Zugriffsrechte für Inventur verwalten
Die richtige Berechtigungsverwaltung stellt sicher, dass Benutzer nur die Inventurdaten sehen und bearbeiten können, die für ihre Rolle relevant sind. eTASK nutzt dafür ein System von Automatikgruppen, das einfach zu verwalten und gleichzeitig flexibel ist.
Das Automatikgruppen-Konzept
eTASK verwendet vordefinierte Benutzergruppen (sogenannte "Automatikgruppen"), die bestimmten Rollen entsprechen. Benutzer werden diesen Gruppen zugeordnet und erhalten automatisch die passenden Berechtigungen.
[LINK: Benutzergruppen und Automatikgruppen]
Wichtig: Automatikgruppen basieren auf Produkten und Modulen von eTASK. Die Nummer und das Suffix bestimmen die Berechtigungsebene.
Relevante Automatikgruppen für Inventur
Administrator
Gruppe: ADM
- Globale Administratorengruppe ohne Einschränkungen
- Vollzugriff auf alle Bereiche, Module und Einstellungen
- Für: IT-Abteilung, Systemverantwortliche
Facility Manager
Gruppen: 1000-A und 1040-A
- Administration mit Bearbeitungsrechten auf allen Menüpunkten
- 1000-A: eTASK.FM-Portal (Basisprodukt)
- 1040-A: Inventur-Modul
- Für: Facility Management, Inventurleitung
Sachbearbeiter
Gruppen: 1000-B, 1040-B und 2040-B
- Bearbeitungsrechte außerhalb der Systemsteuerung
- In der Systemsteuerung nur Leserechte (Stammdaten, Kataloge)
- 1000-B: eTASK.FM-Portal
- 1040-B: Inventur-Modul
- 2040-B: My eTASK App, Modul Inventur
- Für: Controlling, Anlagenbuchhaltung
Inventur-Team
Gruppe: 2040-B
- Bearbeitungsrechte in der My eTASK App für Inventur
- Erfassen und Aktualisieren von Objekten
- Keine Systemsteuerung
- Für: Mobile Inventur-Teams, externe Dienstleister (temporär)
Lesezugriff
Gruppen: 1000-L bzw. 1040-L
- Leserechte auf allen Menüpunkten
- Keine Bearbeitungsmöglichkeiten
- 1000-L: eTASK.FM-Portal
- 1040-L: Inventur-Modul
- Für: Geschäftsführung, Wirtschaftsprüfer, Berichtswesen
Produktnummern und Suffix-Bedeutung
Produktnummern
1000: eTASK.FM-Portal (Basisprodukt)
- Grundfunktionen wie Gebäude, Räume, Objekte
- Basis für alle anderen Module
1040: Inventur
- Inventur-spezifische Funktionen
- Erweitert 1000 um Inventur-Workflows
2040: My eTASK App, Modul Inventur
- Mobile Inventur-App für Smartphones und Tablets
- Scannen, Erfassen, Aktualisieren vor Ort
Suffix-Bedeutung
-A: Administration
- Bearbeitungsrechte auf jedem Menüpunkt
- Voller Zugriff inklusive Systemsteuerung
- Höchste Berechtigungsstufe unterhalb ADM
-B: Bearbeiten
- Bearbeitungsrechte außerhalb der Systemsteuerung
- In der Systemsteuerung nur Leserechte
- Zugriff auf Stammdaten und Kataloge nur lesend
-L: Lesen
- Leserechte auf allen Menüpunkten
- Keine Bearbeitungsmöglichkeiten
- Für Reporting und Kontrolle
Liegenschaftsbasierte Berechtigungen
Wenn verschiedene Teams nur ihre eigenen Liegenschaften verwalten sollen, funktioniert das über "logische Mandanten".
