Berechtigungen, allgemein

Objektberechtigungen

Die Berechtigungsvergabe auf die einzelnen Objekte, z.B. auf die Tabellen, in denen Daten enthalten sind, ist das Kernstück der Berechtigungsverwaltung. Dieses Thema wird hier aber nicht im Detail erläutert, denn es gehört zur allgemeinen Einrichtung der Berechtigungen.

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Muster-Berechtigungen

Es gibt Muster-Berechtigungen für Standard-Benutzergruppen (Rollen).

Die Muster-Berechtigungen für den Baulohn sind in der Datei BLORecht.txt enthalten, die angefordert werden kann. Standard-Benutzergruppen für den Baulohn sind:

• Lohn-Benutzer 90_LOHN
• Gehalts-Benutzer 95_GEHALT
• Berichtsdatenerfasser 98_Berichtsdaten

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Baulohn

Hier werden einige Besonderheiten der Baulohn-Berechtigungen erläutert:

Abrechnungskreise Lohn und Gehalt

Abrechnungskreise

Wenn die Abrechnungskreise Lohn und Gehalt im gleichen Mandanten geführt werden, dann für die Berechtigungsprüfung so vorgehen:

Benutzergruppen

Die Benutzer, die den Lohn bearbeiten und die Benutzer, die Gehalt bearbeiten, müssen unterschiedliche Benutzergruppen (Rollen) haben.

Beispiel: Lohn-Benutzer 90_LOHN oder Gehalts-Benutzer 95_GEHALT.

Wenn dies organisatorisch nicht möglich sein sollte, weil über die Benutzergruppen bereits die Objektberechtigungen (Zugriffsrechte auf Tabellen) vergeben wurden, dann so vorgehen: Zusätzliche Benutzergruppen anlegen, die nur dem Zweck der Baulohn-Berechtigung dienen: z.B. Rolle DarfLohn, Rolle DarfGehalt.

Für diese Rollen nicht, wie ansonsten, Objektberechtigungen vergeben. Die Objektberechtigungen werden weiterhin über die bestehenden Benutzergruppen definiert. Also "Baulohn"-Benutzergruppen anlegen. Die jeweils geeignete "Baulohn"-Benutzergruppe bei den Benutzern (Datenbank-Anmeldung) eintragen, und zwar zusätzlich zu den Gruppen, die dort bereits eingetragen sind.

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte für Gruppen
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Baulohn, Berechtigungen

/Abteilungen/Baulohn/Einrichtung, Berechtigungen
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen definieren

Eintrag hier erstellen

Für die Lohn-Benutzergruppen, also die Gruppen, die nur die Lohn-Benutzer haben:
Gruppen ID: die Lohn-Benutzergruppe, Tabelle: Personalstamm, Feld: Abrechnungskreis; Anzeigen-Filter, Bearbeiten-Filter, Löschen-Filter: jeweils den Abrechnungskreis eintragen, der die Lohn-Personalnummern umfasst. 

Aktivieren

Über Baulohn/Einrichtung/Berechtigung, Aktivieren
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren

Bei den Benutzergruppen (Rollen), die das Aktivieren nicht ausführen dürfen, in den Zugriffsrechten den Eintrag:

Tabellendaten, 5002741 so ändern, dass sämtliche Berechtigungen entzogen sind. Also die Zugriffsrechte auf leer setzen: das Lesen-, das Einfügen-, das Bearbeiten- und das Löschen-Zugriffsrecht. 

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte für Gruppen
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Organisatorische Maßnahmen

Wir empfehlen, für einige Verarbeitungen, die am Schluss der Abrechnung ausgeführt werden, intern festzulegen, dass sie nur vom Systemverantwortlichen ausgeführt werden. Hierzu zählen:

• Erstellung des Datenträgers von Zahlungen
• Erstellung des Datenträgers für die ZVK
• Erstellung des Datenträgers für DEÜV-Meldungen

Viele Berechtigungen

Berechtigungen auf Felder des Personalstamms

Die Felder, auf die für die Arbeit im Baulohn Berechtigungen gesetzt werden können, sind:

• Abrechnungskreis,
• Niederlassung und
• Abteilung.

Es kann also für Benutzer, genauer: für Gruppen von Benutzern, festgelegt werden, dass sie nur bestimmte Abrechnungskreise, zum Beispiel Lohn, nur bestimmte Niederlassungen, zum Beispiel ihre eigene, und nur bestimmte Abteilungen sehen oder bearbeiten dürfen.

