Vor einigen Tagen bin ich bei einer Migration eines Domino-Servers darauf
gestoßen, dass der Kunde seine Gruppen LocalDomainAdmins
und LocalDomainServers
umbenannt hatte. Die Umbenennung dieser Gruppen hatte er vor einiger Zeit
aufgrund einer Empfehlung vorgenommen. Mir erschließen sich die Gründe
für diese Vorgehensweise nicht. Aber ich sehe eine ganze Reihe von Problemen
und Gründen, warum man mit einer Umbenennung dieser Gruppen sehr vorsichtig
sein sollte:
Da die Gruppen LocalDomainAdmins
und LocalDomainServers
standardgemäß in jeder (mitgelieferten) Datenbank verwendet werden oder
verwendet werden sollten, zieht eine Umbenennung dieser Gruppen einen Rattenschwanz
von Umbenennungen auf dem Domino-Server nach sich. Siehe dazu: Rename
Group
Auch die meisten Dienstleister liefern
ihre Notes-Produkte standardgemäß mit den Gruppen LocalDomainAdmins
und LocalDomainServers
aus. Wenn dann diese Schablonen so auf den Server gelegt werden, wie sie
ausgeliefert werden, oder aus den nicht angepassten Schablonen Datenbanken
erzeugt werden, sind die Standard-Gruppen quasi wirkungslos und Zugriffprobleme
vorprogrammiert.
Bei einer Domino-Migration sollten System-Datenbanken,
wie die mail.box, die log.nsf vor dem ersten Hochfahren des Servers gelöscht
bzw. umbenannt werden. Diese Datenbanken werden beim Hochfahren des Servers
automatisch erstellt. Hierbei erzeugt der Domino-Server aus den in
eckigen Klammern gesetzten Gruppen der Schablone die entsprechenden Gruppen,
beispielsweise aus [LocalDomainAdmins]
und [LocalDomainServers]
die Gruppen LocalDomainAdmins
und LocalDomainServers
mit den entsprechend voreingestellten Rechten.
Findet der Server beim Anlegen einer
Datenbank keine Person oder Personengruppe mit Manager-Zugriff, so trägt
er automatisch den unter der Konfigurationseinstellung Admin
in der notes.ini registrierten Administrator in die ACL ein. Findet er
keinen Server oder Servergruppe mit Manager-Zugriff, so trägt er auch automatisch
den unter den Konfigurationseinstellung ServerName
in der notes.ini registrierten Server mit Managerrechten in die ACL ein.
Da die Schablonen während des Setup-Prozesses, also bei jeder Installation
und wesentlichen Aktualisierung, im Data-Verzeichnis neu installiert werden,
enthalten diese natürlich die Standardgruppen. Demzufolge müssen sie und
die daraus neu erstellten Datenbanken ebenfalls entsprechend angepasst
werden.
Spätestens an dieser Stelle sollte klar
sein, dass eine Umbenennung der Standardgruppen LocalDomainAdmins
und LocalDomainServers
eine Reihe von fehlerträchtigen Nacharbeiten nach sich zieht, die ein hohes
Maß an Aufmerksamkeit und Aufwand erfordern. Bleibt die Frage, durch welchen
Vorteil dieser hohe Mehraufwand gerechtfertigt werden sollte.