KAPITEL 6: ADMINISTRATION AF BRUGERRETTIGHEDER

Kapitel 6: Administration af brugerrettigheder KAPITEL 6: ADMINISTRATION AF BRUGERRETTIGHEDER Målsætninger Introduktion Målsætningerne er at: Beskrive, hvordan godkendelse fungerer i Microsoft Dynamics NAV. Skelne mellem databaselogon og Windows-logon. Beskrive koncepter som roller og rettigheder. Tildele en databasebruger en rolle. Tildele en Windows-bruger en rolle. Oprette en ny rolle og angive de tilhørende rettigheder. Anvende sikkerhedsfiltre i SQL Server-granulet. Udføre brugerspecifik opsætning. Bruge Active Directory sammen med Microsoft Dynamics NAV. En virksomhedsløsning skal have et indbygget sikkerhedssystem, der beskytter databasen, så ingen udenforstående kan få adgang til den og de oplysninger, den rummer. Samtidig skal det være muligt at angive, hvilke tilladelser og rettigheder de autoriserede brugere skal have, og hvad disse tilladelser og rettigheder skal omfatte. Det skal altså kunne specificeres, om brugerne skal kunne: Læse data (R for Read) Tilføje data (I for Insert) Redigere data (M for Modify) Slette data (D for Delete) Udføre data (EX for Execute) (I overensstemmelse med de engelske betegnelser ovenfor kaldes disse fem databasehandlinger tilsammen RIMDEX). Af hensyn til sikkerheden skal hver enkelt bruger som minimum tildeles et id og en adgangskode. Det sikrer, at kun autoriserede medarbejdere kan få adgang til databasen. Dette kaldes sikkerhed på databaseniveau. På det næste sikkerhedsniveau kan du begrænse brugerens adgang til kun at omfatte bestemte typer oplysninger, der er gemt i databasen. Brugerne kan med andre ord kun få adgang til bestemte tabeller i databasen. Dette kaldes sikkerhed på tabelniveau. 6-1

Programopsætning i Microsoft Dynamics NAV 5.0 På det højeste sikkerhedsniveau kan du begrænse brugerens adgang til kun at omfatte bestemte poster, der er gemt i tabellerne. Dette kaldes sikkerhed på postniveau og kan benyttes, hvis du bruger Microsoft SQL Server-granulet til Microsoft Dynamics NAV. Som programadministrator er det dit ansvar at administrere sikkerhedssystemet. I dette kapitel beskrives det, hvordan sikkerhedssystemets bestanddele arbejder sammen. Det beskrives også, hvordan du opretter brugere med roller og rettigheder, så du kan kontrollere, hvilke data de skal have adgang til. 6-2

Kapitel 6: Administration af brugerrettigheder Godkendelse Eftersom flere sikkerhedssystemer arbejder sammen, kan terminologien være forvirrende, og derfor er det nødvendigt at definere to nøglekoncepter, før det beskrives, hvordan sikkerhedssystemet i Microsoft Dynamics NAV fungerer: Godkendelse: Den proces, der anvendes, når systemet kontrollerer en brugers identitet. Dette kan f.eks. medføre, at brugerne skal angive et id og en adgangskode, når de logger på. To former for godkendelse understøttes i Microsoft Dynamics NAV: Windows Authentication (Windows-godkendelse) og Database Server Authentication (databaseservergodkendelse). Logon: Når en bruger har identificeret sig selv, og systemet har genkendt vedkommende, får han eller hun adgang til de dele af systemet, som vedkommende har rettighed til. Hvis brugeren har logget på systemet vha. Microsoft Windows Authentication, har vedkommende fået tildelt et Windows-logon. Hvis brugeren har logget på systemet vha. Database Server Authentication, har vedkommende fået tildelt et databaselogon. Windows Authentication Et at de vigtigste træk ved sikkerheden i Windows er Single Sign-on-systemet. Denne funktion understøttes af Microsoft Dynamics NAV, som desuden kan bruge flere af de funktioner, der indgår i sikkerhedssystemet Active Directory. Single Sign-on i Windows og den ensartede logon, der understøttes af Windows, er det samme. I dette kapitel omtales begge disse systemer som Windows Authentication. Når en bruger forsøger at oprette forbindelse til serveren og åbne en database, er det ikke nødvendigt at angive et bruger-id og en adgangskode, når der bruges Windows Authentication. Microsoft Dynamics NAV beder automatisk Windows bekræfte, om denne bruger, som allerede er logget på netværket, har en gyldig Windows-konto, og om denne konto i så fald giver brugeren ret til at få adgang til netop denne server. Hvis brugeren har ret til at få adgang til serveren, kontrollerer Microsoft Dynamics NAV, om brugeren har fået tildelt et Windows-logon i Microsoft Dynamics NAV. Hvis brugeren har et Windows-logon, får vedkommende adgang til databasen. Brugeren får adgang til Microsoft Dynamics NAV og tildeles de rettigheder, der er angivet for den pågældende Windows-bruger, og de rettigheder, der er angivet for de Windows-grupper, som vedkommende er medlem af. Hvis brugeren ikke har en gyldig Windows-konto, eller hvis hans eller hendes konto ikke omfatter rettigheder til at logge på Microsoft Dynamics NAVdatabasen, mislykkes godkendelsen, og brugeren modtager en fejlmeddelelse. 6-3

