Business Central – Profile und Berechtigungen

Ich habe über Profile und Berechtigungen bereits Beiträge geschrieben, diese haben sich allerdings eher mit dem Prinzip und weniger mit der Durchführung beschäftigt.

Profiles Title

Profile und Berechtigungen

Ich habe über Profile und Berechtigungen bereits hier und hier Beiträge geschrieben, diese haben sich allerdings eher mit dem Prinzip und weniger mit der Durchführung beschäftigt. Ich gebe auch zu, dass ich vielleicht ein bisschen Verwirrung ausgelöst habe, dies liegt allerdings in der Natur der Sache, weil eben Berechtigungen und Profile sehr eng mit Benutzern verknüpft aber trotzdem vollkommen unterschiedlich sind. 

Nochmals zur Wiederholung: Profile bzw. Rollen geben Benutzern eine definierte Anzahl von Funktionen/Grafiken/Listen auf einer Homepage (Cockpit) und einem Rollenmenü (“Rollen Explorer”) vor, unabhängig davon, ob sie diese ausführen dürfen oder nicht. 

Berechtigungen bzw. Berechtigungssätze werden ebenfalls Benutzern oder Benutzergruppen zugeordnet und erlauben die Ausführung der darin definierten Funktionen. Dies hat jedoch nichts mit der Anzeige zu tun, Sie dürfen möglicherweise eine Funktion ausführen, Sie sehen sie aber nicht in ihrem Cockpit, sondern nur in der dahinterliegenden Gesamtübersicht wie ich sie nenne (früher Abteilungsmenü, jetzt manchmal Rollen Explorer).  

Profile (Rollen)

Liste Profile

Wenn sie über die Suchfunktion die Seite Profile (Rollen) öffnen dann sehen Sie zuerst eine Liste, die in etwa so aussieht wie oben gezeigt.

In der ersten Spalte sehen Sie die Profil-ID, also den Kurznamen des Profils wie er an verschiedenen Stellen zur Auswahl angezeigt wird. In der zweiten Spalte befindet sich der Anzeigename, also eine längere Bezeichnung der Rolle. In Spalte 3 wird angezeigt, woher dieses Profil kommt, entweder aus der Basisapplikation oder aus einer Erweiterung. Die “Rollecenter-ID” zeigt die Nummer der Code Unit an, die für dieses Profil verantwortlich ist. Hier können Basisfunktionen programmiert werden, die über die vom Admin änderbaren Funktionen hinausgehen. Die “Aktiviert” Spalte zeigt an, ob das betreffende Profil (über “Meine Einstellungen”) generell zur Verfügung steht, in der nächsten Spalte kann ein Standardprofil definiert werden, das für alle neuen Benutzer zunächst verwendet wird. Ganz rechts können Sie festlegen, ob ein Profil im Rollen Explorer (das von mir an anderer Stelle als Gesamtmenü bezeichnet wird) sichtbar ist. Das macht leider (getestet!) überhaupt keinen Sinn, da das aktuelle Profil immer im Rollenexplorer angezeigt wird. Ich habe allerdings gelesen, dass der Rollenexplorer nur dann angezeigt wird, wenn mindestens ein Profil hier ein Häkchen hat.

Profil Detail

In der Profilkarte (wie immer erreichbar aus der Aktionsleiste der Liste über Verwalten / Bearbeiten oder Ansicht) sehen Sie die gleichen Felder wie oben beschrieben, erweitert um eine ausführliche Beschreibung und den Punkt “Anpassung deaktivieren”. Für letzteren gibt es nur eine sehr unzureichende Erklärung, aber ich habe es getestet und über diese Funktion werden Personalisierungen des Benutzers verhindert – der Menüpunkt erscheint dann nicht mehr im Zahnradmenü rechts oben.

Wenn Sie als Admin in der Aktionsleiste der Profilliste oder der Profilkarte auf “Seiten anpassen” klicken, dann wird in einem neuen Browsertab die Personalisierungsoberfläche für dieses Profil geöffnet. Dort können Sie die gleichen Änderungen vornehmen, die auch über die eigene Personalisierung gemacht werden können. Nur gelten diese dann für alle Benutzer, die dieses Profil verwenden. Mehr zur Personalisierung finden Sie hier.

