Rollen und Rechte
11 Minuten Lesezeit
Moduleinführung
Hinter jedem Berechtigungssatz stehen die konkreten Zugriffsrechte.
Beim erstmaligen Einsatz von RELion werden in der Regel die Standardberechtigungssätze aus Business Central übernommen. Es besteht jedoch die Möglichkeit, eigene Berechtigungssätze anzulegen und mit den gewünschten Zugriffsrechten zu versehen.
Über die Suchfunktion wird die Tabelle Berechtigungssätze geöffnet. Mit der Schaltfläche Neu kann ein neuer Berechtigungssatz erstellt werden.
Wichtig
Der Berechtigungssatz RelC12 Basics wird für alle Benutzer benötigt. Dieser spezielle Berechtigungssatz enthält die Grundberechtigungen für bestimmte Tabellen sowie weitere Objekttypen. Ohne diese Berechtigung ist ein Start des Business Central-Clients nicht möglich.
Zugriffsrechte
Weiterhin wird auch in dieser Version die Berechtigung auf Tabellenebene erteilt.
Es gibt drei Optionen:
- Yes = Anwender darf die Funktion ausführen
- Leer = Anwender darf die Funktion NICHT ausführen
- Indirect = Anwender selbst darf die Funktion NICHT ausführen – aber das System „darf“, wenn der Prozess, den der Anwender gerade durchführt, dies erfordert.
| Bezeichnung | Erläuterung |
|---|---|
| Objekttyp | Die Objektart zeigt an, dass die Anwender auf die Tabellendaten der jeweiligen Tabelle zugreifen dürfen. |
| Objekt-ID | Die Nummer des jeweiligen Objektes |
| Objektname | Name des Objektes |
| Zugriffsrechte: - Leseberechtigung - Einfügeberechtigung - Bearbeitungsberechtigung - Löschberechtigung | Folgende Optionen zur Verfügung: leer = NEIN = Kein Recht Yes = der Anwender darf diesen Datensatz aktiv „Lesen/Einfügen/Bearbeiten/Löschen“ oder Indirect = der Anwender darf den betreffenden Datensatz nur „inaktiv“–durch einen Systemprozess verändern (z. B. durch Buchen oder Registrieren). |
| Ausführungsberechtigung | Dieses Zugriffsrecht kann nicht geändert werden. Das ist standardmäßig bei einigen Berechtigungssätzen durch das System bereits mit Ja vorbelegt. |
| Sicherheitsfilter | Der Sicherheitsfilter ist dafür gedacht, um bis auf Feldebene in der betreffenden Tabelle Filter zu setzen. Die Praxis hat aber gezeigt, dass diese Filterung bestimmter Datensätze nur teilweise funktioniert. |
Hinweis
Ein Berechtigungssatz ist für mehrere Mitarbeiter bestimmt – zwangsläufig nicht nur für einen Anwender.
Wichtig
Es gilt immer das Recht, in dem der Anwender etwas „darf“. Geben Sie dem Anwender einmal einen Berechtigungssatz in dem die Berechtigungen z. B. beim Löschen auf „leer“ (= Nein) gesetzt wurde und einen weiteren Berechtigungssatz, in dem das aber erlaubt wäre, dann dürfte der Anwender Daten aus der damit verbundenen Tabelle löschen. Die „normalen“ Anwender sollten mit den für sie möglichen Berechtigungen versehen werden und nicht mit „Super“-Rechten starten. Die Berechtigung „SUPER“ sollte nur den Administratoren vorbehalten sein.
Zuweisen der Berechtigungssätze
Durch das Zuweisen einzelner bzw. mehrerer Berechtigungssätze steuern Sie, ob und wenn ja mit welchen Rechten ein Anwender einen Vorgang ausführen darf und kann.
Neuanlage Benutzer und Berechtigungen
Business Central On-Premises (Companial)
Der Benutzer muss zuvor im Microsoft Partner Center angelegt werden.
- Benutzer direkt im BC-Client anlegen
- Als Administrator in Business Central anmelden.
- Nach Benutzer suchen und Neu auswählen.
- Stammdaten eingeben:
- Name
- Benutzername
- Authentifizierungsmethode: Windows oder NavUserPassword
- Optional: Ablaufdatum festlegen oder Passwortänderung erzwingen.
- Rollen und Berechtigungen zuweisen
- In der Benutzerkarte zu Benutzerberechtigungssätze scrollen.
- Passende Rollen auswählen.