Programopsætning i Microsoft Dynamics NAV 5.0 Systemet til Windows Authentication omfatter følgende sikkerhedsfunktioner: Sikker validering og kryptering af adgangskoder En tidsbegrænsning på adgangskoder En minimumlængde på adgangskoder Udelukkelse af kontoen, når der er angivet en forkert adgangskode Database Server Authentication Logon, roller og rettigheder Med SQL 2005 kan du vælge en opsætning i systemet, så databaselogon også skal stemme overens med de regler, der er fastsat i Active Directory om adgangskoders udløb og minimumkrav til adgangskoder. Hvis serveren ikke understøtter Windows Authentication, skal der bruges Database Server Authentication. Denne fremgangsmåde benyttes også, hvis netværksadministratoren har valgt ikke at bruge Windows Authentication. Programadministratoren bestemmer, hvilken form for godkendelse den enkelte bruger skal benytte, ved at tildele hver enkelt bruger eller brugergruppe et Windows-logon eller et databaselogon. Hvis du har valgt at bruge Database Server Authentication, skal du give hver enkelt bruger et databaselogon. Dette indebærer, at der skal oprettes et bruger-id og en adgangskode til brugeren i Microsoft Dynamics NAV, som brugeren derefter skal angive korrekt for at få adgang til en database. Du skal have superbrugerrettigheder for at få lov til at oprette datalogon. I SQL Server-granulet til Microsoft Dynamics NAV baseres Database Server Authentication på Microsofts SQL Server-godkendelse. Se "Anvendelse af sikkerhedsfiltre i SQL Server-granulet". I denne lektion beskrives de centrale koncepter i forbindelse med administration af brugerrettigheder i Microsoft Dynamics NAV. Først beskrives forskellen mellem to brugertyper: databaselogon og Windows-logon. Derefter beskrives forholdet mellem rettigheder og roller. Endelig beskrives det og vises, hvordan roller tildeles rettigheder, og hvordan bruger derefter tildeles roller enten i form af database logon eller Windows-logon. Iværksættelse af sikkerhedssystemet Sikkerhedssystemet iværksættes, når du opretter et databaselogon til en superbruger. Superbrugeren ejer derefter og administrerer al adgang til denne database fra Microsoft Dynamics NAV. Indtil du opretter en superbruge, kan alle brugere med adgang til systemet gøre lige, hvad de vil i en Microsoft Dynamics NAV-database. En af de første ting, en superbruger derefter bør gøre er at oprette bruger-id'er til de andre brugere, som skal have adgang til databasen, og at tildele dem roller. Rettigheder tildeles på virksomhedsniveau i Microsoft Dynamics NAV. 6-4

Kapitel 6: Administration af brugerrettigheder Microsoft Dynamics NAV tillader kun bestemte brugere at administrere sikkerhed og tildele rettigheder. Det er kun brugere, der har fået tildelt rollerne Super eller Sikkerhed, der har lov til at administrere sikkerheden. Disse Microsoft Dynamics NAV-brugere kan kun give andre brugere rettigheder, som de selv har. Oprettelse af databaselogon Inden du opretter bruger-id'er til de personer, der skal bruge Microsoft Dynamics NAV-installationen, skal du beslutte, om de enkelte brugere skal have et Windows-logon eller et database-logon. De forskellige logontyper oprettes på stort set samme måde. Når du opretter et databaselogon, giver du den nye bruger et bruger-id og én eller flere roller, der omfatter de rettigheder, som passer til vedkommendes position i organisationen. Hvis du vil oprette et databaselogon, skal du klikke på Funktioner Sikkerhed Databaselogon og udfylde en linje for hver bruger i vinduet Databaselogon. FIGUR 6.1 VINDUET DATABASELOGON, FØR DEN FØRSTE BRUGER REGISTRERES Tildeling af roller til databaselogon Det kan ske, at databaselogon oprettes først, og at der først tildeles roller på et senere tidspunkt. Du kan tildele eksisterende brugere roller i vinduet Roller. Benyt følgende fremgangsmåde for at tildele en bruger (et databaselogon) en rolle: 1. Hvis du vil se de brugere, der er tildelt en bestemt rolle, skal du klikke på Funktioner Sikkerhed Roller. Vinduet Roller åbnes. 2. Vælg de roller, du er interesseret i, og klik på Roller Databaselogon. Vinduet Databaselogon vises med en oversigt over de databaselogon, der er tildelt denne rolle i databasen. Nu kan du nemt tildele de brugere, der allerede er oprettet som databaselogon, roller. 6-5

Programopsætning i Microsoft Dynamics NAV 5.0 3. Søg i feltet Bruger-id. Vinduet Databaselogon vises. 4. Vælg brugeren, og klik derefter på OK. Brugerne skal tilføjes én ad gangen. Oprettelse af Windows-logon Det er også muligt at oprette et Windows-logon til en Windows-bruger eller - gruppe, så de kan få adgang til systemet. Benyt følgende fremgangsmåde for at oprette et Windows-logon (men du skal ikke vælge et Windows-logon, mens du følger vejledningen): 1. Klik på Funktioner Sikkerhed Windows-logon for at åbne vinduet Windows-logon. 2. Søg i feltet Id for at få adgang til vinduet Windows-brugere & - grupper. 3. I dette vindue kan du se alle de Windows-brugere og -grupper, der er til rådighed i den viste struktur af domæner og domænetræer. Vinduet kan kun vises, hvis domæne-controlleren kører under Windows 2000 Server eller Windows Server 2003, og klienterne kører under Windows 2000/XP eller er Active Directory-aktiverede. Men hvis du kører et Windows NT-netværk, kan du angive navnene på Windows-brugerne og -grupperne i vinduet Windows-logon. Husk at bruge formatet domænenavn\brugernavn. 4. Vælg den Windows-bruger eller -gruppe, som du vil oprette et Windows-logon til. 5. Når du klikker på OK, tilføjes Windows-brugeren eller -gruppen i vinduet Windows-logon (der vælges ikke et faktisk Windows-logon markeres). FIGUR 6.2 VINDUET WINDOWS-LOGON UDEN AT DER KAN SES ET FAKTISK LOGON Nu har du oprettet et Windows-logon, og du kan fortsætte med at tildele det roller på samme måde som med databaselogon. 6-6

