Zugriffslevel

So schön die "Präsenzinformation" von Kollegen und Kontakten ist, so darf das Thema Datenschutz nicht ganz vergessen werden. Was im gleichen Team oder in Grenzen auch innerhalb der Firma noch akzeptiert werden kann, sieht bei einer weltweiten Erreichbarkeit schon ganz anders aus.

Zugriffsebenen

In OCS kann ich über verschiedene Zugriffsebenen bestimmen, welcher Partner welche Details von mir sieht. OCS unterscheidet dabei fünf Ebenen:


Quelle: OCS-Quick Referenz Karte

Jeder Benutzer, der mich in seine Kontakte aufnimmt wird bei mir angezeigt, so dass ich den Level entsprechend zuweisen kann.

Interessant ist die Tatsache, dass die "Anwesenheit" tatsächlich per Default für JEDEN ersichtlich ist, es sei denn ich habe den Kontakt explizit gesperrt.

Einstellungen pro Kontakt

Immer wenn mich jemand in seine Kontaktliste hinzu fügt, bekomme ich eine Meldung durch meinen Client, dass ich hinzu gefügt worden bin und welche Berechtigungen ich dem Benutzer erteilen möchte:

Sie sehen hier wieder die fünf Stufen, welche ein Anwender verwenden kann und die Option, den Kontakts in eine meiner selbst definierten Gruppen aufzunehmen. Ich muss den Kontakt aber nicht in meine Gruppen aufnehmen, sondern kann ihm auch einfach so die Berechtigungen erteilen.

Diese Einstellungen kann ich später auch einfach wieder ändern, sofern der Kontakt auch in meine Gruppen addiert wurde.

Zugriffsebenen pro Kontakt einstellen bzw. Lync:

Haben Sie es versäumt, den Kontakt auch bei sich zu addieren, dann finden Sie den Benutzer dennoch wieder. Dazu aber etwas später.

Default: Jeder sieht den Status von allen !

Vielleicht ist ihnen schon aufgefallen, dass Sie in OCS die Kontakte ihrer Firma durchsuchen können und schon bei der Suche zu allen Kontakten den Status (sofern verfügbar) angezeigt bekommen.

Sie müssen also gar nicht erst die Personen in ihre Kontaktliste aufnehmen, sondern es reicht eine einfache Suche. In vielen Umgebungen ist das nicht einfach zu akzeptieren und verschiedene Firmen erweitern daher extra ihre Datenschutzrichtlinie bzw. Betriebsvereinbarung, in der die Mitarbeiter diesem Verhalten zustimmen. Erst wenn ich einen der gefundenen Kontakte in meine Buddy-Liste übernehme, dann wird der Kontakt darüber informiert und kann die Einstellungen, wie oben schon gezeigt, vornehmen.

Nun gibt es in jeder Firma "besondere" Konten und stellen Sie sich vor, dass jeder Mitarbeiter den Status des Vorstands abfragen kann. Mit etwas Skriptknowhow kann ein Anwender dies sogar automatisiert machen und damit schon fast Benutzerprofile erstellen.

Zugriffsrechte steuern

Mittlerweile dürften sie zwei Fragen haben

  • Standardberechtigungen ändern
    Wenn Sie nicht möchten, dass JEDER gleich ihren Status sehen kann, dann müssen Sie den "Default" auf Blocked umstellen.
  • Status von Kontakten ohne Buddylisteintrag abfragen
    Die zweite Frage beschäftigt sich mit der Problematik, dass Sie eine Kontaktanfrage vielleicht positiv beschieden aber den Kontakt selbst nicht in ihre Buddyliste aufgenommen haben, wie hier gezeigt:

    Der Kontakt taucht dann nicht in ihrer normalen Ansicht der Buddyliste auf.

Für beide Fälle liegt der Schlüssel in einer alternativen Ansicht, die jeder Anwender umstellen kann. Über das Menü ist der Eintrag von der Kontaktliste auf die Ansicht "Zugriffs Management" auszuwählen.

Die dann folgende Ansicht zeigt nun die fünf Ebenen und alle darin enthaltenen Kontakte. Hier finden Sie also auch die Benutzer, denen Sie damals bei der Abfrage Berechtigungen erteilt und nicht in ihre Buddyliste übertragen haben.

