Cheat-Sheet — Administration
Gerät: PC · Hauptverantwortung: System-Konfiguration, Berechtigungen, Audit-Pflege, Notifications.
Kalender
| Wann | Was |
|---|---|
| Wöchentlich | Notification-Logs, Cron-Jobs prüfen |
| Monatlich | Audit-Stichproben, Berechtigungs-Review |
| Quartalsweise | Custom-Rollen-Audit, ungenutzte Stammdaten ausmisten |
| Bei Bedarf | Import-Aktionen, neue Custom-Rollen, neue Notification-Templates |
Wichtigste Workflows
| Workflow | Tutorial |
|---|---|
| Setup-Wizard durchklicken (neuer Mandant) | Setup-Wizard — 12 Schritte |
| Berechtigungen verwalten | Berechtigungen verwalten |
| Settings + Customization | Settings + Customization |
| Import + Export | Import + Export |
| Notification-System | Notification-System |
| Audit-Trail | Audit-Trail |
| Cron-Jobs überwachen | Cron-Jobs |
| Mail + Niederlassungen | Mail + Niederlassungen |
| Papierkorb | Papierkorb |
| Tier-1-Stammdaten | Tier-1-Stammdaten |
KI-Chat-Prompts (Recherche, keine Berechtigungs-Änderungen via Chat)
Wer hat in den letzten 7 Tagen Lösch-Aktionen ausgeführt? Pro User mit
Anzahl, Datensatz-Typ und Zeitstempel.
Welche Mitarbeiter haben aktuell die Admin-Rolle? Mit Niederlassung,
letztem Login und Anzahl Admin-Aktionen letzten Monat.
Welche Cron-Jobs sind in den letzten 7 Tagen mit Fehler gelaufen?
Mit Job-Name, Häufigkeit und letzter Fehler-Meldung.
Sicherheits-Checkliste (Wöchentlich)
- ☐ Cron-Jobs: alle erfolgreich gelaufen?
- ☐ Notification-Logs: keine fehlerhaften Versendungen?
- ☐ Audit: keine ungewöhnlichen Lösch-Aktionen?
- ☐ Berechtigungen: kein Wildwuchs neuer Custom-Rollen?
- ☐ Inaktive Mitarbeiter: Login deaktiviert?
Stolpersteine
- Berechtigungs-Änderungen sind sicherheits-relevant — Vier-Augen-Prinzip
- Cron-Job-Fehler ignorieren — können sich aufstauen, Datenkonsistenz leiden
- Mass-Import ohne Test-Vorab — Schaden bei Fehler riesig
- Mail-Konfiguration ändern — vorher Test mit eigenem Postfach
KI-Memory — System-Konfig und Runbook (Welle 143)
Sie konfigurieren Permissions, debuggen Workflows, migrieren Daten. Vieles davon ist Detail-Wissen, das später keiner mehr findet. KI-Memory ist Ihr persönliches Runbook + System-Tagebuch.
| Wann pflegen? | Beispiel |
|---|---|
| Nach Permission-Setup | „Buchhaltungs-Leitung-Rolle hat exklusiv do:AccountingClose und view:BWA |
| Nach Cron-Job-Debug | „Mail-Sync-Job: bei Hängern erst Worker-Restart, dann MS-Graph-Token prüfen |
| Migration-Erkenntnis | „Bei Welle-137-Migration: BusinessCard-Backfill braucht Re-Index nach 24h |
| Notification-Konfig | „HR-Compliance-Reminder: lead_days=30 ist optimal, 60 zu viel Noise |
Folder-Konvention für admin:
admin/permissions— Rollen-Konfigurationen, Custom-Subjectsadmin/cron— Cron-Jobs, Debug-Routinen, Worker-Setupadmin/migration— Migrations-Patterns, Backfill-Strategienadmin/notifications— Notification-Settings, Lead-Days, Templates
Scope: alles team oder private — IT-Wissen ist nicht oeffentlich interessant. API-Keys, Secrets, Credentials niemals in die Memory (auch nicht sensitive) — die KI sieht den Klartext beim Antworten.
Per KI-Chat anlegen:
Bitte merken: Mail-Sync-Job-Haenger Symptom — bei Wiederholung erst Worker
restart, dann MS-Graph-Token-Refresh pruefen. Folder admin/cron, Scope team.