Kapitel 6: Administration af brugerrettigheder Tildeling af roller til Windows-logon Benyt følgende fremgangsmåde for at tildele et Windows-logon en rolle: 1. Hvis du vil se de Windows-logon, der er tildelt en bestemt rolle i Microsoft Dynamics NAV, skal du åbne vinduet Roller og markere den rolle, du er interesseret i. 2. Klik på Roller Windows-logon. Vinduet Windows-logon vises med en oversigt over de Windows-logon, der er tildelt denne rolle i databasen. 3. Hvis du vil tildele et nyt Windows-logon denne rolle, skal du søge i feltet Objekt-id, markere Windows-logon og klikke på OK. Rettigheder til alle andre brugere Inden du tildeler alle andre brugere roller, skal du se nærmere på de standardroller, som programmet leveres med. Du kan bruge disse roller, som de er, du kan ændre dem, eller du kan oprette helt andre roller. VIGTIGT: Selvom brugerne kan ændre standardrollerne, anbefales det at oprette nye roller på basis af de roller, der er standard i Microsoft Dynamics NAV, eftersom brugernes ændringer ellers overskrives af opgraderinger og opdateringer. Dette kan gøres ved at kopiere rettigheder fra en eksisterende rolle i Microsoft Dynamics NAV, sætte dem ind i en ny rolle og derefter tilpasse den efter behov. Hver enkelt rolle beskrives som en gruppe adgangsrettigheder til følgende objekter: Objekt Tabeldata Tabel Formular Rapport Dataport Kodeenhed XML-porte MenuSuite System Beskrivelse De data, der er gemt i tabellerne. Selve tabellerne. De formularer, der bruges, når du får vist eller angiver data. De rapporter, der bruges til fremstilling af data. De dataporte, der bruges til ind- og udlæsning af data. De kodeenheder, der bruges i databasen. De XML-porte, der bruges til ind- og udlæsning af data i XMLformat. Det objekt, der indeholder de menuer, der vises i navigationsruden. De systemtabeller i databasen, der giver brugeren mulighed for at sikkerhedskopiere data, ændre licensfilen osv. 6-7

Programopsætning i Microsoft Dynamics NAV 5.0 En rolle kan have følgende rettighedstyper til et objekt: Rettighed Læs Indsæt Ret Slet Udfør Beskrivelse Du kan læse dette objekt. Du kan indsætte data i dette objekt. Du kan rette data i dette objekt. Du kan slette data fra dette objekt. Du kan køre dette objekt. Der vises følgende indstillinger i rettighedsfelterne: Indstilling <Tomt> Ja Indirekte Bemærkninger Ikke markeret (dette felt er tomt), og du har ikke denne rettighed. Du har denne rettighed, og du har fuld adgang til dette objekt. Du kan f.eks. altid læse dette objekt. Denne rettighed tildeles indirekte. En indirekte rettigheder giver dig f.eks. tilladelse til at læse objektet via et andet objekt, som du har rettighed til at bruge, f.eks. en kodeenhed eller en formular. Eksempel: Du har rettighed til at køre Kodeenhed 80, Salg-bogfør. Kodeenheden Salg-bogfør udfører mange opgaver. En af disse er at redigere Tabel 39, Købslinje. Når du kører kodeenheden Salgbogfør, kontrolleres det i Microsoft Dynamics NAV, og du har de nødvendige rettigheder, så du kan redigere tabellen Købslinje. Hvis du ikke har de nødvendige rettigheder til at ændre tabellen Købslinje, kan kodeenheden ikke udføre sin opgave, og der vises en fejlmeddelelse. Hvis du har de nødvendige rettigheder til at ændre tabellen Købslinje, kan kodeenheden udføres korrekt. Men du behøver dog ikke at have fuld adgang til tabellen Købslinje for at køre kodeenheden. Hvis du har indirekte rettigheder til at redigere posterne i tabellen Købslinje, kan kodeenheden Salgbogfør udføres korrekt. Når du har indirekte rettigheder, kan du kun redigere tabellen Købslinje, når du kører kodeenheden Salg-bogfør eller et andet objekt, der har de nødvendige rettigheder til at redigere tabellen Købslinje. 6-8

Kapitel 6: Administration af brugerrettigheder Rolle Alle En bruger, som ikke er superbruger, skal tildeles rolle ALLE samt de roller/rettigheder, der giver adgang til de nødvendige dele af programmet. Rollen ALLE giver grundlæggende rettigheder, så brugeren kan: Logge på Få adgang til hovedmenuen Navigere rundt i programmet Du kan ikke få adgang til tabeller, tabeldata, formularer osv. uden yderligere rettigheder, og derfor giver det ikke mening kun at tildele en bruger rolle ALLE. En bruger, som kun administrerer sikkerheden på visse områder (f.eks. en afdelingsleder, der administrerer sikkerheden i sin egen afdeling), skal tildeles mindst tre roller: ALLE, SIKKERHED og den rolle, der giver adgang til de relevante dele af databasen (f.eks. Salg). Det giver ikke mening at give en bruger rettigheder, der giver adgang til dele, som vedkommende alligevel ikke har ret til at bruge ifølge licensfilen. Det giver dog ingen problemer at tildele brugeren sådanne rettigheder. Hvis programmet brugerdefineres, eller hvis du køber ekstra moduler, skal du huske at ændre rettighederne tilsvarende eller føje nye til. Hvis du har fået dit bruger-id og din adgangskode af systemadministratoren, er det en god ide at ændre adgangskoden, første gang du bruger den. Det sikrer, at du er den eneste, der kender din adgangskode. Ændring af adgangskoder BEMÆRK! Adgangskoder i Microsoft Dynamics NAV er ikke tidsbegrænsede. Hvis adgangen skal være tidsbegrænset, skal du angive en udløbsdato for bruger-id'et eller en tilladt bogføringsperiode for hver bruger i Brugeropsætning. Hvis du vil ændre din adgangskode til programmet, skal du klikke på Funktioner Sikkerhed Adgangskode, så vinduet Skift adgangskode vises. FIGUR 6.3 ÆNDRING AF ADGANGSKODE 6-9