Prinzip:
- Benutzer werden einer oder mehreren Liegenschaften zugeordnet
- Sehen und bearbeiten nur Objekte in diesen Liegenschaften
- Andere Liegenschaften sind nicht sichtbar
[LINK: Logische Mandanten einrichten] [LINK: Berechtigungen nach Liegenschaften]
Anwendungsfall:
- Facility Manager München: Sieht nur Liegenschaft München
- Facility Manager Berlin: Sieht nur Liegenschaft Berlin
- Administrator: Sieht alle Liegenschaften
Berechtigungen in der Praxis
Typische Rollenzuordnungen
Inventurleitung / Facility Management:
- 1000-A (eTASK.FM-Portal Administration)
- 1040-A (Inventur Administration)
- Optional: Zuordnung zu spezifischen Liegenschaften
Controlling / Anlagenbuchhaltung:
- 1000-B (eTASK.FM-Portal Bearbeiten)
- 1040-B (Inventur Bearbeiten)
- Kann Objekte erfassen und ändern, aber keine Systemeinstellungen
Mobiles Inventur-Team:
- 2040-B (My eTASK App Inventur)
- Erfasst Objekte vor Ort mit Smartphone/Tablet
- Keine Portal-Rechte erforderlich
Externe Dienstleister (temporär):
- 2040-B (My eTASK App Inventur)
- Zugang zeitlich befristet
- Nach Projektende deaktivieren
Geschäftsführung / Berichtswesen:
- 1000-L (eTASK.FM-Portal Lesen)
- 1040-L (Inventur Lesen)
- Nur zur Einsicht und für Berichte
Benutzer anlegen und Gruppen zuweisen
Im Portal:
- Administration → Benutzer → Neuer Benutzer
- Benutzerdaten eingeben (Name, E-Mail)
- Automatikgruppen zuweisen (z.B. 1040-A, 2040-B)
- Optional: Liegenschaft(en) zuweisen
- Speichern
Testen:
- Als neuer Benutzer anmelden
- Prüfen: Sind die richtigen Menüpunkte sichtbar?
- Prüfen: Können Daten bearbeitet werden (falls -A oder -B)?
Best Practices
Minimale Rechte vergeben:
- Start mit Lesezugriff (-L)
- Bei Bedarf auf Bearbeiten (-B) erweitern
- Administration (-A) nur für verantwortliche Personen
Gruppen statt Einzelrechte:
- Automatikgruppen nutzen (nicht individuelle Berechtigungen)
- Einfacher zu verwalten und konsistent
Temporäre Zugänge begrenzen:
- Bei externen Dienstleistern: Zeitlich befristeten Zugang
- Nach Projektende sofort deaktivieren
Dokumentation:
- Wer hat welche Gruppen zugewiesen?
- Bei Zuständigkeitswechsel: Rechte anpassen
Regelmäßige Überprüfung:
- Halbjährlich Benutzer-Liste durchgehen
- Ausgeschiedene Mitarbeiter deaktivieren
- Nicht mehr benötigte Rechte entziehen
Zusammenfassung
Automatikgruppen für Inventur:
ADM: Globaler Administrator (alle Rechte)
1000-A, 1040-A: Facility Manager (Administration)
1000-B, 1040-B, 2040-B: Sachbearbeiter (Bearbeiten)
2040-B: Inventur-Team (Mobile App)
1000-L, 1040-L: Lesezugriff
Gruppenstruktur:
- 1000: eTASK.FM-Portal (Basisprodukt)
- 1040: Inventur-Modul (Portal)
- 2040: My eTASK App, Modul Inventur (Mobil)
Suffix:
- -A: Administration (alle Menüpunkte bearbeitbar)
- -B: Bearbeiten (außerhalb Systemsteuerung bearbeitbar, Systemsteuerung nur lesen)
- -L: Lesen (alle Menüpunkte nur lesen)
Liegenschaftsbasierte Berechtigungen: Zusätzliche Einschränkung über "logische Mandanten" möglich.
[LINK: Logische Mandanten einrichten]
Weiterführende Artikel:
- [LINK: Benutzergruppen und Automatikgruppen]
- [LINK: Logische Mandanten einrichten]
- [LINK: Inventur-Team vorbereiten und einweisen]