Wann werden Berechtigungen im Baulohn geprüft? Es gibt drei große Bereiche, bei denen die Berechtigungen geprüft werden: die Stammdaten, die Abrechnung und die Auswertungen. Zunächst einmal gelten die Feldberechtigungen für den Personalstamm. Durch sie wird bestimmt, welchen Teil des Personalstamms man sehen oder bearbeiten darf.

Die Abrechnung wiederum benutzt die Feldberechtigungen auf den Personalstamm, speichert diese aber historisch. Für Abrechnungen gelten also die Berechtigungen zur Zeit der Abrechnungen, und zwar:

• Abrechnungskreis,
• Niederlassung und
• Abteilung.

Auswertungen prüfen entweder die Berechtigungen des Personalstamms oder die Berechtigungen der Abrechnung.

Feldberechtigungen gelten in der Regel pro Tabelle. So gibt es zum Beispiel in der Baubetriebsabrechnung Berechtigungen auf Kostenstellen einerseits, Berechtigungen auf die KSt-Istwerte aber zusätzlich, obwohl dies Posten zu Kostenstellen sind. Warum? Weil dies verschiedene Tabellen der Datenbank sind.

Im Baulohn werden dagegen die Feldberechtigungen auf die Tabellen der Abrechnungen automatisch aus denjenigen auf den Personalstamm übernommen; dies gilt für: Abrechnungskreis, Niederlassung und Abteilung. Dadurch müssen diese Definitionen nur einmal, nämlich auf den Personalstamm getroffen werden.

Berechtigungen auf Felder des Personalstamms, was tun?

Wenn eine Vielzahl von verschiedenen Kombinationen von Feldberechtigungen möglich sind, weil viele verschiedene Gruppen von Anwendern im Baulohn arbeiten, was tun?

Wir würden empfehlen, dafür die Abteilung zu benutzen. Das heißt, die Stammdaten zu den Abteilungen weiter auszudifferenzieren, also mehr Abteilungen zu erfassen. Mag sein, es sind bereits fünfzig reale Abteilungen. Dann diese weiter aufteilen, zum Beispiel in Tiefbau001, Tiefbau002. Zwar gibt es dadurch Stammdaten zu Abteilungen, die sehr umfangreich sind. Aber auf der anderen Seite wird dadurch die Anwendung nicht langsamer, wie sie es werden würde, falls es noch andere Felder für Feldberechtigungen gäbe. Im Stamm der Abteilungen gibt es zwei Felder für Bezeichnungen und eine Gruppe, mit deren Hilfe dokumentiert werden kann, wofür die Abteilung steht.

Gültige Mandanten

Lohn- und Gehaltsabrechnung getrennt in Mandanten oder es gibt nur einen Lohn-/Gehaltsmandanten

Wenn die Lohn- und die Gehaltsabrechnung in verschiedenen Mandanten ausgeführt werden, dann für die Benutzer gültige Mandanten definieren:

Benutzergruppen

Für die Berechtigung von gültigen Mandanten empfehlen wir, besondere Benutzergruppen (Rollen) anzulegen, die nur diesem Zweck dienen. Dies ist einfacher zu verwalten.

Beispiel: Rolle DarfInMandantA, Rolle DarfInMandantB etc.

Für diese Rollen nicht, wie ansonsten, Objektberechtigungen vergeben. Die Objektberechtigungen werden weiterhin über die bestehenden Benutzergruppen, z.B. 00_Alle, definiert.

Also "Mandanten"-Benutzergruppen anlegen. Die jeweils geeignete "Mandanten"-Benutzergruppe bei den Benutzern (Datenbank-Anmeldung) eintragen, und zwar zusätzlich zu den Gruppen, die dort bereits eingetragen sind.

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Gültige Mandanten

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung
Webclient: IT-Management/Benutzerverwaltung, Gültige Mandanten

Für die zu diesem Zweck angelegten Benutzergruppen den gültigen Mandanten eintragen. Wenn mehrere Mandanten, dann diese eintragen in der Form eines Filters, also z.B. MandantA|MandantB.

Zusätzlich

Ferner im Gehalts-Mandanten für die Benutzergruppen, die keine Gehaltsdaten sehen dürfen, Baulohn-Berechtigungen anlegen. Und zwar so, dass sich keine Berechtigung ergibt: in den Berechtigungsfiltern A&B eintragen: diese Bedingung ist nie erfüllt.