Programopsætning i Microsoft Dynamics NAV 5.0 De to felter øverst i vinduet, Bruger-id og Brugernavn, kan ikke redigeres. Angiv din nuværende adgangskode i feltet Nuværende adgangskode (husk, at der skelnes mellem store og små bogstaver). Angiv din nye adgangskode i feltet Ny adgangskode. Bekræft derefter den nye adgangskode ved at angive den igen i feltet Skriv adgangskode igen. Det bekræfter, at du har angivet den korrekt første gang. Adgangskoden kan ikke se, når du angiver den, og den vises ikke andre steder i programmet. Hvis der vises en meddelelse med besked om, at adgangskoden er ugyldig, kan det skyldes to ting: Du har skrevet den forkert anden gang prøv igen. Den oprettede adgangskode er anderledes, end du tror. Du kom måske til at skrive forkert første gang, eller du brugte måske ikke store og små bogstaver på samme måde i de to felter. Angiv adgangskoden i feltet Ny adgangskode igen, og angiv den derefter igen. Klik på OK, hvis du vil ændre adgangskoden, og på Annuller, hvis adgangskoden ikke skal ændres. Demonstration Tildeling af rolle SUPER til en superbruger I en ny installation skal du tildele superbrugeren rolle SUPER, før du tildeler andre brugere roller. Oprettelse af en superbruger og gennemgang af rolle SUPER Benyt følgende fremgangsmåde for at tildele en superbruger rollen SUPER, som er standard i systemet: 1. Skriv SUPERBRUGER i feltet Bruger-id i vinduet Database-logon, og tryk på ENTER, indtil den nye linje er oprettet. 2. Søg i feltet Rolle-id, og find rollen SUPER. 3. Når SUPER er markeret i vinduet Roller, skal du klikke på Roller Rettigheder. FIGUR 6.4 DE RETTIGHEDER, SOM ROLLEN SUPER TILDELES 6-10

Kapitel 6: Administration af brugerrettigheder Vinduet Rettigheder omfatter de rettighedsgrupper, som gives til standardsuperbrugeren i databasen. Følgende rettigheder gælder for SUPERBRUGER og andre vigtige standardroller i Microsoft Dynamics NAV: Rolle SUPER SUPER (DATA) SUPER(NAVIPANE) SIKKERHED ALLE Rettigheder Denne rolle kan læse, bruge, ændre og slette alle data og alle programobjekter (i det omfang, licensen tillader det). I Microsoft Dynamics NAV er det et krav, at mindst én bruger tildeles denne rolle i hver database. Du kan ikke ændre de rettigheder, som denne rolle har fået tildelt. Denne rolle kan læse, bruge, ændre og slette alle data. Det vil normalt være en regnskabschef eller anden person, som tildeles denne rolle. De skal kunne få adgang til alle data, men de behøver som regel ikke ændre noget i programmet. En bruger, som tildeles denne rolle, kan oprette navigationsrudemenuer med navigationsrudedesigneren. Det kan f.eks. være en leder, som skal kunne designe menuer til sine medarbejdere. En bruger, der tildeles denne rolle, kan få adgang til tabeller og funktioner, der har med sikkerhedsoplysninger at gøre (brugere, rettigheder). De brugere, der tildeles denne rolle, kan give andre rettigheder, men kun de rettigheder, som de selv har. Hvis du f.eks. vil oprette en superbruger for et bestemt område, kan du altså give vedkommende rollen SIKKERHED plus rettigheder til det pågældende område (f.eks. Køb), hvor de derefter selv kan give andre brugere rettigheder og trække dem tilbage igen. En bruger, der tildeles denne rolle, kan bruge de grundlæggende tabeller og funktioner (men ikke noget, der kræver et højere sikkerhedsniveau). De rettigheder, som denne rolle giver en bruger, kan kun bruges i de tabeller, som brugerne normalt har adgang til, f.eks. hovedmenuen. Alle brugere skal tildeles denne rolle (undtagen SUPERBRUGER), fordi den er en forudsætning for alle de andre roller, du derefter tildeler dem. 6-11

Programopsætning i Microsoft Dynamics NAV 5.0 Benyt følgende fremgangsmåde for at tildele superbrugeren rollen SUPER: 1. Kontroller, at rollen SUPER er markeret i vinduet Roller, og klik på OK. FIGUR 6.5 SUPERBRUGEREN TILDELES ROLLEN SUPER 2. Luk vinduet Superbruger - Roller ved at trykke på ESC. Der oprettes nu en superbruger i databasen, og den pågældende bruger tildeles rollen SUPER. En superbruger skal kun tildeles én rolle, fordi rollen SUPER har alle nødvendige rettigheder til alt i systemet. Men alle andre brugere skal tildeles mindst to roller eller mere. Som standard gælder rollerne for alle regnskaber i databasen, men de kan begrænses, så de kun gælder for et enkelt regnskab. Det gør du ved at angive navnet på regnskabet (eller søge efter det) i feltet Regnskab. Hvis rettighederne skal gælde for flere regnskaber (men ikke alle), skal du oprette én linje pr. regnskab (hvor hver linje starter med det samme rolle-id). Hvis du angiver, at en brugers rettigheder kun gælder for et bestemt regnskab i databasen, kan denne bruger kun få vist det pågældende regnskab. 6-12

Demonstration Oprettelse af en ny rolle Kapitel 6: Administration af brugerrettigheder Hvis de eksisterende roller ikke opfylder kravene i din organisation, kan du oprette nye eller redigere de rettigheder, der hører til de eksisterende roller. Scenario: Cronus skal bruge en ny rolle med navnet Kun finanskonti. På et senere tidspunkt er administratoren nødt til at redigere rollen for at begrænse adgangen til at slette data i finanskonti. På et senere tidspunkt udvides rollen, så den omfatter læserettigheder til betalings- og rentebetingelser. Oprettelse af den nye rolle og tildeling af rettigheder Benyt følgende fremgangsmåde for at oprette rollen Kun finanskonti: 1. Klik på Funktioner Sikkerhed Roller. Vinduet Roller åbnes. 2. Klik på Rediger Indsæt ny (eller brug F3) for at få en tom linje, som du kan oprette den nye rolle på. 3. Angiv Kun finanskonti som id til rollen i feltet Rolle-id og Bruges til finanskonti som beskrivelse af rollen i feltet Navn. 4. Tryk på ENTER, eller klik på den næste linje for at acceptere den nye rolle. Klik derefter på den nye rolle igen. 5. Klik på Rolle Rettigheder. Nu vises vinduet Rettigheder til den nye rolle. Eftersom der er tale om en ny rolle, er vinduet tomt. 6. Søg i feltet Objekttype, og vælg Tabel som den objekttype, du vil angive rettigheder til. 7. Søg i feltet Objekt-id, og vælg 15, G/L Account som den specifikke forekomst af det objekt. 8. Angiv Ja eller Nej under hver rettighed til rollen. Accepter standardindstillingen Ja ved alle rettigheder. FIGUR 6.6 RETTIGHEDER TIL ROLLEN KUN FINANSKONTI Begrænsning af den nye rolles rettigheder Benyt følgende fremgangsmåde for at begrænse sletterettighederne til rollen Kun finanskonti: 1. Når den nye rolle er markeret, skal du klikke på Rolle Rettigheder. 6-13