Wie an anderer Stelle bereits erwähnt – ich halte die Möglichkeiten, die die Personalisierung durch den Benutzer oder den Admin bietet, für vollkommen unzureichend und sie sind (IMHO) bestenfalls ein Marketing Gag. Es fehlen der “Verlauf” Button und der “Home” Button und es fehlt die Möglichkeit, individualisierte (=gefilterte) Listen auf der Homepage zu platzieren. Ich kann mir gut vorstellen, dass Benutzer (gerade wenn sie aus der alten NAV Welt kommen) durch das viele sinnlose Herumgeklicke nervös werden – weil ja viele Standard Browser Funktionen (Fenster verschieben, minimieren, in neuem Tab öffnen) eben nicht gehen. Das ist technisch erklärbar aber dem Benutzer leider egal…

Personalisierung Profil

Berechtigungssätze

Die Überschrift nennt sich absichtlich “Berechtigungssätze” und nicht “Berechtigungen” da die Struktur in Business Central den Berechtigungssatz (“Permission Set”) als Sammlung von Berechtigungen logischerweise über die einzelne Berechtigung stellt.

Es gibt Benutzer oder Benutzergruppen denen ein oder mehrere Berechtigungssätze zugeordnet werden. Ein Berechtigungssatz setzt sich aus einer oder mehreren Berechtigungen (in der Aktionsleiste “Zugriffsrechte” genannt) zusammen. Jede Berechtigung betrifft ein Objekt in Business Central wobei jeweils definiert werden kann, ob die Berechtigung Lesen, Einfügen, Ändern, Löschen, Ausführen oder eine Kombination dieser Aktionen beinhaltet.

Berechtigungssätze

Im Bild oben sehen Sie eine Liste der Berechtigungssätze und obwohl es in der Aktionsleiste einen Punkt “Liste bearbeiten” gibt, können Sie lediglich den Namen bei so genannten benutzerdefinierten Berechtigungssätzen ändern. Auch alle anderen Operationen können Sie nur an benutzerdefinierten Berechtigungssätzen durchführen. Allerdings ist es mir sehr wohl gelungen, Systemsätze zu ändern. Warum und wieso muss ich noch herausfinden – Microsoft schreibt dazu explizit:

Eine Business Central-Lösung enthält normalerweise mehrere vordefinierte Berechtigungssätze, die von Microsoft oder von Ihrem Software-Anbieter hinzugefügt werden. Diese Berechtigungssätze sind vom Typ System oder Erweiterung. Sie können diese Art der Berechtigungssätze oder die Berechtigungen darin nicht erstellen oder bearbeiten. Jedoch können Sie sie kopieren, um eigene Berechtigungssätze und Berechtigungen zu definieren.

Berechtigungssätze, die Benutzer neu oder als Kopien erstellen, sind vom Typ Benutzerdefiniert und können bearbeitet werden.

Berechtigungssatz kopieren

Um einen benutzerdefinierten Berechtigungssatz zu erzeugen, müssen Sie einen bestehenden Satz kopieren. Markieren Sie dazu jenen Satz, den Sie kopieren wollen mit einem Klick und wählen Sie dann in der Aktionsleiste den Punkt “Berechtigungssatz kopieren”. In der nun folgenden Maske geben Sie einen Namen für den neuen Berechtigungssatz an und legen Sie fest, ob Sie bei Änderungen des Originalsatzes informiert werden wollen.

Berechtigungssatz kopieren
Zugriffsrechte

In der Liste Berechtigungssätze markieren Sie einen benutzerdefinierten Satz, den Sie ändern möchten und klicken Sie in der Aktionsleiste auf “Zugriffsrechte”. Sie sehen nun eine Liste der aktuellen Zugriffsrechte pro Objekt für diesen Berechtigungssatz. Um eine Berechtigung zu löschen markieren Sie die betreffende Zeile und klicken im Menü auf “Löschen” bzw. wählen die entsprechende Aktion in der dritten Spalte aus. Um eine Berechtigung hinzuzufügen, klicken Sie in der Aktionsleiste auf “Neu” und füllen Sie die entstandene Zeile entsprechend aus.

Der farblich unterlegte Teil gehört inhaltlich zu den Zugriffsrechten (oder Berechtigungen), quasi als Untermenü zu den Berechtigungssätzen….

Zugriffsrechte

Hierbei haben Sie die folgenden Möglichkeiten: 

Objekttyp – wählen Sie aus folgenden Objekttypen aus: Table Data, Table, Report, Codeunit, XMLport, MenuSuite, Page, Query oder System. 

Wenn Sie hier nicht wissen was Sie nehmen sollen, so fragen Sie bitte Ihren Admin oder einen BC Consultant, die Erklärung der Objekte und ihrer Funktionen sprengt den Scope dieser Dokumentation.

Objekt ID – Klicken Sie in dem Feld auf die drei Punkte rechts und wählen Sie das richtige Objekt über Markieren und OK aus. Bitte beachten Sie, dass Ihnen nur Objekttypen (hier Objektart genannt) angeboten werden, wie Sie sie ganz links in der ersten Spalte gewählt haben. Sollten Sie ein bereits existierendes Objekt gewählt haben, so macht sie das System über eine Fehlermeldung darauf aufmerksam.