Business Central Online (SaaS)
- Benutzer im Microsoft 365 Admin Center anlegen
- Im Microsoft 365 Admin Center anmelden.
- Navigieren zu Benutzer → Aktive Benutzer → Benutzer hinzufügen.
- Erforderliche Felder ausfüllen:
- Name
- Benutzername
- Kontaktinformationen
- Lizenz zuweisen: passende Business Central-Lizenz (z. B. Essentials, Premium).
- Speichern.
- Benutzer in Business Central synchronisieren
- Business Central öffnen.
- Über die Suche Benutzer eingeben.
- Benutzer aktualisieren von Office 365 auswählen.
- Neuer Benutzer erscheint in der BC-Benutzerliste.
- Rollen und Berechtigungen zuweisen
- Benutzerkarte öffnen.
- Unter Benutzerberechtigungssätze Rollen hinzufügen (z. B. Accountant, Sales).
- Optional: Sicherheitsgruppen verwenden (empfohlen ab Version 22).
Benutzerkarte
Auf der Seite Benutzer im Menüband die Funktion +Neu auswählen. Es öffnet sich ein Fenster, das in verschiedene Inforegister gegliedert ist.
Eine Datenbank Authentifizierung für bestimmte Anwender ist immer noch möglich. In diesem Fall muss unter dem Inforegister Business Central-Kennwortauthentifizierung ein entsprechendes Kennwort hinterlegt werden (bitte auf jeden Fall das Feld Der Benutzer muss bei der nächsten Anmeldung das Kennwort ändern aktivieren).
Hinweis
Datenbank Authentifizierung vs. Windows Authentifizierung
Datenbank Authentifizierung bedeutet, dass der Mitarbeiter – nach dem auf das Symbol von Business Central geklickt hat – ein erneutes Anmeldefenster erscheint, in dem er sich jetzt an der Datenbank anmelden muss.
Windows Authentifizierung bedeutet, dass der Mitarbeiter auf das Business Central-Symbol klickt und dann befindet er sich direkt in „seinem“ Business Central-Umfeld. Ein erneutes Anmelden an der Business Central-Datenbank entfällt also.
Inforegister Benutzerberechtigungssätze
Im Inforegister Benutzerberechtigungssätze wird in einer leeren Zeile ein neuer Eintrag angelegt. Über den Drop-Down-Pfeil im Feld Berechtigungssatz wird aus der Liste der gewünschte Berechtigungssatz ausgewählt. In der Spalte Mandant wird der Mandant festgelegt, für den dieses Recht gelten soll.
Zusammenfassung Mandant
In Unternehmen, in denen mehrere Firmen auf einer gemeinsamen Datenbank als eigene Mandanten verwaltet werden, erfolgt die Zuweisung der Berechtigungen für einzelne Mandanten an den jeweiligen Mitarbeiter. Das bedeutet: Der Mitarbeiter kann ausschließlich in dem zugewiesenen Mandanten arbeiten; in weiteren Mandanten fehlen die Berechtigungen.
Wichtig
Falls ein Mitarbeiter die Genehmigung erhält in mehreren Mandanten arbeiten zu dürfen und der Zugriff mandantenspezifisch eingeschränkt wird, bedeutet dies folgendes:
Bei manueller Vergabe einzelner Berechtigungssätze auf der Benutzerkarte müssen die Berechtigungen gegebenenfalls mehrfach vergeben werden – jeweils in Verbindung mit einer Auswahl im Feld Mandantenname. Soll der Mitarbeiter in allen Mandanten arbeiten dürfen, erfolgt keine Einschränkung auf die Mandanten, das Feld bleibt somit leer.
Hinweis
Allerdings hat es sich bereits bei NAV 2013 gezeigt, dass es einige Stellen gibt – beispielweise beim Aufruf des „Kontenschemas“ – bei dem die Einschränkung auf Mandanten eher hinderlich war. Hier kam es vermehrt zur Meldung: Sie haben keine Berechtigung Cost. Acc. Schedulename zu lesen… Erst nachdem der Administrator die Einschränkung auf die einzelnen Mandanten herausgenommen hatte, konnte der Anwender das Kontenschemata aufrufen.
Löschen von zugewiesenen Berechtigungen
Berechtigungen aus einer Benutzerkarte können Sie löschen, indem Sie auf die drei Punkte klicken und im Kontextmenü Zeile löschen auswählen. Alternativ platzieren Sie Ihren Cursor auf die betreffende Zeile und drücken die Tastenkombination STRG + ENTF.