Programopsætning i Microsoft Dynamics NAV 5.0 2. I vinduet Rettigheder til rollen Kun finanskonti, skal du slette værdien Ja i kolonnen Sletterettighed. FIGUR 6.7 SLETTERETTIGHEDEN ER FJERNET I FINANSKONTOTABELLEN 3. Luk vinduet. Udvidelse af den nye rolles rettigheder Du kan også give rettigheder og dermed adgang til flere objekter. Det er en nyttig og tidsbesparende funktion, hvis du vil ændre en rolles rettigheder radikalt. Benyt følgende fremgangsmåde for at udvide de rettigheder, der gælder for rollen Kun finanskonti, så de også omfatter læserettigheder i tabellerne Betalingsbetingelser og Rentebetingelser: 1. Når den nye rolle er markeret, skal du klikke på Rolle Rettigheder. 2. I vinduet Rettigheder til rollen Kun finanskonti, skal du klikke på Alle objekter. 3. I vinduet Rettigheder (alle objekter) skal du vælge Ja i kolonnen Læserettigheder til tabellerne Betalingsbetingelser og Rentebetingelser. 4. Klik på OK for at gemme dit valg. FIGUR 6.8 LÆSERETTIGHED TILFØJET FOR TABELLERNE BETALINGSBETINGELSER OG RENTEBETINGELSER Hvis din database kører på en SQL Server, kan du også anvende sikkerhedsfiltre som en del af rollen. Se "Anvendelse af sikkerhedsfiltre i SQL Server-granulet". 6-14

Kapitel 6: Administration af brugerrettigheder Demonstration Anvendelse af sikkerhedsfiltre i SQL Servergranulet SQL Server-granulet til Microsoft Dynamics NAV understøtter sikkerhed på et niveau som aldrig før og giver dig mulighed for at tilpasse sikkerhedssystemet til din organisations behov. Det kan f.eks. være nødvendigt, at nogle medarbejdere skal kunne læse, redigere og angive oplysninger på de konti, der vedrører en bestemt debitor eller afdeling. Dette kan lade sig gøre, hvis du anvender sikkerhedsfiltre, der begrænser dine brugeres adgang til de poster, der er gemt i bestemte filtre i databasen. Sikkerhedsfiltre kan kun anvendes på tabeller og de poster, de indeholder. I demonstrationen nedenfor anvendes der sikkerhedsfiltre, der begrænser en brugers adgang til posterne i databasen. De anvendte filtre er baseret på Afdeling og Projekt (Globale dimensioner 1 og 2). Når filtrene er anvendt, kan brugeren kun få vist de konti og poster, der har med afdelingen Salg og projektet Toyota at gøre. Scenario: Den eksisterende rolle i Cronus med navnet FIN-KONTO skal udvides, så den også omfatter sikkerhedsfiltre. Anvendelse af sikkerhedsfilter på rollen FIN-KONTO Benyt følgende fremgangsmåde for at anvende sikkerhedsfilteret: 1. Klik på Funktioner Sikkerhed Roller, så vinduet Roller vises. 2. Marker rollen FIN-KONTO, og klik på Rolle Rettigheder. Nu vises vinduet Rettigheder til rollen. 3. Vælg tabellen Finanskonto. 4. Søg i feltet Sikkerhedsfilter, og åbn vinduet Tabelfilter. 5. Søg i feltet Felt, og vælg Global dimension 1-filter på den viste liste. 6. Skriv "Salg" i feltet Filter. 7. Klik på OK for at anvende filteret. FIGUR 6.9 SIKKERHEDFILTER ANVENDT PÅ ROLLEN, FOR SÅ VIDT ANGÅR TABELLEN FINANSKONTO. Du har nu taget sikkerhedsfilteret i anvendelse på rollen FIN-KONTO 6-15

Programopsætning i Microsoft Dynamics NAV 5.0 Anvendelse af sikkerhedsfilter på tabellen Finanspost Når en bruger, der har fået rollen FIN-KONTO tildelt, åbner vinduet Kontoplan, vises der færre oplysninger i felterne Bevægelse og Saldo. Finansposterne er gemt i en separat tabel. Derfor skal du huske at anvende det samme filter på tabellen Finanspost. Du skal anvende filteret på begge tabeller for at sikre, at brugeren ikke kan få adgang til poster, der ikke er angivet i det filter, der er anvendt på tabellen Finanskonto. Det sikrer, at brugeren kun kan se de konti og poster, der stemmer overens med sikkerhedsfilteret. Sikkerhedsmæssige rettigheder og filtre er tabelspecifikke. Når du anvender sikkerhedsfilteret på tabellen Finanspost, skal du vælge Afdeling Kode i feltet Felt. Sådan anvendes det samme filter på tabellen Finanspost: 1. Marker rollen FIN-KONTO, og klik på Rolle Rettigheder. Nu vises vinduet Rettigheder til rollen. 2. Vælg tabellen Finanspost. 3. Søg i feltet Sikkerhedsfilter, og åbn vinduet Tabelfilter. 4. Søg i feltet Felt, og vælg Global dimension 1-kode. 5. Skriv "Salg" i feltet Filter. 6. Klik på OK for at anvende filteret. FIGUR 6.10 SIKKERHEDSFILTERET LIGELEDES ANVENDT PÅ TABELLEN FINANSPOST 6-16

