Full Access Administrator = Godmode
Eigentlich ein alter Hut und seit der Version 6 jedem Notes / Domino Administrator ein Begriff, allerdings ist der Full Access Administrator mächtiger als die meisten annehmen und wissen.
Als Full Access Administrator kann ich sämtliche ACL Settings und andere Zugriffsbeschränkungen wie Reader Felder umgehen und mir so Zugriff auf die entsprechenden Ressourcen verschaffen. Dies ist recht hilfreich, wenn z.B. nur namentlich genannte und fest verdrahtete Personen Zugriff auf bestimmt Inhalte haben und dann das Unternehmen verlassen.
Was viele Administratoren nicht wissen oder noch nie bedacht haben ist, dass sich das Full Access Administration Recht über alle Sicherheitsbeschränkungen hinweg setzt und sich somit sogar über die Deny Access List stellt.
Das bedeutet, dass eine Person, die im Full Access Administration Feld und in einer Deny Access List eingetragen ist, weiterhin Zugriff auf den jeweiligen Server hat.
Selbst wenn das Personendokument des entsprechenden Administrators nicht mehr vorhanden ist und sämtliche Sicherheitsmechanismen wie “Compare Public Key”, “Access Server” aktiviert sind und auch nur Personen zugreifen können, die im Domino Directory vorhanden sind, hat ein Full Access Administrator weiterhin Zugriff.
Um Zugriff als Full Access Administrator zu bekommen, muss der entsprechende Administrator im Serverdokument unter Security im Full Access Admininstrators Feld gelistet sein und sich selbst über den Admin Client den Vollzugriff geben.
Das schreibt die Lotus Notes Hilfe dazu, ein Hinweis auf das Überschreiben der Deny Access Liste wäre an dieser Stelle nicht das Schlechteste:
Full access administrators
Full access administrator is the highest level of administrative access to the server. The full access administrator feature replaces the need to run a Notes client locally on a server. It resolves access control problems — for example, such as those caused when the only managers of a database ACL have left an organization.
Full access administrators have the following rights:
- All the rights as listed for all administrator access levels (see above).
- Manager access, with all roles and access privileges enabled, to all databases on the server, regardless of the database ACL settings.
- Manager access, with all roles and access privileges enabled, to the Web Administrator database (WEBADMIN.NSF).
- Access to all documents in all databases, regardless of Reader names fields.
- The ability to create agents that run in unrestricted mode with full administration rights.
- Access to any unencrypted data on the server.
Note Full access administrator does not allow access to encrypted data. The use of the specified user’s private key is required to decrypt documents that are encrypted with public keys. Similarly, a secret key is required to decrypt documents encrypted with secret keys.
-> Info: Understanding the Full Access Administrator Feature in Domino
Add comment September 27th, 2008
Leave a Comment
Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackback this post | Subscribe to the comments via RSS Feed