Systemadministrations-Menü schützen

Um das Systemadministrations-Menü zu schützen, gibt es zwei Möglichkeiten:

• Die Tabelle 5004109 H&P Berechtigung in den Objektberechtigungen schützen.
• Bei den Benutzergruppen (Rollen), die Gültige Mandanten nicht ändern dürfen, in den Zugriffsrechten den Eintrag: Tabellendaten, 5004109 so ändern, das nur das Lesen-Zugriffsrecht bestehen bleibt, die Einfügen-, Bearbeiten- und Löschen-Zugriffsrechte aber entziehen, also auf leer setzen.

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Berichtsdaten und Fehlzeiten

Wochenerfassung der Berichtsdaten, für alle

Wenn in der Wochenerfassung der Berichtsdaten für alle Personalnummern berichtet werden soll, auch für diejenigen, für die man nicht berechtigt ist, dann in der Einrichtung zur Berechtigung: "Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen" auswählen.

Dies gilt nicht für die Haupterfassung der Berichtsdaten, sondern für die Wochenerfassung.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren: Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren, Aktivieren: Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen

Berichtsdaten zur Rückrechnung, für alle

Wenn für Berichtsdaten zur Rückrechnung für alle Personalnummern berichtet werden soll, auch für diejenigen, für die man nicht berechtigt ist, dann in der Einrichtung zur Berechtigung: "Berichtsdaten Rückrechnung: Nicht prüfen" auswählen.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren: Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren, Aktivieren: Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen

/Vor der Abrechnung/Rückrechnungen berichten, Bearbeiten
Webclient: /Vor der Abrechnung/Rückrechnungen, Rückrechnungen berichten

Fehlzeiten, für alle

Wenn im Fehlzeitenkalender für alle Personalnummern berichtet werden soll, auch für diejenigen, für die man nicht berechtigt ist, dann in der Einrichtung zur Berechtigung: "Fehlzeitenkalender Berechtigung: Nicht prüfen" auswählen.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren: Fehlzeitenkalender Berechtigung: Nicht prüfen
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren, Aktivieren: Aktivieren: Fehlzeitenkalender Berechtigung: Nicht prüfen

Qualifikationen, Ausstattungen, Termine erfassen, für alle

In der Einrichtung zu den Berechtigungen kann bestimmt werden, dass Qualifikationen, Ausstattungen und Termine auch gepflegt werden können, wenn sonst keine Berechtigungen für die Personalnummern vorliegen.

Dazu zuerst "Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen" setzen. Das gilt zunächst für Benutzer, die in "Berichtsdatenerfassung" eingestuft sind.

Dies kann aber erweitert werden auch für Sachbearbeiter, also für alle Benutzer des Baulohns.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen aktivieren: "Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen" und siehe dazu: "ebenso wie Berichtsdaten Woche", und "Erweiterung auch für Sachbearbeiter"
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren, Aktivieren: "Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen" und siehe dazu: "ebenso wie Berichtsdaten Woche", und "Erweiterung auch für Sachbearbeiter"

Nur Berichtsdaten erfassen

Berichtsdatenerfassung, was erfassen?

Welche Einrichtungen können für Mitarbeiter getroffen werden, deren Aufgabe es ist, Berichtsdaten zu erfassen, die aber den größten Teil des Personalstamms gar nicht sehen dürfen?

Und ebenso für Mitarbeiter, die Qualifikationen, Ausstattungen, Merkmale und Termine bearbeiten?

Das kann so eingerichtet werden:

• Über die Feldberechtigungen den Zugriff auf die Lohnarten einschränken, zum Beispiel auf produktive Stunden, Auslösung und passive Stunden oder eine Pseudo-LOA, wenn keine Berichtsdaten erfasst werden sollen (also nur Qualifikationen, Ausstattungen, Merkmale und Termine bearbeitet werden sollen).
• Über die Feldberechtigungen den Zugriff auf den Personalstamm einschränken, zum Beispiel pro Abrechnungskreis.
• In der Einrichtung zu den Berechtigungen festlegen, dass für die Wochenerfassung der Berichtsdaten die Feldberechtigungen auf den Personalstamm nicht geprüft werden sollen. Wenn dies so festgelegt wird, dann gilt es auch für Qualifikationen, Ausstattungen, Merkmale und Termine.
• Die Berechtigung: Berichtsdatenerfasser 98_Berichtsdaten dem Benutzer zuweisen
• Rollencenter Berichtsdatenerfassung dem Benutzer zuweisen

Das bedeutet: 

Die Berechtigungen sind eingeschränkt, diese Einschränkung gilt für den Personalstamm, für Auswertungen, für die Abrechnung sowieso und auch für die Haupterfassung der Berichtsdaten. Aber dennoch können Berichtsdaten in der Wochenerfassung, können Qualifikationen, Ausstattungen, Merkmale und Termine erfasst werden.