Kapitel 6: Administration af brugerrettigheder Gennemgang af resultatet i vinduet Finansposter Du har nu taget et sikkerhedsfilter i anvendelse på rollen FIN-KONTO Når du har anvendt dette sikkerhedsfilter, kan brugere med denne rolle kun se finanskonti og finansposter, der har med afdelingen Salg at gøre. (Global dimension 1). Finanskonto 8530 indeholder 40 finansposter, der har med alle afdelinger at gøre. Når du har anvendt dette sikkerhedsfilter, kan brugere med rollen FIN-KONTO kun se 14 af disse poster, dvs. de poster, der har med dimensionen SALG at gøre. FIGUR 6.11 VINDUET FINANSPOSTER BEGRÆNSET MED SIKKERHEDSFILTERET, SÅ DER KUN VISES FINANSPOSTER VEDRØRENDE SALG Disse ændringer træder først i kraft, næste gang de brugere, der har fået denne rolle tildelt i databasen, logger på. Hvis nogle af brugerne er logget på i øjeblikket, påvirker dette sikkerhedsfilter ikke deres rettigheder. VIGTIGT: Når du anvender et sikkerhedsfilter på en rolle, ændrer du rollen. Det betyder, at rettighederne samtidig ændres for alle andre brugere, som ligeledes har fået den pågældende rolle tildelt. Hvis du ikke vil have, at de ændrede rettigheder skal gælde for alle andre brugere med samme rolle, kan du overveje at oprette nye sikkerhedsroller, før du ændrer nogle af de sikkerhedsroller, der er standard. Det kan også være en god ide at oprette nye roller, der indeholder sikkerhedsfiltre, og som afspejler virksomhedens sikkerhedsmæssige behov. Hver enkelt afdeling skal muligvis angive deres egne sikkerhedsroller med deres egne individuelle sikkerhedsfiltre. Dette afslutter demonstrationen, der viser, hvordan du anvender sikkerhedsfiltre i SQL Server-granulet. 6-17

Programopsætning i Microsoft Dynamics NAV 5.0 Fletning af sikkerhedsfiltre Oprettelse af et enkelt sikkerhedsfilter er ingen garanti for, at brugeren kun kan se de poster, der er angivet i filteret. Hver enkelt bruger har generelt mere end én rolle i den aktuelle database og modtager rettigheder fra hver af disse roller. En brugers rettigheder er summen af alle de rettigheder, der er angivet for de forskellige roller, som brugeren tildeles. Hvis mere end én rolle giver brugeren adgang til at få adgang til data fra den samme tabel, vil det sikkerhedsfilter, der er angivet for denne tabel i én rolle, ikke have nogen betydning, hvis en anden rolle giver brugeren adgang til at udføre de samme handlinger i den pågældende tabel uden et sikkerhedsfilter. Hvis der ikke anvendes et sikkerhedsfilter, kan brugeren f.eks. læse alle poster i tabellen. Det samme gør sig gældende, hvis brugeren har to roller, der begge giver adgang til den samme tabel, og der er anvendt sikkerhedsfiltre på begge rolle i så fald er det summen af disse filtre, der anvendes. Det betyder, at hvis ét filter angiver, at brugeren kun skal kunne læse post 1 til 10, mens det andet filter angiver post 5 til 20, vil brugeren altså kunne læse post 1 til 20. Brugerspecifik konfiguration I denne lektion vises det, hvordan du kan vælge bestemte programindstillinger, der gælder for individuelle brugere f.eks. hvad de har lov til at bogføre og hvornår, og om programmet skal registrere, i hvor lang tid hver bruger er logget på. I Microsoft Dynamics NAV kan du angive tidsbegrænsninger på bruger-id'er. Hvis du bruger Windows-godkendelse, kan du også angive en tidsgrænse på adgangskoder inden for Windows-domænet. Hvis du har de nødvendige rettigheder, kan du altid slette en brugers logon fra systemet eller annullere alle deres rettigheder. Omvendt kan du også angive en begrænset tidsperiode, hvor et bestemt bruger-id f.eks. skal have lov til at bogføre i programmet. Når du har oprettet et bruger-id, kan du angive, at brugeren med dette id kun kan bogføre i bestemte tidsperioder (f.eks. fra 1. juni til 15. juni), og at programmet skal registrere, hvor meget tid vedkommende har arbejdet i de forskellige regnskaber. Revisorer, som bogfører for andre, kan f.eks. dokumentere, hvor meget tid de har brugt på de forskellige regnskaber. Vinduerne Brugeropsætning og Brugertidsforbrug bruges til dette formål. Brugerne tildeles menuer som et led i udformningen af navigationsruden. Se "Tilpasning af navigationsruden" i dette kursus. Oprettelse af brugere I vinduet Brugeropsætning kan du angive, hvornår de enkelte brugere skal have lov til at bogføre, og om det skal registreres, hvor længe brugerne var logget på. Du kan også tildele brugeren ansvarscentre. 6-18

Kapitel 6: Administration af brugerrettigheder Klik på Administration Programopsætning Brugere Brugeropsætning for at åbne vinduet Brugeropsætning. FIGUR 6.12 OPRETTELSE AF BRUGERE Udfyld felterne i vinduet Brugeropsætning i overensstemmelse med følgende retningslinjer: Felt Bruger-id Bogf. tilladt fra Bogf. tilladt til Registrer tid Filter til salgsansvarscenter Bemærkninger Angiv det bruger-id, som du vil oprette betingelser for. Brugeren skal allerede være oprettet. Hvis du ikke kan huske bruger-id'et, skal du søge i feltet Id for at få vist en liste over de bruger-id'er, der er oprettet i den aktuelle database. Angiv den dato, hvor brugeren har lov til at begynde at bogføre. Angiv den sidste dato, hvor brugeren har lov til at bogføre. Hvis du vil registrere, hvor lang tid en bruger arbejder med regnskabet, skal du markere feltet ved enten at klikke på det eller ved at trykke på MELLEMRUM. Angiv koden til det ansvarscenter, som brugeren skal have tildelt. Søg i feltet for at få vist de ansvarscentre, der er oprettet. Dette ansvarscenter bruges derefter som standard, når brugeren opretter nye salgsdokumenter og -bilag. Brugeren kan kun se salgsordrer, der er oprettet med udgangspunkt i hans eller hendes ansvarscenter. Hvis du lader feltet være tomt, bruges det ansvarscenter, der er standard i Debitor- eller Virksomhedsoplysninger (afhængigt af prioriteringen). 6-19