Und sie haben hier die Möglichkeit, weitere SIP-Domänen in den verschiedenen Zugriffsstufen zu addieren und die bestehenden Standardgruppen in andere Zugriffsgruppen zu verschieben. Hier mal am Beispiel einer sehr restriktiven Einstellung (Links) im Vergleich zur Standardeinstellung (Mitte) und einer Anpassung für Umgebungen mit mehreren Domains

Standardeinstellung Restriktive Einstellung Firmengruppe mit gemeinsamen OCS

Hier können Benutzer im Forest und verbundene unternehmen den Status sehen. Alle anderen sehen nichts.

In dieser Einstellung ist quasi jeder und alles per Default geblockt. Jeder Anwender muss selbst die Kontakte individuell addieren und berechtigen. Es gibt auch kein Popup

Hier kann ich anhand der SIP-Domain meine Kollegen den "Firmenlevel" geben und allen anderen OCS-Benutzern, die zur firmengruppe gehören, zumindest den Status anzeigen.

Leider bedeutet der begriff "People in my company" eben nicht dir eigene Firma, sondern der eigene OCS-Server. Diese Einstellungen werden in der SQL-Datenbank auf dem OCS-Server gespeichert und könnten daher sicher auch per Skript zentral voreingestellt werden. Theoretisch könnte man so auch Teammitglieder anhand von Gruppen Mitgliedschaften entsprechend berechtigen. Die Änderungen werden immer sofort aktiv (Kein Neustart, keine AD-Replikation) und auch in der Kontaktansicht ist die Blockade sofort zu sehen

Das geht also soweit, dass ich selbst meine Kontakte, die nicht als Ausnahme definiert wurden, zwar noch den Status sehe aber sie so geblockt sind, dass ich selbst auch nicht mehr diese ansprechen kann. Eine beidseitige Blockade nenne ich das. Allerdings ist es nur einen Mailklick entfernt, diese Benutzer als Ausnahme zu definieren und einen anderen Zugriffslevel zuzuweisen. Der Communicator warnt mich aber:

Insofern nimmt Microsoft und OCS die Sperre schon ernst. Allerdings würde ich mir wünschen, dass auf dem Server die Zugriffsstufen vordefiniert werden könnten und der OCS-Server z.B. Teammitglieder an dem Ableitung (oder einem anderen definierbaren Feld) im Active Directory festmachen würde.

Wenn Sie jemanden oder den Default auf "blockieren" gesetzt haben, dann verhindert Blockade auch, dass Sie den Hinweise bekommen, wenn Sie auf deren Kontaktliste hinzu gefügt werden. Sie erscheinen also immer als "Offline" für diese Benutzer.

Das gleiche gilt wenn jemand seinen Status auf "Nicht stören" gestellt hat. Wenn ich die Meldung ignoriere und dennoch eine Konversation anfangen will, dann hängt es von meinem Zugriffseinstellungen, ob mir das gelingt.

Hier bin ich wohl nicht "Team-Mitglied" und daher kommt die Information nicht durch. Allerdings findet der Empfänger meine Nachrichte dann im Postfach als "Entgangene unterhaltung.

Zusammenfassung

OCS erlaubt eine Steuerung der Sichtbarkeit über fünf verschiedene Zugriffsebenen, die der Benutzer komplett selbst verwalten muss. Per Default sind intern zumindest Name, Status, Mailadresse, Titel und Firma für jedermann sichtbar, was schon zu Problemen führen kann.

Unterstützung durch Net at Work:
Wie ich Zeit habe, arbeite ich an einem Skript, um diese Berechtigungen zentral zu setzen. Aus meiner Sicht sind die Standardberechtigungen zu weitreichend. Ich kann mir ein Skript vorstellen, welches z.B. anhand von Teamgruppen die Mitglieder gegenseitig auf "TEAM-Level" setzt und anhand des Firmennamens die anderen Personen auf "Company" einträgt oder in der Company-Stufe die SIP-Domäne der Firma addiert. Alle anderen Zugriffe könnten per Default geblockt werden.

Weitere Links