/Vor der Abrechnung/Berichtsdaten, Erfassung Woche
/Stammdaten/Qualifikationen
Webclient: /Vor der Abrechnung/Berichtsdaten, Ausführen, Erfassung Woche
Webclient: /Stammdaten/Qualifikationen

Berichtsdatenerfassung, was muss sein

Die Einrichtungen für "Berichtsdatenerfasser" gelten nur dann, wenn drei Dinge festgelegt werden:

1. die Einschränkung auf bestimmte Lohnarten und
2. die Einschränkung auf den Personalstamm und die Einrichtung, dass Berichtsdaten pro Woche und
3. weitere erfasst werden dürfen, auch für Personalnummern, für die man keine Berechtigung hat.

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung, Feldberechtigungen, Definieren, Tabelle: Lohnart Baulohn.
/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Definieren, Tabelle: Personalstamm.
/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren: Berichtsdaten Woche: Berechtigung prüfen: Nicht prüfen.

Webclient: /Stammdaten/Einrichtung, Feldberechtigungen definieren,  Definieren, Tabelle: Lohnart Baulohn.
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen definieren, Tabelle: Personalstamm.
Webclient: /Stammdaten/Einrichtung, Feldberechtigungen aktivieren, Aktivieren: Aktivieren: Fehlzeitenkalender Berechtigung: Nicht prüfen

Berichtsdatenerfassung, Übersichten und Karten

Wenn ein Benutzer für Berichtsdatenerfassung eingerichtet ist, dann gilt für Übersichten und Karten:

Die Übersicht des Personalstamms ist laut den Berechtigungen eingeschränkt. Die Karte des Personalstamms kann nicht aufgerufen werden. In der Info-Box zum Personal wird nur der Name zur Personalnummer angezeigt. In der Info-Box kann zusätzlich ausgeführt werden: "nach Name suchen", eine Eingabe von zum Beispiel mei sucht dann die Meiers in der Firma. Dabei werden Berechtigungen nicht geprüft. Angezeigt werden in einer Übersicht nur die Personalnummer und der Name. Die Stapel im Rollencenter wenden die Berechtigungen an. Der Filter auf zum Beispiel Abrechnungskreis kann dann in den Übersichten, etwa zu Qualifikationen, gelöst werden. In anderen Übersichten werden die Berechtigungen gefiltert und geprüft.

Berichtsdatenerfassung, gar nicht die Übersicht des Personalstamms

Wenn ein Berichtsdatenerfasser die Übersicht des Baulohns zum Personal gar nicht sehen soll, dann so vorgehen:

Dem Anwender in den Feldberechtigungen keine Personalnummern erlauben, zum Beispiel mittels eines Filters A&B. Die Übersicht des Personalstamms ist für diesen Anwender dann leer. In der Info-Box zum Personal gibt es aber die Auswahl "nach Name suchen". Dort muss man allerdings die Nummer, die man haben will, mit Strg-C kopieren. Dann mit Strg-V die Personalnummer in die Erfassung einfügen, in der man arbeitet.

Berichtsdatenerfassung, Personallisten

Wenn ein Berichtsdatenerfasser Personallisten oder die "Ausgabe" im Rollencenter ausführt, dann gilt: Wenn die Einrichtung "Berichtsdaten Woche: nicht prüfen" überhaupt nicht gesetzt ist, dann darf ein Berichtsdatenerfasser gar keine Personalliste ausführen. Sonst gelten die Berechtigungen auf den Personalstamm, wie festgelegt.

Aber wenn ein Berichtsdatenerfasser bestimmte Personallisten mit bestimmten Definitionen ausführen soll, und zwar für alle Personalnummern, gleich ob berechtigt oder nicht, dann so vorgehen:

In der Personalinformation (das ist ein Zusatzmodul) einen Definitionsnamen anlegen, die Personalliste dazu eintragen, zum Beispiel "Standard", und schließlich unter "Für Benutzergruppen" eine der Benutzergruppen des Berichtsdatenerfassers eintragen. Dies gilt aber nur, vorsichtshalber, wenn der Benutzer selbst dort überhaupt keine Definitionen erfassen darf.  Für genau diese Listen und Definitionen werden dann bei der Personalliste gar keine Berechtigungen auf den Personalstamm geprüft. Und sobald ein solcher Eintrag in der Personalinformation enthalten ist, darf der Berichtsdatenerfasser auch nur diese Personallisten und diese Definitionen ausführen; auf diese Weise können also gezielt Personallisten und Definitionen vorenthalten oder freigegeben werden.