Programopsætning i Microsoft Dynamics NAV 5.0 Felt Filter til købsansvarscenter Filter til serviceansvarscenter Bemærkninger Angiv koden til det ansvarscenter, som brugeren skal have tildelt. Søg i feltet for at få vist de ansvarscentre, der er oprettet. Dette ansvarscenter bruges derefter som standard, når brugeren opretter nye købsdokumenter og -bilag. Brugeren kan kun se købsordrer, der er oprettet med udgangspunkt i hans eller hendes ansvarscenter. Hvis du lader feltet være tomt, bruges det ansvarscenter, der er standard i Debitor- eller Virksomhedsoplysninger (afhængigt af prioriteringen). Angiv koden til det ansvarscenter, som brugeren skal have tildelt. Søg i feltet for at få vist de ansvarscentre, der er oprettet. Dette ansvarscenter bruges derefter som standard, når brugeren opretter nye servicedokumenter og -bilag. Brugeren kan kun se serviceordrer, der er oprettet med udgangspunkt i hans eller hendes ansvarscenter. Hvis du lader feltet være tomt, bruges det ansvarscenter, der er standard i Debitor- eller Virksomhedsoplysninger (afhængigt af prioriteringen). BEMÆRK! Du kan finde andre felter til bogføringsperioder ved at klikke på Økonomi Opsætning Regnskabsopsætning, men de perioder refererer til hele regnskabet og gælder dermed også for alle brugere. Alt det, du angiver for en bestemt bruger i vinduet Brugeropsætning har højere prioritet end de generelle indstillinger, der er valgt i vinduet Regnskabsopsætning. Hvis feltet Registrer tid i vinduet Brugeropsætning er markeret, indeholder vinduet Brugertidsforbrug oplysninger om, hvornår og hvor længe de enkelte brugere har været logget på regnskabet. Klik på Administration Itadministration Brugere Tidsforbrug. 6-20

Kapitel 6: Administration af brugerrettigheder Vinduet Brugertidsforbrug åbnes. FIGUR 6.13 DET REGISTRERES, HVOR LÆNGE BRUGERNE ER LOGGET PÅ DATABASEN Active Directory-sikkerhed I dette vinduet vises brugernes registrerede tidsforbrug. Linjerne oprettes automatisk, men du kan også angive oplysninger på dem. Tidsforbrug registreres i hele minutter og afrundes til nærmeste hele minut. Der oprettes én linje pr. bruger pr. dag. Hvis den samme bruger arbejder med regnskabet mere end én gang i løbet af en dag, viser linjen det samlede tidsforbrug den pågældende dag. Hvis en bruger først ophører med at arbejde med regnskabet efter midnat, registreres tidsforbruget på den dato, hvor arbejdet begyndte, og ikke på den dato, hvor det blev afsluttet. Hvis dit netværk og dine klienter bruger Active Directory eller er Active Directory-aktiverede, har du adgang til ekstra sikkerhedsfunktioner. Du kan give Windows-brugere og -grupper roller i Microsoft Dynamics NAV. Du kan også gøre roller i Microsoft Dynamics NAV til medlemmer af sikkerhedsgrupper i Windows. Men de enkelte rettigheder, der tildeles rollerne, kan kun administreres fra Microsoft Dynamics NAV. Tjenesten Active Directory giver Microsoft Dynamics NAV flere nye sikkerhedsfunktioner. Administrerer kan f.eks.: Give brugere eller nægte brugere adgang til Microsoft Dynamics NAV ved ganske enkelt at føje dem til en sikkerhedsgruppe i Windows eller slette dem fra en sådan gruppe. Give andre personer i organisationen adgang til at oprette og administrere brugere og grupper (f.eks. afdelingsledere). Active Directory-sikkerhed understøtter også Windows-godkendelse og kan levere: Sikker validering og kryptering af adgangskoder 6-21

Programopsætning i Microsoft Dynamics NAV 5.0 En tidsbegrænsning på adgangskoder En minimumlængde på adgangskoder Udelukkelse af kontoen, når der er angivet en forkert adgangskode Active Directory og Microsoft Dynamics NAV Hvis de funktioner, som sikkerhedssystemet i Active Directory kan give, skal kunne udnyttes i fuldt omfang, skal klientcomputerne og domæne-controlleren til Microsoft Dynamics NAV alle enten køre Microsoft Windows Server 2003, Microsoft Windows Vista, Microsoft Windows XP eller på anden måde have adgang til Active Directory. Hvis dine Microsoft Dynamics NAV-klientcomputere ikke har adgang til Active Directory, kan vinduet Windows-brugere & -grupper ikke ses på dem. Active Directory tillader administratoren at give administrative rettigheder til andre brugere og dermed delegere store ansvarsområder ud på andre personer i organisationen. Denne funktion gør opgaven med at administrere Microsoft Dynamics NAV mere fleksibel. Andre brugere, f.eks. afdelingsledere, kan administrere alle de grupper, som de har brug for i deres afdelinger, fra Microsoft Management Console. Med dette værktøj kan du gøre Windows-brugere til medlemmer af bestemte sikkerhedsgrupper, som allerede har fået tildelt roller i Microsoft Dynamics NAV. Du kan kontrollere adgangen til og rettighederne i Microsoft Dynamics NAV uden først at åbne programmet forudsat, at sikkerhedsgrupperne i Windows er tildelt de relevante roller i Microsoft Dynamics NAV. I et Active Directory-miljø kan du oprette brugere og roller fra Windows-konti i Microsoft Dynamics NAV og redigere de rettigheder, der hører til disse brugere og roller. Alle sikkerhedsgrupper i Active Directory kan ses i Microsoft Dynamics NAV og kan tildeles roller i Microsoft Dynamics NAV. Tilføjelse af Windows-brugere eller -grupper til en rolle i Microsoft Dynamics NAV Med Active Directory får du mulighed for at give Windows-brugere og -grupper roller i Microsoft Dynamics NAV. Benyt følgende fremgangsmåde: 1. Klik på Funktioner Sikkerhed Roller for at åbne vinduet Roller. 2. Vælg den rolle i Microsoft Dynamics NAV, som skal tildeles, klik på Rolle Windows-logon, så vinduet Windows-logon til denne rolle vises. I vinduet kan du se alle Windows-brugere og -grupper, som allerede har fået roller i Microsoft Dynamics NAV. 3. Hvis du vil føje en Windows-bruger eller -gruppe til listen, skal du markere en række eller oprette en tom række ved at klikke på Rediger Indsæt ny (eller bruge F3). 6-22