Objektname – Dieser füllt sich automatisch, wenn Sie die Objekt-ID gewählt haben

Berechtigungen – Setzen Sie in den folgenden fünf Spalten die Berechtigung zum Lesen, Einfügen, Ändern, Löschen oder Ausführen.

Security Filter – Hier haben Sie die Möglichkeit, die Berechtigung zusätzlich auf einzelne Felder und deren Werte zu beschränken. Klicken Sie dazu im Feld Security Filter auf die drei Punkte und wählen Sie Felder und die entsprechenden Operanden und Werte – wie in dem Fall unten wo das Feld Währung auf Euro beschränkt wurde.

Security Filter

Bitte beachten Sie: über diese händische Methode etwas halbwegs Sinnvolles zustande zu bringen ist nicht einfach. Planen Sie daher für das korrekte Einstellen der Berechtigungen Zeit und Nerven ein!

Andere Punkte in der Aktionsleiste Zugriffsrechte / Berechtigungen

Beim Klick auf Aktionen in der Aktionsleiste der Berechtigungskarte öffnet sich eine zweite Leiste, wo sie in erster Linie die Berechtigungen der markierten Zeile ändern können. Allerdings ist es wesentlich einfacher, diese direkt in der Zeile zu bearbeiten, wenn sie editierbar ist – in der Aktionsleiste mit “Liste bearbeiten”.

Wichtiger ist der Punkt “Berechtigungssätze verwalten“. Hier haben Sie wiederum drei Unterpunkte zur Auswahl:

Leseberechtigungen zu zugehörigen Tabellen hinzufügen

Wenn Sie einem Benutzer oder einer Benutzergruppe Tabellendaten für Manipulationen (lesen, schreiben, ändern) öffnen, dann müssen manchmal auch verbundene Tabellen zumindest lesend zur Verfügung gestellt werden, um den gewollten Zugriff zu ermöglichen. Sie können das leicht überprüfen, indem sie beispielsweise einen neuen Berechtigungssatz erstellen und dann nur die Tabelle 27 (Artikel) berechtigen. Wenn sie anschließend den Punkt “Leseberechtigungen hinzufügen” ausüben, dann sehen Sie, dass ungefähr 20 Tabellen hinzukommen, und zwar in erster Linie Hilfsdaten, die der Benutzer zumindest sehen (= auswählen) können muss, um einen Artikel zu erstellen, also z. B. Einheiten, Kategorien oder Nummernserien 

Berechtigungssatz ein- / ausschließen

Auch diese Punkt hilft Ihnen, Arbeit zu sparen.  Damit können Sie einen anderen Berechtigungssatz auswählen und die darin enthaltenen Berechtiigungen von den aktuellen abziehen oder hinzufügen. Wenn also ihre Berechtigungssätze schön nach Funktionen getrennt sind, so ist das eine einfache Möglichkeit, quasi im Baukastensystem, einen Berechtigungssatz zu erstellen. 

Berechtigungssatz einschließen

Berechtigungssatz auswählen

Leider verstehe ich diesen Punkt nicht ganz, er dient offensichtlich nur dazu, den Berechtigungssatz schnell zu wechseln. Anstelle die aktuelle Maske zu verlassen, können Sie nach Beendigung eines Berechtigungssatzes sofort den nächsten angehen. Wenn man allerdings bedenkt, wie oft so etwas in der Lebenszeit eines ERP Systems vorkommt, so hält sich hier wahrscheinlich der Nutzen in Grenzen.

Aufzeichnung Starten / Beenden

Aufzeichnung starten

Über diese beiden Funktionen können Sie die Aufzeichnung von Tätigkeiten in Business Central starten und beenden wobei dabei alle von ihnen durchgeführten Aktionen in Berechtigungen übersetzt und dem aktuellen Berechtigungssatz hinzugefügt werden.  Dies ist eine sehr einfache und effektive Methode, Berechtigungen zu erstellen, da man nur das tun muss, was man im Zuge der normalen Abläufe tun würde. Der Haken dabei ist, dass man alle möglichen Varianten durchspielen muss, um wirklich auch alle notwendigen Berechtigungen zu erfassen. Selbstverständlich können auf diese Art und Weise aufgezeichnete Berechnungen dann auch manuell ergänzt oder berichtigt werden.