RELion Lizenz Benutzer
Das RELion-User-Modell ist Named User analog zu Microsoft Dynamics 365 Business Central (BC). Dies bedeutet, dass jeder Benutzer mit seinem Login-Namen angemeldet sein muss. Die Anzahl der RELion-User muss nicht zwingend der Anzahl der BC-User entsprechen. Die RELion-User können auch eine Untermenge der BC-User sein. Deshalb gibt es für die RELion-User eine weitere Ebene, in der diese verwaltet werden. BC-User können unabhängig von den RELion-Usern verwaltet werden. RELion-User setzen immer entsprechende BC-User voraus!
Alle RELion-User, die das System nutzen, müssen einmalig und Mandantenübergreifend in der Tabelle RELion Lizenz Benutzer eingerichtet werden.
| Bezeichnung | Erläuterung |
|---|---|
| Benutzername | Eindeutiger Login-Name des Benutzers (aus Tabelle Benutzer) |
| Vollständiger Name | Vollständiger Name des Benutzers (aus Tabelle Benutzer) |
| Login Status | Status (aus Tabelle Benutzer) - Aktiviert: Benutzer ist von BC für das System zugelassen; - Deaktiviert: Benutzer ist von BC nicht für das System zugelassen; Ein deaktivierter User kann dennoch den Haken im Feld RELion Benutzer enthalten. Es könnte sein, dass dieser nur vorübergehend deaktiviert worden ist und dann wieder in Betrieb genommen wird. Dieser Haken kann aber manuell auch jederzeit entfernt werden. |
| RELion Benutzer | Kennzeichnung, ob dieser User für RELion zugelassen ist. - Ja (Haken): User ist für RELion zugelassen - Nein: User ist für RELion nicht zugelassen; Es können nur so viele RELion-User mit Haken versehen werden, wie die RELion-Lizenz enthält! |
Wichtig
Voraussetzung für die Einrichtung von RELion-Usern ist die Installation einer gültigen RELion-Lizenz.
Ergänzung Berechtigungssatz
Damit RELion-User beim ersten Login automatisch in die Tabelle RELion Lizenz Benutzer eingetragen werden, muss diese Tabelle entsprechende Berechtigungen erhalten.
RELion User erstmalig erfassen
Beim ersten Login eines Users ins System, wird für den betreffenden User automatisch ein Datensatz in der Tabelle RELion Lizenz Benutzer erstellt und dieser auch für RELion aktiviert. Im Idealfall muss sich also niemand um die Einrichtung der RELion-User im System kümmern.
Es ist aber natürlich auch möglich, dass sich ein Admin-User zuerst einloggt und dann die übrigen RELion-User erfasst. Dazu kann er jeden User einzeln erfassen oder über die Funktion Einlesen aus Benutzertabelle alle aktiven Benutzer importieren lassen.
Hier ist es dann möglich, die RELion-Benutzer gleich freizuschalten oder die Benutzer erst zu importieren und danach manuell die entsprechenden Haken zu setzen.
Hinweis
Es können nur so viele RELion-User mit Haken versehen werden, wie die RELion-Lizenz enthält!
RELion User ändern
Durch setzen oder entfernen des Hakens im Feld RELion Benutzer können vorhandene RELion-Benutzer jederzeit aktiviert oder deaktiviert werden. Einträge in der Tabelle RELion Lizenz Benutzer können auch jederzeit gelöscht werden. Danach hat der betreffende User keine Login-Berechtigung mehr für RELion.
Benutzer Einrichtung
Neben dem Thema Berechtigungen und dem Zuweisen derselben, gibt es noch zwei weitere Einstellungen, die sich rund um das Thema Benutzer drehen. Eine davon ist die Benutzer Einrichtung.
Hier haben Sie die Möglichkeit, die sogenannten Buchungszeiträume einzuschränken. Dazu hinterlegen Sie bei Buchungen zugel. ab und Buchungen zugel. bis einen entsprechenden Zeitraum (z. B. 01.01.2022 bis 31.01.2022).
Warum ist das Einschränken der Zeiträume notwendig?
Das Einschränken der Buchungszeiträume verhindert, dass versehentlich (oder absichtlich) in die „Vergangenheit“ oder in die „Zukunft“ gebucht wird. Eine Buchung im falschen Zeitraum verursacht im schlimmsten Fall eine Kettenreaktion:
- Die Umsatzsteuervoranmeldung für den Zeitraum ist falsch.