Kapitel 6: Administration af brugerrettigheder 4. Søg i feltet Logon-id for at åbne vinduet Windows-logon. I dette vindue vises en oversigt over alle de Windows-brugere og -grupper, der kan logge på Microsoft Dynamics NAV. 5. Vælg den bruger eller gruppe, som du vil tildele denne rolle i Microsoft Dynamics NAV, og klik derefter på OK. Brugeren eller gruppen føjes nu til den liste, der er vist i vinduet Windows-logon til denne rolle. Tilføjelse af roller i Microsoft Dynamics NAV til en Windows-sikkerhedsgruppe Med Active Directory kan du også gøre logon og roller i Microsoft Dynamics NAV til medlemmer af sikkerhedsgrupper i Windows. Benyt følgende fremgangsmåde: 1. Klik på Funktioner Sikkerhed Windows-logon på menulinjen for at åbne vinduet Windows-logon. I dette vindue vises en liste over alle de Windows-brugere og -grupper, der i øjeblikket kan få adgang til systemet. 2. Vælg det Windows-logon, som du vil føje til en Microsoft Dynamics NAV-rolle. 3. Klik på Roller, og vælg den relevante rolle i det viste vindue Roller. Denne rolle og alle de individuelle brugere, der har fået denne rolle tildelt, føjes nu til det Windows-logon, som du valgte tidligere. Oversigt I dette kapitel beskrives koncepter som logon, roller og rettigheder, som er afgørende i forbindelse med administrationen af brugerrettigheder i Microsoft Dynamics NAV. Centrale administratoropgaver gennemgås, og det beskrives, hvordan data kan sikres mest effektivt i systemet med database- og/eller Windows-logon. Som programadministrator vil du have glæde af at læse dette kapitel, før du påtager dig ansvaret med at oprette, konfigurere og administrere virksomhedens sikkerhedssystem. 6-23

Programopsætning i Microsoft Dynamics NAV 5.0 Test din viden Spørgsmål med én svarmulighed 1. Hvilken bruger skal oprettes før alle andre i Microsoft Dynamics NAV? ( ) En superbruger ( ) En databaseadministrator ( ) En Windows-domæneadministrator ( ) En lokal administrator til Windows Server 2003 Spørgsmål med flere svarmuligheder 2. Hvad sker der, hvis du giver en bruger Single Sign-on-adgang til at logge på Microsoft Dynamics NAV? (Marker alle relevante svar). ( ) Det er ikke nødvendigt at angive et bruger-id og en adgangskode, når der åbnes en database på en anden server ( ) Når brugeren åbner Microsoft Dynamics NAV, kontrolleres det automatisk, om brugeren har et Windows-logon i programmet ( ) Brugeren behøver aldrig angive Windows- eller Microsoft Dynamics NAV-legitimationsoplysninger for at få adgang til oplysninger i virksomhedsstyringssystemet ( ) Hvis brugeren ikke har en gyldig Windows-konto, eller hvis vedkommendes konto ikke omfatter rettighed til at logge på databasen, mislykkes godkendelsen Spørgsmål med flere svarmuligheder 3. Hvad sker der, når du anvender et filter på en rolle? (Marker alle relevante svar). ( ) Det ændrer rollen ( ) Det ændrer ikke de rettigheder, som andre brugere med samme rolle har ( ) Det ændrer rettighederne for alle brugere med samme rolle ( ) Det ændrer kun rettighederne for de brugere, som senere tildeles samme rolle 6-24

Kapitel 6: Administration af brugerrettigheder Hurtig interaktion: Resumé Brug et øjeblik på at skrive tre nøglepunkter ned, som du har lært i dette kapitel: 1. 2. 3. 6-25

Programopsætning i Microsoft Dynamics NAV 5.0 Løsninger Test din viden Spørgsmål med én svarmulighed 1. Hvilken bruger skal oprettes før alle andre i Microsoft Dynamics NAV? ( ) En superbruger ( ) En databaseadministrator ( ) En Windows-domæneadministrator ( ) En lokal administrator til Windows Server 2003 Spørgsmål med flere svarmuligheder 2. Hvad sker der, hvis du giver en bruger Single Sign-on-adgang til at logge på Microsoft Dynamics NAV? (Marker alle relevante svar). ( ) Det er ikke nødvendigt at angive et bruger-id og en adgangskode, når der åbnes en database på en anden server ( ) Når brugeren åbner Microsoft Dynamics NAV, kontrolleres det automatisk, om brugeren har et Windows-logon i programmet ( ) Brugeren behøver aldrig angive Windows- eller Microsoft Dynamics NAV-legitimationsoplysninger for at få adgang til oplysninger i virksomhedsstyringssystemet ( ) Hvis brugeren ikke har en gyldig Windows-konto, eller hvis vedkommendes konto ikke omfatter rettighed til at logge på databasen, mislykkes godkendelsen Spørgsmål med flere svarmuligheder 3. Hvad sker der, når du anvender et filter på en rolle? (Marker alle relevante svar). ( ) Det ændrer rollen ( ) Det ændrer ikke de rettigheder, som andre brugere med samme rolle har ( ) Det ændrer rettighederne for alle brugere med samme rolle ( ) Det ændrer kun rettighederne for de brugere, som senere tildeles samme rolle 6-26