Klicken Sie auf den “Starten” Button und erstellen Sie beispielsweise eine Bestellung, liefern und buchen Sie diese. Erfassen und buchen Sie anschließend eine Einkaufsrechnung. Erfassen Sie später einlangende Zusatzkosten, verknüpfen Sie diese mit den Artikeln und führen Sie dann noch eine Einkaufsreklamation inklusive Rücksendung durch. Damit sollten Sie alle für den Einkauf notwendigen Tätigkeiten erfasst und die Berechtigungen aufgezeichnet haben. Wenn Sie jetzt zurück in die Zugriffsrechte gehen und auf “Beenden” klicken, werden Sie gefragt, ob Sie die erfassten Berechtigungen hinzufügen möchten. Beim Klick auf JA passiert genau das und nach einigen Sekunden sollten Sie sie in der Liste sehen.

Berechtigungen hinzufügen

Bitte beachten: Je nach Länge und Umfang der Aufzeichnung kann der Prozess des Hinzufügens ein bisschen dauern.

SmartList Berechtigungen

Hier muss ich leider passen, weder die Microsoft Hilfe noch das Internet in seiner grenzenlosen Weisheit kennt diesen Begriff in Zusammenhang mit Business Central. Es gibt einige wenige Erwähnungen in Bezug auf Great Plains aber leider nicht mehr.  Sollte ich hier eine Erklärung finden dann werde ich den Text selbstverständlich ergänzen.

Benutzergruppen

Hierzu habe ich im letzten Beitrag bereits etwas geschrieben, Benutzergruppen sind eigentlich Berechtigungsgruppen und sollten auch als solche bezeichnet werden. Allerdings ist auch das, wie so vieles in Business Central, eine Gewohnheitssache.

Berechtigungssätze im- / Exportieren

Um Berechtigungen schnell einzurichten, können Sie Berechtigungssätze importieren, die Sie aus einem anderen Business Central Mandanten exportiert haben. In Umgebungen mit mehreren Mandanten wird ein Berechtigungssatz in einen bestimmten Mandanten importiert, d. h. der Umfang des Imports ist „Mandant“.

Wählen Sie auf der Seite Berechtigungssätze unter „Mandant 1“ die zu exportierende(n) Zeile bzw. Zeilen für die Berechtigungssätze und dann die Aktion “Berechtigungssätze exportieren” aus. Eine XML-Datei mit dem Namen „Export Permission Sets.xml“ wird im Download-Ordner auf Ihrem Computer erstellt.

Wählen Sie auf der Seite Berechtigungssätze im Zielmandant die Aktion “Berechtigungssätze importieren” aus. Überlegen Sie, ob Sie vorhandene Berechtigungssätze mit neuen Berechtigungssätzen in der XML-Datei zusammenführen möchten. Dies geschieht, wenn Sie das Kontrollkästchen “Vorhandene Berechtigungen aktualisieren” aktivieren. Wenn Sie “Vorhandene Berechtigungen aktualisieren” nicht aktivieren, werden Berechtigungssätze mit identen Namen während des Imports übersprungen und Sie erhalten eine Meldung dazu.

Wählen Sie auf der Dialogfeldseite “Importieren” die zu importierende XML-Datei und dann “Öffnen” aus.

Benutzerberechtigungssatz nach Benutzer

Auf dieser Seite sehen Sie links eine Liste der Berechtigungssätze und rechts Spalten mit den einzelnen Benutzern. Ein Häkchen ist gesetzt, wenn ein Berechtigungssatz einem Benutzer zugeordnet wurde. Selbstverständlich können die Spalten auf- oder absteigend sortiert werden.

Berechtigungssatz nach Benutzergruppe

Ähnlich wie in der vorhergehenden Maske sehen Sie links die Berechtigungssätze, rechts jetzt allerdings die Benutzer- bzw. Berechtigungsgruppen mit gesetztem Häkchen, wenn ein Berechtigungssatz zugeordnet wurde.

Benutzer nach Benutzergruppe

Hier eine weitere Variation desselben Themas: Links sehen Sie die Benutzer und rechts die Benutzer- bzw. Berechtigungsgruppen mit gesetztem Häkchen, wenn der Benutzer ein Mitglied derselben ist.

Veraltete Berechtigungen entfernen

Wie der Name schon sagt, können Sie hier veraltete Berechtigungen entfernen. Ich konnte dies leider nicht machen bzw. testen, weil mir eine Berechtigung fehlt 😉

Übersicht der Berechtigungskonflikte anzeigen / Berechtigungskonflikte anzeigen

Leider ist auch hier keine Informationen zu finden und die sich ergebenden Liste ist jetzt nicht wahnsinnig aussagekräftig, vor allem weil hier keine Aktionen durchgeführt werden können.

Weiterführende Links zu diesem Thema:

Seiten für Profile anpassen (link)
Profile verwalten (link)
Zuweisen von Berechtigungen zu Benutzern und Gruppen (link)


Disclaimer: Wir wissen viel aber nicht alles und Fehler können passieren. Wenn Sie daher einen solchen finden – schreiben Sie uns bitte.