Wer kann Agenten erstellen?

Um zu steuern, wer Agenten erstellen kann, die auf Servern ausgeführt werden, verwenden Sie Datenbank-ACLs.

Hinweis Webbenutzer können keine Agenten erstellen.

Erstellen	Erforderlicher Zugriff
Private Agenten	Leserzugriff oder höher; "Private Agenten erstellen" muss in der ACL für diesen Benutzer aktiviert sein
Private Agenten mithilfe von LotusScript und Java	Leserzugriff oder höher; "Private Agenten erstellen" und "LotusScript/Java-Agenten erstellen" müssen für den Benutzer in der ACL aktiviert sein
Gemeinsam genutzte Agenten mithilfe von einfachen Aktionen und Formeln	Entwicklerzugriff oder höher
Gemeinsam genutzte Agenten mithilfe von LotusScript- oder Java-Agenten	Entwicklerzugriff oder höher; "LotusScript/Java-Agenten erstellen" muss für den Benutzer in der ACL aktiviert sein

Wer kann Agenten ausführen?

Um zu steuern, wer Agenten auf Servern ausführen kann, verwenden Sie das Serverdokument im IBM® Lotus® Domino(TM)-Verzeichnis und die Datenbank-ACLs. Weitere Informationen finden Sie unter "Agenten steuern, die auf einem Server ausgeführt werden" in der Lotus Domino Administratorhilfe.

Private Agenten

Um zu steuern, wer private Agenten ausführen kann, öffnen Sie das Serverdokument im Adressbuch und klicken Sie auf das Register "Sicherheit". Führen Sie folgende Schritte im Abschnitt "Einschränkungen der Programmierbarkeit" durch:

• Wenn alle Benutzer mit Zugriffsrechten auf den Server private Agenten ausführen können, lassen Sie das Feld "Private Agenten ausführen" leer.
• Wenn nur bestimmte Benutzer private Agenten ausführen können, geben Sie die jeweiligen Namen unter "Private Agenten ausführen" an.

Gemeinsam genutzte Agenten

Um zu steuern, wer gemeinsam genutzte Agenten ausführen kann, verwenden Sie die Datenbank-ACL. Benutzer mit Leserzugriff oder höher können gemeinsam genutzte Agenten ausführen.

• Wenn Benutzer gemeinsam genutzte Agenten ausführen dürfen, weisen Sie ihnen Leserzugriff oder höher zu.
• Wenn Benutzer gemeinsam genutzte Agenten nicht ausführen dürfen, listen Sie sie nicht in der ACL auf oder weisen Sie ihnen Einliefererzugriff zu.

LotusScript und Java enthalten Operationen, die vollen Zugriff auf das System des Servers haben und die Systemuhrzeit einstellen, Dateieingaben und -ausgaben tätigen sowie Befehle des Betriebssystems verwenden können. Benutzer oder Gruppen mit unbeschränktem Zugriff können einen Agenten ausführen, der jede beliebige dieser Operationen in den LotusScript und Java-Komponenten enthalten kann. Benutzer oder Gruppen mit beschränktem Zugriff können die meisten Operationen einschließen. Die einzigen beschränkten Befehle sind jene, die Zugriff auf das System des Servers zulassen.

Achtung Unbeschränkte Java- und LotusScript Agenten stellen unter Umständen ein Sicherheitsrisiko dar. Es sollte nur eine beschränkte Anzahl an vertrauenswürdigen Benutzern über unbeschränkte Zugriffsrechte verfügen.

Wo können Agenten ausgeführt werden?

Um zu steuern, ob Agenten auf Servern ausgeführt werden können, verwenden Sie das Serverdokument im Adressbuch. Klicken Sie auf das Register "Sicherheit". Führen Sie folgende Schritte im Abschnitt "Auf Server zugreifen" durch:

• Wenn alle Benutzer, die einen auf den Server zugreifenden Agenten ausführen, über Zugriffsrechte auf den Server verfügen, lassen Sie das Feld "Serverzugriff" leer.
• Wenn Sie nicht möchten, dass Benutzer direkt oder über Agenten Zugriff auf den Server haben, geben Sie die Namen der erwünschten Benutzer im Feld "Serverzugriff" an. Wenn danach ein Benutzer, der nicht in diesem Feld angegeben wurde, versucht, einen Agenten auszuführen, der auf den Server zugreift, wird der Agent nicht gestartet. Sie können auch Benutzernamen im Feld "Kein Serverzugriff" angeben.