- Die Statistiken/Auswertungen für den Zeitraum sind falsch.
- Möglicherweise ist auch die Jahresbilanz betroffen, usw.
Damit so etwas nicht passieren kann, wird über das System die Möglichkeit zur Verfügung gestellt, die Zeiträume „passend“ einzuschränken. Als weitere Einstellung kann auch die Protokollzeit anhand des Zeitprotokolls, wann sich der betreffende Benutzer an- und wieder abgemeldet hat, dokumentiert werden.
Auch in der Finanzbuchhaltung Einrichtung selbst gibt es diese beiden Felder Buchungen zugel. ab und Buchungen zugel. bis. Das System prüft grundsätzlich beide Einrichtungskarten.
Hinweis
In der Finanzbuchhaltung Einrichtung im Inforegister Allgemein empfiehlt es sich immer das aktuelle Geschäftsjahr zu hinterlegen. In der Benutzer Einrichtung sollte pro Anwender entschieden werden, in welchem Zeitraum dieser buchen darf.
Verkäufer/Einkäufer Code
Des Weiteren ist in der Tabelle Benutzer Einrichtung die Spalte Verk.-/Einkäufercode. Hier können Sie den einzelnen Benutzer mit dem Verkäufer- bzw. Einkäufer-Code verknüpfen.
Oftmals werden diese Codes auch in den Belegen verwendet bzw. mit ausgegeben, daher ist es sinnvoll die Liste mit den Kontaktdaten (Telefonnummer und E-Mail-Adresse) zu pflegen. Ebenso wird diese Liste genutzt, um über Business Central die Benachrichtigungen zu verschicken.
Profil (Rollencenter)
Beim Starten von Business Central wird das zugeordnete Rollencenter des eingerichteten Profils angezeigt. Ist dem jeweiligen Nutzer kein Profil zugeordnet, wird standardmäßig das Profil angezeigt, dass als Standardprofil hinterlegt ist.
Über die Suche öffnen Sie die Liste Profile (Rollen). Hier können Sie die Standardrollencenter definieren und benutzerdefinierte Rollen erstellen.
| Bezeichnung | Erläuterung |
|---|---|
| Profil-ID | Code für das jeweilige Profil |
| Anzeigename | Kurze Beschreibung für das Profil |
| Quelle | Gibt die Quelle dieses Profils an, die entweder eine Erweiterung sein kann, die durch den Namen angezeigt wird, oder ein benutzerdefiniertes Profil, das von einem Benutzer erstellt wurde. |
| Rollencenter-ID | Nummer der „Page“ (= Ansicht), die die entsprechenden Informationen des jeweiligen Rollencenters enthält. |
| Aktiviert | Gibt an, ob das Profil in der Liste der Rollen verfügbar ist, aus denen Benutzer auswählen können. Hinweis: Benutzer, denen dieses Profil zugeordnet ist, können sich auch weiterhin anmelden, wenn das Profil nicht aktiviert ist |
| Als Standardprofil verwenden | Gibt an, ob dieses Profil für alle Benutzer verwendet wird, denen keine Rolle zugewiesen ist. Es kann nur ein Profil als Vorgabe festgelegt werden. |
| Im Rollen-Explorer anzeigen | Gibt an, ob der Anzeigename und die verfügbaren Geschäftsfunktionen dieses Profils im Rollen-Explorer angezeigt werden. Das Profil muss ebenfalls aktiviert sein. |
Berechtigungssätze RELion Standard
RELion hat einige rollenspezifische Berechtigungssätze vordefiniert. Folgende Berechtigungssätze gibt es:
| Berechtigungssatz | Name |
|---|---|
| RELC BASIC | Basis |
| RELC ACCOUNTING | Buchhaltung |
| RELC VAT ADV.NOT G | Umsatzsteuervoranmeldung Deutschland |
| RELC VAT ADV.NOT A | Umsatzsteuervoranmeldung Österreich |
| RELC CONTROLLING | Controlling |
| RELC EXT.PROB.MGT. | Externe Hausverwaltung |
| RELC MEMBER MGT | Mitgliederverwaltung |
| RELC OBJECT MGT | Objektverwaltung |
| RELC CREDIT MANAGER | Kreditmanager |
| RELC SETUP | Einrichtung |
| RELC MAINTENANCE | Instandhaltung |
| RELC PROJ./CONSTR. | Projekte/Bau |
| RELC DOCUMENTS | Dokumente |
RELC BASIC
Wie bereits oben erwähnt benötigt jeder User die Basis Rolle, um den Business Central-Client zu starten. In diesem speziellen Berechtigungssatz ist die Grundberechtigungen bestimmter Tabellen und weiterer Objekttypen enthalten.