/Berichte/Personallisten und zur Einrichtung dort: Auswerten, Personalinformation (siehe auch Handbuch bloPersonalinformation.pdf BLO Personal-Information).
Webclient: /Berichte/Personallisten

Berichtsdatenerfassung, Berichte

Für einen Berichtsdatenerfasser sind diejenigen Berichte frei, die direkt zur Erfassung gehören, das sind:

Der Druck "Berichtsdaten KW (pro Kalenderwoche)". Der Druck der Qualifikationen, Ausstattungen und die Terminliste. Dort werden dann die Berechtigungen nicht geprüft. Beim Druck der Berichtsdaten werden aber nur Belege gedruckt, die der Benutzer selbst bearbeitet (zu erkennen am Änderungsbenutzer). Alle anderen Auswertungen prüfen die Berechtigungen, wie festgelegt.

Berichtsdaten, Lohnarten, einschränken

Benutzern ein Buchungsblatt vorgeben

Wenn bestimmte Benutzer nur bestimmte Buchungsblätter der Berichtsdaten öffnen und bearbeiten dürfen, dann kann dies eingerichtet werden. Dies wird gesteuert über die "Auswählbaren Berichte", mit denen auch die Druckausgaben eingeschränkt werden können, die ausgeführt werden dürfen. Hier kann für die Berichtsart die Auswahl "BLO Blatt" getroffen werden, für einen Benutzer oder für eine Gruppe (Rolle). Als Berichtsfilter dann den Namen eines Buchungsblatts eintragen. Wenn nötig, können auch mehrere Namen in der Form eines Filters vorgegeben werden.

Diese Einschränkungen wirken sich so aus:

Wenn die Haupterfassung der Berichtsdaten geöffnet wird, dann wird das Buchungsblatt geöffnet. Wenn ein Blatt vorgegeben ist, dann dieses; falls mehrere vorgegeben sind, dann das erste. In der Berichtsdatenerfassung und in der Übersicht, die aufgerufen werden kann, wird auf die erlaubten Buchungsblätter gefiltert; dieser Filter kann vom Benutzer nicht gelöst werden.

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung, Auswählbare Berichte
Webclient: IT-Management/Benutzerverwaltung, Auswählbare Berichte

Berichtsdaten sperren

Um für einen Monat das Erfassen von Berichtsdaten durch bestimmte Benutzer zu beenden, kann dieses definiert werden:

In der Benutzer-Einrichtung der Systemadministration wird einmal pro Benutzer festgelegt, dass für ihn ein Berichtsmonat als abgeschlossen gilt, sobald dies für den Monat festgelegt wird. In der Abrechnungs-Übersicht des Baulohns wird durch den Aufruf einer Funktion das Erfassen der Berichtsdaten für diesen Monat beendet. Wenn also diese beiden Einrichtungen getroffen sind, dann dürfen die so festgelegten Benutzer keine Berichtsdaten dieses Monats ändern oder erfassen oder löschen. Dies gilt für alle Berichtsdaten des Monats, ohne Einschränkung nach Personalnummer oder Niederlassung oder Abrechnungskreis. Diejenigen Benutzer, bei denen die Kennung in der Benutzer-Einrichtung nicht gesetzt ist, dürfen die Berichtsdaten weiter bearbeiten.

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung, Benutzer Einrichtung, Baulohn-Berichtsdaten begrenzt (diese Spalte ist einblendbar) und /Abrechnung/Abrechnungen, Funktion, Berichtsdaten-Erfassung beenden
Webclient: IT-Management/Benutzerverwaltung, Benutzer Einrichtung, Baulohn-Berichtsdaten begrenzt (Personalisierung: diese Spalte ist einblendbar) und /Abrechnung/Abrechnungen, Nacharbeiten, Berichtsdaten-Erfassung beenden

Bestimmte Benutzer berichten bestimmte Lohnarten

Welche Lohnarten bestimmte Benutzer berichten können, kann über die Feldberechtigungen der Systemverwaltung eingeschränkt werden.

Berichtsdaten, Lohnarten, einschränken

Diese Einschränkung gilt dann für die Übersicht der Lohnarten, die Karte der Lohnarten und das Berichten der Lohnarten. Für die Auswertung durch Berichte gilt die Einschränkung nicht; sie zielt auf die Berichtsdaten. Das ist eine Berechtigungsprüfung; der Benutzer kann also z.B. nicht einen Filter lösen, um doch alle Lohnarten zu sehen.