  Hinweis Diese Einschränkungen wirken sich auf Agenten aus, die von anderen Servern oder von einem Client aus ausgeführt werden. Agenten, deren Ausführung auf dem Server bereits geplant ist, sind von den Einstellungen im Abschnitt "Auf Server zugreifen" nicht betroffen.

Um zu steuern, welche Dokumente ein Agent verarbeiten kann, überprüft IBM® Lotus® Domino(TM) die ACL der Datenbank, wo die Dokumente gespeichert sind, folgendermaßen:

• Bei Agenten, die einfache Aktionen, LotusScript und Java verwenden, überprüft Domino die ACL des Benutzers.
• Bei Agenten, die Formeln verwenden, überprüft Domino die Replik-ID der Datenbank, in der die Agenten erstellt wurden. Daher müssen Sie die Datenbank-Replik-ID in jeder Datenbank auflisten, auf die der Agent zugreifen wird, um sicherzustellen, dass Agenten, die Formeln verwenden, auf Dokumente in anderen Datenbanken zugreifen können.

• Wenn alle Benutzer Datenbanken erstellen dürfen, lassen Sie das Feld "Neue Datenbanken erstellen" leer. So können Benutzer einen Agenten, der neue Datenbanken erstellt, auf dem Server ausführen.
• Wenn Sie nicht möchten, dass alle Benutzer Datenbanken erstellen, geben Sie die Namen der Benutzer, die Datenbanken erstellen dürfen, im Feld "Neue Datenbanken erstellen" an. Wenn ein im Feld "Neue Datenbanken erstellen" nicht angegebener Benutzer einen Agenten ausführt, der eine Datenbank erstellt, wird eine Fehlernachricht angezeigt, und die Datenbank wird nicht erstellt.

Domino überprüft die Sicherheitsbeschränkungen auf verschiedene Weise, je nachdem, wo der Agent ausgeführt wird:

• Lokal oder auf dem Server
• Im Vordergrund oder im Hintergrund
• Wenn der Agent vom Web oder dem IBM® Lotus® Notes®-Client aus ausgeführt wird

Agenten werden lokal ausgeführt, wenn folgende Situationen gegeben sind:

• Der Agent wird in einer Notes-Client-Datenbank ausgeführt.
• Sie haben "Lokal" in der Liste "Ausführen auf" für einen periodischen Agenten gewählt.
• Ein Benutzer startet den Agenten im Notes-Client vom Menü "Aktionen", vom Menü "Agent - Starten" in IBM® Lotus® Domino(TM) Designer, mithilfe des Auslösers "Wenn Dokumente eingefügt werden" oder durch Aufrufen des Agenten mithilfe von "agent.run".

Auf dem Server

Ein Agent wird auf dem Server ausgeführt, wenn er in einer Datenbank ausgeführt wird, die auf einem Server gespeichert ist, und wenn er von einem der folgenden Ereignisse ausgeführt wird:

• Vor Eingang neuer Mail
• Nach Eingang neuer Mail
• Wenn Dokumente erstellt oder aktualisiert wurden
• Periodisch: Mehrmals am Tag
• Periodisch: Täglich
• Periodisch: Wöchentlich
• Periodisch: Monatlich
• Wenn er von einem Agenten mithilfe von "agent.runonserver" aufgerufen wird (der aufgerufene Agent muss sich auf dem Server befinden)

Vorder- oder Hintergrund

Ein Agent läuft im Vordergrund, wenn der Benutzer ihn vom Notes-Menü "Aktionen" aus ausführt, ihn in der Designer Liste "Agenten" auswählt oder auf eine Aktionsschaltfläche klickt. Wenn Agenten im Vordergrund ausgeführt werden, werden Sicherheitsbeschränkungen nicht überprüft.

