwendungen verwendet werden.

Mit den beiden Optionen Import von Dateien zulassen und Export von Dateien zulassen können Sie regeln, ob lesend oder schreibend auf das lokale Dateisystem zugegriffen werden darf.

Die Einstellung Workplace-Anwendungen zulassen steuert, ob weitere Workplace-Anwendungen genutzt werden dürfen und ob Anwender solche auch erstellen dürfen. Hier gilt sinngemäß das, was bereits im Zusammenhang mit den Dokumentbibliotheken ausgeführt wurde.

Weitere Einstellungen gibt es für die Team Spaces, bei denen ebenfalls zwischen der Erstellung und Verwendung unterschieden wird, und für die Workplace-Schablonen. Bei Letzteren kann einerseits die Erstellung und Bearbeitung erlaubt oder untersagt werden und andererseits definiert werden, ob solche Schablonen für alle Benutzer freigegeben werden dürfen.

Mit den übrigen Optionen lassen sich noch das Web Conferencing, das Instant Messaging, der Aktivitäts-Explorer und die Lernprogramme aktivieren. Wichtig ist außerdem die Option Notes Anwendungs-Plug-In zulassen. Damit kann Notes 7 als Anwendung in den IBM Workplace Managed Client integriert werden, so dass dort die bestehenden Notes-Anwendungen nutzbar sind.

Schließlich gibt es noch die Option Technische Voranzeigefunktionen zulassen. Sie muss in der Regel nur in Testumgebungen aktiviert werden. Sie war beispielsweise erforderlich, um mit der Betaversion des IBM Workplace Designer arbeiten zu können.

Die Zuweisung an Benutzer

Im Bereich Richtlinien zuordnen steuern Sie, in welcher Weise die Zuordnung von Richtlinien zu Benutzern erfolgen soll. Es gibt zwei Optionen. Zum einen kann der Vergleich über den DN (Distinguished Name) erfolgen, wie es oben auch beschrieben wurde. Als Alternative kann man ein Verzeichnisattribut des WMM (WebSphere Membership Manager) beziehungsweise des verwendeten Verzeichnisdienstes nutzen.

Die Verwendung von DNs ist relativ komplex, wenn es innerhalb einer OU Benutzer gibt, die beispielsweise Dokumentbibliotheken erstellen dürfen, während andere Benutzer die Bibliotheken nur nutzen dürfen. Zwar kann die Angabe in der Form

cn=Martin Kuppinger,ou=beratung,o=kuppinger

erfolgen und damit bis zur Ebene einzelner Benutzer reichen. Das ist aber relativ aufwändig in der Administration.

Wenn über Attribute gearbeitet wird, muss in diesen der Name der Richtlinie gesetzt werden. Auch das ist in der Pflege relativ komplex, lässt sich aber gegebenenfalls über LDAP-Anwendungen stärker automatisieren.

Keine der beiden Varianten ist optimal. Da sie sich aber gegenseitig ausschließen, muss der Ansatz gewählt werden, der im eigenen Umfeld weniger Probleme bereitet.

Es wäre sehr viel einfacher, wenn die beiden Optionen parallel zueinander genutzt werden könnten, weil in diesem Fall zunächst der Gültigkeitsbereich über die Zuordnung beispielsweise zu einer OU beschränkt werden könnte, um im nächsten Schritt über ein oder mehrere definierte Attribute Ausnahmen davon zu konfigurieren.

Das Kernproblem bei der Implementierung der Funktionalität ist, dass in den meisten Fällen ohnehin auf bereits bestehende Verzeichnisse aufgesetzt wird, weil normalerweise ein bereits vorhandener LDAP-Server verwendet wird oder die Informationen von einem solchen Server mit Werkzeugen wie dem IBM Tivoli Directory Integrator ausgelesen werden. Für die einfache Steuerung der Benutzerrichtlinien wären aber oftmals andere Strukturierungen optimal, in denen es beispielsweise für die Benutzer innerhalb einer Abteilung, die administrative Funktionen wie das Anlegen von Dokumentbibliotheken übernehmen dürfen, eigene OUs gibt. Das lässt sich aber bei Nutzung vorhandener Verzeichnisse kaum oder nur mit erheblichem zusätzlichen Aufwand umsetzen.

Man darf gespannt sein, ob und wie IBM dieses Problem in den zukünftigen Releases des IBM Workplace adressiert – denn noch ist die Steuerung der Funktionalität über Richtlinien nicht wirklich ausgereift.