Was tun? Bei der Feldberechtigung wird eine Gruppen-ID (Rolle) eingetragen. Am besten ist es, nur für diesen Zweck Rollen anzulegen. Die Rolle dann bei den Benutzern eintragen. Weiter muss nichts zur Rolle definiert werden. Dann bei den Feldberechtigungen zu dieser Rolle die Tabelle Lohnart Baulohn, als Feld Lohnart und als Anzeigen-Filter einen Filter der erlaubten Lohnarten eintragen. Sollten viele Lohnarten berechtigt sein, dann eine weitere Rolle anlegen. Für Benutzer ohne Einschränkung keinen Eintrag erstellen. 

Die gesamte Berechtigungsprüfung des Baulohns, einschließlich dieser Lohnartenprüfung, wird über die Baulohn-Einrichtung, Berechtigung, Aktivieren in Gang gesetzt.
Webclient: Stammdaten/Einrichtung, Feldberechtigung aktivieren

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Definieren
Webclient: Stammdaten/Einrichtung, Feldberechtigung definieren

Berichtsdaten pro Benutzer einschränken

Berichtsdaten sperren und Bestimmte Benutzer berichten bestimmte Lohnarten: siehe dazu in BLO Lexikon A - K im Kapitel Berichtsdaten.

Beitragsnachweis, LSt-Anmeldung, andere 

Allgemein zu Beitragsnachweis, LSt-Anmeldung

Die Ermittlungen des Beitragsnachweises für die Krankenkassen sowie die Ermittlung der LSt-Anmeldung sollte grundsätzlich mit Abrechnungskreis-Filter aufgerufen werden.

/Abrechnung/Zahlungen
Webclient: /Abrechnung/Zahlungen

Berechtigungen, Krankenkassen-Einzelnachweis

Für den Fall, dass die Ermittlung des Beitragsnachweises ohne Eingrenzung nach Abrechnungskreis ausgeführt wurde, wird dann beim Druck des Einzelnachweises geprüft, ob für die einzelne Personalnummer eine Berechtigung vorliegt. Wenn nein, werden die Einzelnachweis-Zeilen für diese Personalnummer nicht gedruckt. Die Gesamtwerte des Beitragsnachweises werden jedoch ungeschmälert gedruckt.

/Abrechnung/Zahlungen, Monat, Druckausgaben erstellen, <zahkkstd>
Webclient: /Abrechnung/Zahlungen, Monat, Druckausgaben erstellen, <zahkkstd>

Berechtigungen für Baulohn-Firmen-Druckausgaben

Für einige Baulohn-Druckausgaben trifft dieses zu:

Sie drucken zwar Summen für die Firma oder Niederlassung, jedoch keine Details pro Personalnummer. Der Druck soll aus organisatorischen Gründen von einer Person  ausgeführt werden, die ansonsten nicht die Berechtigung für alle Abrechnungskreise hat. Einige, festgelegte Druckausgaben können hierfür freigegeben werden. Dies sind:

• Das LSt-Anmeldungs-Formular,
• das LSt-Anmeldung-Formular über mehrere Mandanten,
• der Krankenkassen-Beitragsnachweis, aber nur ohne Einzelnachweis,
• die Listen für das Statistische Landesamt,
• der ZVK-Nachweis, aber nur ohne Personalnummernfilter,
• der ZVK-Spitzenausgleich,
• das Ausführen der Beitragsmeldungsermittlung für die ZVK,
• Drucken der KuG-Arbeitsamtsliste, aber ohne Details, nur das Deckblatt.
• Bei den Zahlungslisten <zahkkfib Kontrolliste SV-Beiträge>.

Weitere Berichte:

• die Liste des Bescheinigungswesens <berspernl Personal nach Niederlassung>.

Vorgehensweise:

In den "Auswählbaren Berichten" eine Definition für "BLO Reports" und für den bestimmten Benutzer anlegen. Dort die Auswahl treffen: Baulohn-Firmenausgaben ohne Berechtigungsprüfung. Die anderen Eingaben, also die Berichtsfilter, können leergelassen werden, wenn der Benutzer ansonsten die Baulohn-Berichte gemäß seiner Berechtigung ausführen darf.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren,  "Baulohn-Firmenausgaben drucken"
Webclient: /Stammdaten/Einrichtung/Feldberechtigungen, Feldberechtigungen aktivieren, "Baulohn-Firmenausgaben drucken"

Firmen-Druckausgaben, auch für Erstellen

Benutzer mit der Berechtigung für Firmen-Druckausgaben dürfen auch die zugehörige Verarbeitung ausführen. Diese sind:

• Zahlungen: Baulohn, Periodische, Zahlungen, Monat, Finanzamt, Krankenkasse voraussichtlich und Krankenkasse.
• ZVK-Meldungen: ZVK-Beitragsmeldungen erstellen und ZVK-Ausbildungsmeldungen erfassen: ZVK-Meldungen, Monat, <Bemel>, <Anmel> und <Aumel>.