Ein Agent läuft im Hintergrund, wenn er periodisch ist, durch ein Ereignis ausgelöst wird (beispielsweise, wenn Dokumente geändert werden) oder wenn er mithilfe von "agent.runonserver" aufgerufen wird. Wenn ein Agent im Hintergrund läuft, überprüft Domino die Sicherheitsbeschränkungen.

Vom Notes-Client oder vom Web aus

Agenten werden in Abhängigkeit vom ausführenden Benutzer im Notes-Client oder im Web ausgeführt. Der ausführende Benutzer ist der Benutzer, unter dem der Agent ausgeführt wird. Der ausführende Benutzer hängt von der Umgebung ab, in der der Agent ausgeführt wird.

Agententyp	Ausführender Benutzer
Notes-Client-Agent	Aktuelle Benutzer-ID
Webagent	Einer der folgenden: Aktueller Webbenutzer Agentenunterzeichner (Agentenbesitzer) Im Namen von (Register "Sicherheit" der InfoBox "Eigenschaften: Agent").
Periodischer Agent	Es gibt zwei Möglichkeiten: Agentenunterzeichner (Agentenbesitzer) Im Namen von (Register "Sicherheit" der InfoBox "Eigenschaften: Agent"). Wenn ein Benutzer einen Agenten in Notes-Client ausführt, wird der Agent mit den Rechten des ausführenden Benutzers ausgeführt, d. h. von der aktuellen Benutzer-ID.

Wenn ein Webbenutzer einen Agenten ausführt, wird der Agent ebenfalls mit den Rechten des ausführenden Benutzers ausgeführt. Domino prüft beim Zugriff auf die Datenbank die Rechte des ausführenden Benutzers. Sie können den Agenten jedoch so einrichten, dass Domino beim Zugriff auf die Datenbank die Rechte des aufrufenden Benutzers prüft und nicht des ausführenden Benutzers. Das Überprüfen der Zugriffsrechte desjenigen, der den Agenten aufruft, gewährleistet unter Umständen höhere Sicherheit.

Führen Sie die folgenden Schritte aus, um festzulegen, dass Domino die Zugriffsrechte des aufrufenden Benutzers prüft:

1. Doppelklicken Sie auf einen Agentennamen in der Agentenliste.

2. Klicken Sie auf das Register "Sicherheit".

3. Aktivieren Sie "Als Webbenutzer ausführen".

Wenn die Option "Als Webbenutzer ausführen" aktiviert ist, fordert Domino den Webbenutzer zur Eingabe des Namens und Kennworts auf, wenn dieser versucht, den Agenten auszuführen. Domino verwendet die Anmeldungsinformationen, um die Zugriffsrechte des Aufrufenden in der Datenbank-ACL zu überprüfen.

Sicherheits-Steuerelemente für Agenten, die von Agenten aufgerufen werden

Wenn Agenten andere Agenten aufrufen, überprüft Domino die Sicherheitsbeschränkungen für jeden Agenten. Wenn jedoch Agenten von verschiedenen Benutzern unterzeichnet wurden, überprüft Domino die Sicherheit folgendermaßen:

• Wenn der erste Agent einfache Aktionen oder Formeln verwendet:

  Domino überprüft die Sicherheitsbeschränkungen aller aufgerufenen Agenten und vergleicht diese mit den Zugriffsrechten des Unterzeichners des ersten Agenten.

• Wenn der erste Agent LotusScript oder Java verwendet:

  Domino überprüft die Sicherheitsbeschränkungen aller aufgerufenen Agenten und vergleicht diese mit den Zugriffsrechten des Unterzeichners jedes einzelnen Agenten.

Agenten erstellen
Agentensicherheit im Register "Sicherheit" einrichten
Fehlersuche bei Agenten
Aktionen und Agentennamen

Glossar