Berechtigungen - Microsoft Dynamics CRM 4.0: Installation und Konfiguration

Hallo Community,

ich habe ein großes Problem. Und zwar haben wir hier ein CRM System am laufen, wo noch nicht wirklich was zum Thema Berechtigungen getan wurde.
Sprich: Jeder sieht alles und kann dementsprechend auch alle E-Mails etc lesen.
Dies wollen wir nun unterbinden.
Sprich, die Vertriebsmitarbeiter sollen nicht unbedingt den E-Mail Verkehr von der Geschäftsführung usw. lesen können.

Was muss ich tun? Habe mal ein bisschen mit den Rollen bzw. Team Einstellungen geguckt, aber nichts brauchbares gefunden?

Wer kann mir helfen? Vielen Dank!

Das Berechtigungsmodell von CRM lässt sehr granulare Einstellungen zu und sollte in aller Konsequenz geplant werden. Ich würde Dir den WebCast von John empfehlen: http://channel9.msdn.com/posts/jodonnell/Microsoft-Dynamics-CRM-40-Security-with-John-ODonnell/

Und dann natürlich das SDK: http://msdn.microsoft.com/en-us/library/bb955124.aspx

Damit solltest Du ein auch für Euch geeignetes Sicherheitsmodell planen können

Danke für die schnelle Hilfe...
werde mir das mal alles genauer angucken.
Melde mich wieder um über den aktuellen Stand der Dinge zu berichten.

grüße

Wenn Du Hilfe benötigst, immer wieder gern. Du kennst ja die Anlaufstelle...

und die nehme ich doch glatt in Anspruch! :-)
Also ich ahbe mir das Video mal angeguckt. Denke ich habe das meiste verstanden^^

Also ich musste feststellen, dass wir zum Thema Sicherheit noch nicht wirklich was aufgebaut haben.

Meine Vorgehensweise sieht folgendermaßen aus:

Ich lege Unternehmenseinheiten an. Die übergeordnete ist fest im System verankert. Da sind derzeit alle User drinne.
Jetzt splitte ich das ganze was auf:
Bsp: Admin (Admin) GF ( Geschäftsführung) VB (vertrieb) Belegs (restliche Belegschaft) Sonst. (sonstige)

Stecke dort die User rein und definiere die jeweiligen Rollen.
Und da ist jetzt das nächste Problem.
Ich möchte folgendes:
Kann ich die Aktivitäten so steueren, dass nicht jeder die Emails von den anderen lesen kann? Wobei aus der Gruppe Vertrieb es durchaus Sinn macht wenn die Emails angezeigt werden.
Es macht auch Sinn dass die User aus der Einheit GF die Emails aus dem Vertrieb lesen. Der umgekehrte Weg soll aber unterbunden werden. Geht es auch dass ein anderer User aus der Einheit GF nicht alle Emails lesen kann? Also dass man es noch bestimmen kann? gibt ja hin und wieder emails die auch nicht der direkte Partner lesen soll....

Fragen über Fragen.... hoffe ich bin auf dem richtigen weg und konnte mein Problem halbwegs erklären...

Danke

es sei noch gesagt, dass ich mein CRM so konfigurieren möchte, dass ich jedes einzelene Atom "onTheFly" definieren möchte, wer dies sehen / nutzen darf....

Also, bis auf den CRM Administrator (der sollte immer ! in der Root Unternehmenseinheit verweilen) kannst Du alle weiteren User untergeordnete Unternehmenseinheiten zuweisen.

Nun gibt es an den jeweiligen Entitäten die Berechtigungsstufen. Für Aktivitäten gibt es nur eine Zeile (sprich alle Aktivitäten). Du kannst also nicht zwischen E-mails, Aufgaben, etc. unterscheiden, sondern triffst eine Rechtezuweisung für alle Aktivitäten.

Du kannst jetzt das Lese-Recht z.B. nur auf Benutzer stellen, dann kann der Benutzer nur seine eigenen bzw. die in seinem Besitz befindlichen Aktivitäten lesen. Wenn Du das Recht auf Unternehmenseinheit setzt, dann können alle User, die in der gleichen Unternehmenseinheit sind die Aktivitäten ebenfalls lesen. Wenn Du es auf Untergeordnete Unternehmenseinheit setzt, dann können alle User aus der Unternehmenseinheit des Users, sowie der Untergeordneten Unternehmenseinheit des Users die Aktivitäten. Und wenn Du Organisation auswählst, dann haben alle das Recht die Aktivitäten zu lesen.

In einem CRM geht es nicht um "Geheimniskrämerei", sondern ja um den Anspruch möglichst vielen Personen viele Informationen liefern zu können. Daher ist ein geeignetes Sicherheitsmodell manchmal ein Kompromiss. (Wie bspw. bei den Aktivitäten).

Wenn man übrigens einzelne Elemente für andere User "freigeben" möchte, so kann man dies über die Aktion "Freigeben". Dort kann man dann Usern (z.B. aus anderen Unternehmenseinheiten) explizite Rechte auf das jeweilige Objekt geben.

Hast Du also z.B. die Aktivitäten so eingestellt, dass jeder User für die Aktivitäten die Lese-Rechte nur auf Benutzer hat, so kann nur der Benutzer seine E-Mails lesen. Will er nun, dass weitere Nutzer das Element lesen können, so muss er dies freigeben und weitere User-Berechtigungen hinzufügen.

Mit diesem Konstrukt aus Sicherheitsrolle und Nutzer-Freigabe kann man also geeignete Kombinationen bilden, um gewissen Usern das Recht zum Lesen/Schreiben/etc. zu geben.