/Abteilungen/Baulohn/Einrichtung, Berechtigungen, Aktivieren,  "Baulohn-Firmenausgaben drucken"
Webclient: /Stammdaten/Einrichtung/Feldberechtigungen, Feldberechtigungen aktivieren, "Baulohn-Firmenausgaben drucken"

Weitere Überlegungen zu Berechtigungen

Berichte, Ausführbare Berichte

Es ist denkbar, dass ein Benutzer in den ausführbaren Berichten eine Berichts-ID einträgt, die aus einem anderen Anwendungsgebiet stammt.

/Abteilungen/Baulohn/Einrichtung, Baulohn Objektliste, Ausführen-Objekt-ID
Webclient: suchen Objektliste

Vorgehensweise

In einer der Benutzergruppen (Rollen) ist die Berechtigung für die Tabelle 5004098 H&P Ausführbare Objekte erteilt. In unserem Berechtigungs-Muster ist dies der Fall für die Gruppe 00_Alle.

/Abteilungen/Verwaltung/IT-Verwaltung oder Suchen: Zugriffsrechte für Gruppen
Webclient: IT-Management/Benutzerverwaltung, Zugriffsrechte

Entziehen Sie hier in der Zeile: Tabellendaten, 5004098, H&P Ausführbare Objekte das "Einfügen Zugriffsrecht", indem Sie es auf leer setzen, so dass diese Benutzer hier keine Sätze, also andere Berichts-IDs, eintragen können.

 Weiterer Hinweis:

Beim Installieren einer Version (z.B. 2020.20) oder eines Baulohn-Updates (z.B. 2020.20.004) oder einer kleinen Änderung (Patch 2020.20.004) führen Sie /Abrechnung/Abrechnung, Einrichtung, Hinzufügen aus.
Webclient: Stammdaten/Einrichtung/Einrichtung, Ausführen, Hinzufügen oder
Webclient: IT-Management/Stammdaten/Einrichtung, Einstellungen aktualisieren

Bei dieser Verarbeitung müssen Sätze in die genannte Tabelle hinzugefügt werden. Gehen Sie hierzu bitte wie folgt vor:

Entweder führt nur der Systemverantwortliche diese Imports aus oder überprüfen Sie, ob in der Haupt-Benutzergruppe (im Muster 00_Alle) ein Eintrag mit:
Tabellendaten, 0, und 4mal "Indirekt" und Ausführen=Ja vorhanden ist. Sowie ein Eintrag mit: Tabelle, 0, 4mal "indirekt" und Ausführen=Ja (sofern ansonsten Berechtigungen auf die Objektart "Tabelle" eingeschränkt sind). Dieses ist unbedenklich und wir empfehlen es.

Personalnummern in anderen Bereichen

Personalnummern

Personalnummern werden auch in anderen Bereichen für die Erfassung von Belegen benötigt. Dies sind insbesondere:

• Stammdaten, Personal
• Stammdaten, Geräte, Gerät, Register Steuerung, Fahrer Personalnummer
• Geräteabrechnung, Gerätedisposition, Button Fahrzeuge, Button Fahrten
• Baubetriebsabrechnung, BBA Buchungsblatt
• Materialabrechnung, Werkstattberichte

Berechtigungen für Personalnummer-Übersicht

Wenn die Muster-Berechtigungen verwendet werden, dann können Benutzer, die nicht zur Lohn- oder Gehaltsgruppe gehören, und die nicht Systemverantwortliche sind, die Übersicht der Personalnummern an dieser Stelle nicht aufrufen.
Sie können eine vorhandene Personalnummer eintragen. Nicht-berechtigte Benutzer können an diesen Stellen aber auch nicht-vorhandene Personalnummern eintragen. Da sie keine Lese-Berechtigung auf den Personalstamm haben, wird die Eingabe nicht geprüft.

Vermischtes

Beispiel: Anzeigen erlaubt, aber nicht Ändern

Wenn ein Benutzer z.B. die Lohnverteilungs-Liste ausführen darf, aber nicht im Personalstamm ändern soll, und auch keine Abrechnungen ausführen soll, dann so vorgehen:

Eine Benutzergruppe anlegen für diesen Zweck. (siehe hier zu Benutzergruppen)
Hier eine Rolle (gleichbedeutend mit: Gruppe) anlegen. Keine Zugriffsrechte für die Gruppe erfassen.

