Auf der Registerkarte "Datensätze" können Sie Rechte für Sichtbarkeit, Bearbeitbarkeit und Löschbarkeit auf Datensatzebene definieren. Die entsprechenden Benutzer können dann in der angegebenen Ansicht nur noch die festgelegten Datensätze sehen, bearbeiten bzw. löschen.
So können beispielsweise Kontakte dahingehend geschützt werden, dass sie nur vom jeweiligen Betreuer bearbeitet und/oder gelöscht werden dürfen.
Hinweis: Die Aktivierung von Datensatzrechten beansprucht generell zusätzliche Ressourcen des Datenbankservers, da die Komplexität der Abfragen erhöht wird. Dies könnte sich in einer Verschlechterung der Performance auswirken.
▪ Wählen Sie aus der Liste der Ansichten zuerst diejenige aus, für die Sie die Rechte festlegen möchten. Wenn Sie den obersten Eintrag "Mehrfachauswahl" selektieren, können Sie die Rechte für mehrere Ansichten in einem Schritt definieren.
▪ Bei einem Gruppenrecht wählen Sie dann "Ja", bei einem Benutzerrecht wählen Sie "Ja" bzw. "Siehe Gruppen" wenn der Filter von der Mitgliedschaft zu einer Gruppe übernommen werden soll.
▪ Über die Formel-Schaltfläche können sie dann eine Filterbedingung festlegen.
▪ Versuchen Sie, möglichst einfache Filter zu verwenden.
▪ Vermeiden Sie Filter mit Relationen.
▪ Wenn die Datensatzrechte von Gruppen abgeleitet sind, vermeiden Sie Gruppenzugehörigkeiten zu mehreren Gruppen mit Datensatzrechten.
▪ Durch die Kombination von Gruppenrechten kann es zu Berechtigungskonflikten kommen. In diesem Fall haben Zulassen-Rechte Vorrang vor Verweigern.
Beispiel: Der Benutzer ist sowohl in der Gruppe "Marketing" als auch bei "Support" eingetragen. Über die Marketing-Gruppe hätte er nicht das Recht die Datensätze zu sehen, als Mitglied der Support-Gruppe jedoch schon. In diesem Fall erhält der Anwender das Recht zugeteilt und es spielt keine Rolle, dass er es als Zugehöriger zur Marketing-Gruppe eigentlich nicht hätte.
Die Berechtigungen werden dabei nur für Gruppen betrachtet, die überhaupt Datensatzberechtigungen aktiviert haben. Eine Gruppe mit uneingeschränkten Datensatzrechten wird ignoriert. Damit eine Gruppe trotzdem alle Datensätze einer Ansicht sehen darf, müssen bei dieser Gruppe die Datensatzrechte eingeschränkt und als Filterbedingung im Filter-Allgemein-Dialog der Ausdruck "1=1" eingetragen werden. In diesem Fall haben Zulassen-Rechte Vorrang vor Verweigern und diese Gruppe kann alle Datensätze dieser Ansicht sehen.
Beispiel: Der Benutzer ist sowohl in der Gruppe "Support" als auch bei "Marketing" eingetragen. Über die Support-Gruppe sind in der Ansicht "Tickets" keine Datensatzrechte aktiv, als Mitglied der Marketing-Gruppe jedoch schon. In diesem Fall erhält der Anwender nur die eingeschränkten Datensatzrechte der Marketing-Gruppe auf die Ansicht "Tickets", da die Tickets-Ansicht bei der Kombination der Berechtigungen ignoriert wird. Erst nachdem für die Support-Gruppe in der Ansicht "Tickets" die Datensatzrechte aktiv werden und als Filterbedingung der Ausdruck "1=1" eingetragen wird, hat der Benutzer Zugriff auf alle Datensätze der Ansicht "Tickets".
▪ Schränken Sie Datensatzrechte nur für diejenigen Ansichten ein, für die sie wirklich notwendig sind.
Hinweis: Der Filter Assistent/Allgemein und Freie SQL-Abfragen berücksichtigen keine Datensatzrechte von relational verknüpften Ansichten, d. h. theoretisch könnten durch entsprechende WHERE Abfragen Datensätze ohne Leserechte "erraten" werden. Die relational verknüpften Datensätze werden natürlich nicht angezeigt. Wenn es sich um kritische Datensätze handelt, können dem Benutzer die Rechte "Freie SQL-Abfrage erstellen" und "Filterausdruck direkt editieren" genommen werden. Vorbereitete SQL-Abfragen und Filter durch rein interaktives Zusammenklicken sind dann zwar nach wie vor möglich, aber es kann keine Abfrage erstellt werden, über die relational verknüpfte Datensätze "erraten" werden können.