→ Eigenes KI-Gedächtnis nutzen
Bei Problemen
- Mitarbeiter sieht nichts mehr — FE_-Subject + API-Subject prüfen
- Cron-Job dauerhaft kaputt — IT / Entwickler einbinden
- Audit-Log explodiert — Cold-Storage konfigurieren, IT
- Notification-Bounce — Provider-Limit, Mail-Reputation
Anti-Patterns (was NICHT machen)
- ❌ Berechtigungen via KI-Chat ändern — manuelle Sorgfalt mit Vier-Augen
- ❌ Audit-Logs löschen — GoBD-relevant, 10 Jahre aufbewahren
- ❌ Konten-Rahmen mitten im Jahr ändern ohne Steuerberater
- ❌ Mandanten-Setup ändern bei laufenden Belegen
- ❌ Bulk-Lösch-Aktionen ohne Backup
Custom-Tile per Rolle zuweisen (Welle 114)
Statt jede Custom-Tile pro Mitarbeiter freizugeben:
/custom-navigation-tiles/<id>— Icon und URL pflegen. Icon-Selector bietet Cross-Library-Suche über 31react-icons-Bibliotheken (Tabler, Font Awesome, Material, Lucide, …)./roles/<id>→ Tab Custom Tiles → Tile-Picker. Alle Mitglieder der Rolle sehen die Kachel automatisch.
Default-Rolle für neue Mitarbeiter (Welle 115)
Pro Rolle steht im Rollen-Formular der Toggle isDefaultForNewEmployees. Beim Anlegen eines neuen Mitarbeiters werden alle aktiven Default-Rollen automatisch zugewiesen. Spart Routine-Klicks und vermeidet vergessene Basisrechte.
→ Rollen
DSGVO-Consent-Audit bei Sichtbarkeits-Toggles (Welle 115)
Beim Toggle der Felder shareBirthday / shareJubilee im Mitarbeiter-Formular:
- Admin-Pfad: Pflicht-Modal mit Orange-Warning. Nach Bestätigung legt
logConsentAuditeinenEmployeeComplianceCheck(type = other) an und acknowledged ihn sofort. - Self-Pfad: Toggle im eigenen Profil läuft still im Hintergrund, Audit-Eintrag mit
context = self.
Audit-History pro Mitarbeiter unter /employees/:id/compliance-history einsehbar. Lückenlos belegt, falls später Widerspruch.
Setup-Wizard — Direct-Check (Welle 115)
Beim Login prüft SpeamCore per GET /api/setup/role-direct, ob die Wizard-Rolle dem User direkt zugewiesen ist (Service-Account). Nur dann läuft der Cleanup nach Fertigstellen sauber. Group-vererbte Rollen überspringen den Wizard-Redirect bewusst. Bei API-Fehler wird der Wizard trotzdem gezeigt — kein Lockout.
Mail-System konfigurieren (Welle 149)
| Bereich | Wo? | Was tun? |
|---|---|---|
| Mandanten-Signatur | Settings → Customization → Mail-Signature | Layout-Variante + Logo + Toggles |
| Phishing-AI | MicrosoftConfig | aiScamDetectionEnabled = true |
| Mail-Scan-to-Inbox (Brief-Inbox) | Mail-Konto-Setup | scanToInboxEnabled + Whitelist/Blocklist |
| Bidirektionaler MS-Sync | automatisch | nur MICROSOFT_WEBHOOK_BASE_URL env setzen |
| Compliance-Whitelist | pro Mailbox | wer darf Personalrats-Postfach verarbeiten |
→ Mail-Modul · Mail Microsoft Graph-Sync (Konzept)
Compliance-Notification-Settings (5 Use-Cases)
Pro Mandant aktivierbar unter /settings → Compliance-Notifications:
| Setting | Default | LeadDays Default |
|---|---|---|
complianceProbationEndNoticeEnabled | aktiv | 30 |
complianceJubileeNoticeEnabled | aktiv | 90 |
complianceContractEndNoticeEnabled | aktiv | 60 |
complianceVacationExpiryNoticeEnabled | aktiv | 90 |
enforceMaxWorkingHours (§3 ArbZG-Cap) | inaktiv | — (Live-Hook) |
→ Compliance-Settings vertieft
Bug / Feature melden
Statt eigener Mail an Marc / Kevin: Feedback-Button unten rechts (Zahnrad). User-Anwendungen melden alles dort, du siehst alle Meldungen unter /feedback.
Verwandte Cheat-Sheets
- HR-Leitung — operative Rollen-Vergabe
- GF — strategische Setup-Entscheidungen