Denn diese Gruppe dient nur folgendem Zweck:
Die Gruppe beim Benutzer zusätzlich zu den bestehenden Gruppen eintragen.

Für die Gruppe die Baulohn-Berechtigung einschränken.
Wenn z.B. der Abrechnungskreis Lohn ausgewertet werden soll, dann so eintragen:
Gruppen ID: die Gruppe, Tabelle: Personalstamm, Feld Abrechnungskreis, Anzeigen-Filter: Lohn. Jedoch beim Bearbeiten-Filter einen ungültigen Filter eintragen, z.B. A&B, was nie zutrifft, ebenso beim Löschen-Filter.

Berechtigungen für den Datenexport an die Finanzverwaltung

Wenn Daten für die Finanzverwaltung ausgelesen werden, also nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), dann werden diese Berechtigungen geprüft:

Der Aufruf aus dem Baulohn-Menü ist nur möglich, wenn der Benutzer keine Einschränkungen im Baulohn auf Personalnummern hat. Wenn der Benutzer also durch Baulohn, Einrichtung, Berechtigung auf bestimmte Abrechnungskreise oder Niederlassungen eingeschränkt ist, dann darf er den Export nicht aufrufen.

Es ist beim Export eine sogenannte dtd-Datei erforderlich, sowie eine Indexdatei (je nach Version des Programmes zum Jahreswechsel) notwendig, die wir bereitstellen.
Siehe dazu auch im Handbuch BLO Digitale Lohnschnittstelle (DLS).

Abteilungsmenü berechtigen (nur bis zur Version 2020.xx)

Abteilungen-Menü, was darf man sehen?

Im Abteilungen-Menü können bestimmte Menüs für bestimmte Anwender gar nicht erst angezeigt werden.
Dies ist möglich für: das Menü des deutschen Baulohns, das Menü der IT-Verwaltung.

/Abteilungen/Baulohn und /Abteilungen/Verwaltung/IT-Verwaltung

Abteilungen-Menü, Tabellen, um Menüs anzuzeigen

Ob ein Menü bei den Abteilungen angezeigt wird oder nicht, wird gesteuert über Tabellen, die alleine zu diesem Zweck da sind: 5003909 Menu BLO, 5003917 Menu VERW. Die Objektberechtigungen für die Tabellendaten dieser Tabellen müssen bei den Rollen der Benutzer eingetragen werden oder eben nicht.
Tabellendaten wurden für Lesen, Einfügen, Bearbeiten, Löschen, Ausführen berechtigt: Menüpunkte werden angezeigt. Keine Tabellendaten berechtigt: Menüpunkte werden nicht angezeigt.

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung, Zugriffsrechte Gruppen, Zugriffsrechte

Fragen zum Abteilungen-Menü

Hat ein Anwender mit den Berechtigungen für die Tabellendaten von 5003917 Menu VERW dadurch auch die Berechtigung für die einzelnen Menüpunkte der IT-Verwaltung? Nein. Die Berechtigungen für die einzelnen Tabellendaten gelten weiter. 5003917 Menu VERW heißt nur: die Menüpunkte werden erst einmal angezeigt. Sind mit den Berechtigungen für die Tabellendaten von 5003917 Menu VERW die Menüpunkte der IT-Verwaltung immer sichtbar? Nein. Wenn der Menüpunkt eine Übersicht aufruft und wenn für die Tabellendaten dieser Übersicht sowieso keine Berechtigungen vorhanden sind, dann ist ein solcher Menüpunkt nicht zu sehen. Was bewirkt die Berechtigung für die Tabellendaten von 5003909 Menu BLO? Im Abteilungen-Menü sind Menüpunkte des Baulohns sichtbar. Hat ein Anwender mit den Berechtigungen für die Tabellendaten von 5003909 Menu BLO auch die Berechtigung für den Baulohn? Nein. Die Berechtigungen für den Baulohn gelten weiter.

Was tun?

Die Berechtigungen für die Standard-Benutzergruppen sind in der AllRecht-Datei so enthalten: 90_LOHN, 95_GEHALT: berechtigt für Tabellendaten von 5003909 Menu BLO. 110_ADMIN: berechtigt für Tabellendaten von 5003917 Menu VERW. Wenn diese Standardgruppen benutzt werden: dann die AllRecht-Datei importieren. Wenn andere Gruppen benutzt werden: dann die Berechtigungen für diese Tabellendaten eintragen, wo sie nötig sind.

/Abteilungen/Verwaltung/IT-Verwaltung/Benutzerverwaltung, Import Berechtigungen