RELC ACCOUNTING
Inhaber der Rolle RELC Accounting hat schreibenden Zugriff auf alle/eingeschränkte Mandanten für alle Aufgaben rund um die Buchhaltung und deren Aufgaben.
Folgende Berechtigungen sind hier enthalten:
Buchen
Anlegen und Ändern der Stammdaten
Zahllauf
Konten abstimmen
Mahnung
Journal
Buchen der Mieten
Anlegen und Änderung der Sollstellung
Lastschriftmandate
Mahnung
Einzugsvereinbarungen
RELC VAT ADV.NOT
Der Inhaber der Rolle RELC VAT ADV.NOT hat schreibende Zugriffe auf alle Aufgaben rund um die UVA.
Aufteilung in UVA DE und UVA AT
RELC CONTROLLING
Der Inhaber der Rolle RELC CONTROLLING hat lesenden Zugriff auf alle/eingeschränkte Mandanten. Folgende Berechtigungen sind hier enthalten:
Volle Lese-Berechtigung auf alle Daten
RELC EXT.PROB.MGT.
Der Inhaber der Rolle RELC EXT.PROB.MGT. hat schreibenden Zugriff für alle Aufgaben rund um die Hausverwaltung.
Folgende Berechtigungen sind hier enthalten:
Sachposten
Debitorenposten und Kreditorenposten
Anlegen und Ändern der Stammdaten
Lastschriftmandate
Objekte
BK Abrechnung und Wirtschaftsplan
Einzugsvereinbarungen
Darlehen
Verwalterhonorar
Einheitenschnellerfassung
Index
Umsatzmietverträge
RELC MEMBER MGT
Inhaber der Rolle RELC MEMBER MGT hat schreibenden Zugriff auf alle/eingeschränkte Mandanten für alle Aufgaben rund um die Mitgliederverwaltung.
Folgende Berechtigungen sind hier enthalten:
Anlegen und Ändern der Mitglieder
Anlegen und Verwalten der Anteile
Wohnungsbauprämien
Mitglieder Genehmigungsprozess
Dividendenberechnung
RELC OBJECT MGT
Inhaber der Rolle RELC OBJECT MGT hat schreibenden Zugriff auf alle/eingeschränkte Mandanten für alle Aufgaben rund um die Objektverwaltung und deren Aufgaben.
Folgende Berechtigungen sind hier enthalten:
Anlegen und Bearbeiten von Mietverträgen
Anlegen und Ändern der Stammdaten
Anlegen und Ändern der Sollstellung
Einzugsvereinbarungen
Lastschriftmandate
Mahnung
Sachposten
Debitorenposten und Kreditorenposten
Objekte
BK Abrechnung und Wirtschaftsplan
Darlehen
Verwalterhonorar
Einheitenschnellerfassung
Index
Umsatzmietverträge
RELC CREDIT MANAGER
Der Inhaber der Rolle RELC CREDIT MANAGER hat schreibenden Zugriff auf alle Aufgaben rund um den Kreditmanager.
RELC SETUP
Inhaber der Rolle RELC SETUP hat schreibenden Zugriff auf alle Mandanten rund um die Einrichtungstabellen.
Folgende Berechtigungen sind hier enthalten:
Lesen, Einfügen, Bearbeiten und Löschen auf Alle Setup Tabellen
RELC MAINTENANCE
Inhaber der Rolle RELC Maintenance hat schreibenden Zugriff für alle Aufgaben rund um die Instandhaltung.
Folgende Berechtigungen sind hier enthalten:
Einrichtungen für Instandhaltung
Einrichtung Ticket (Empfehlung: Schreibberechtigung Tabelle Ticket Typen 5052506 nur für eingeschränkten Benutzerkreis zulassen)
Ticket Bearbeitung
Schadensmeldungen
EK-Belege
VK-Belege
Ausstattungen
Einrichtung Problemlösungsbereich
Versicherungsmeldungen
Rechnungseingangsbuch
RELC PROJ./CONSTR.
Inhaber der Rolle RELC PROJ./CONSTR. hat schreibenden Zugriff für alle Aufgaben rund um die Projekte.
Folgende Berechtigungen sind hier enthalten:
Projektverwaltung
Einrichtung Projekt/Bau
EK-Belege
VK-Belege
Leistungsstand