Zum Hauptinhalt springen

Cheat-Sheet — Administration

Gerät: PC · Hauptverantwortung: System-Konfiguration, Berechtigungen, Audit-Pflege, Notifications.

Kalender

WannWas
WöchentlichNotification-Logs, Cron-Jobs prüfen
MonatlichAudit-Stichproben, Berechtigungs-Review
QuartalsweiseCustom-Rollen-Audit, ungenutzte Stammdaten ausmisten
Bei BedarfImport-Aktionen, neue Custom-Rollen, neue Notification-Templates

Wichtigste Workflows

WorkflowTutorial
Setup-Wizard durchklicken (neuer Mandant)Setup-Wizard — 12 Schritte
Berechtigungen verwaltenBerechtigungen verwalten
Settings + CustomizationSettings + Customization
Import + ExportImport + Export
Notification-SystemNotification-System
Audit-TrailAudit-Trail
Cron-Jobs überwachenCron-Jobs
Mail + NiederlassungenMail + Niederlassungen
PapierkorbPapierkorb
Tier-1-StammdatenTier-1-Stammdaten

KI-Chat-Prompts (Recherche, keine Berechtigungs-Änderungen via Chat)

Wer hat in den letzten 7 Tagen Lösch-Aktionen ausgeführt? Pro User mit
Anzahl, Datensatz-Typ und Zeitstempel.
Welche Mitarbeiter haben aktuell die Admin-Rolle? Mit Niederlassung,
letztem Login und Anzahl Admin-Aktionen letzten Monat.
Welche Cron-Jobs sind in den letzten 7 Tagen mit Fehler gelaufen?
Mit Job-Name, Häufigkeit und letzter Fehler-Meldung.

Sicherheits-Checkliste (Wöchentlich)

  • ☐ Cron-Jobs: alle erfolgreich gelaufen?
  • ☐ Notification-Logs: keine fehlerhaften Versendungen?
  • ☐ Audit: keine ungewöhnlichen Lösch-Aktionen?
  • ☐ Berechtigungen: kein Wildwuchs neuer Custom-Rollen?
  • ☐ Inaktive Mitarbeiter: Login deaktiviert?

Stolpersteine

  • Berechtigungs-Änderungen sind sicherheits-relevant — Vier-Augen-Prinzip
  • Cron-Job-Fehler ignorieren — können sich aufstauen, Datenkonsistenz leiden
  • Mass-Import ohne Test-Vorab — Schaden bei Fehler riesig
  • Mail-Konfiguration ändern — vorher Test mit eigenem Postfach

KI-Memory — System-Konfig und Runbook (Welle 143)

Sie konfigurieren Permissions, debuggen Workflows, migrieren Daten. Vieles davon ist Detail-Wissen, das später keiner mehr findet. KI-Memory ist Ihr persönliches Runbook + System-Tagebuch.

Wann pflegen?Beispiel
Nach Permission-Setup„Buchhaltungs-Leitung-Rolle hat exklusiv do:AccountingClose und view:BWA
Nach Cron-Job-Debug„Mail-Sync-Job: bei Hängern erst Worker-Restart, dann MS-Graph-Token prüfen
Migration-Erkenntnis„Bei Welle-137-Migration: BusinessCard-Backfill braucht Re-Index nach 24h
Notification-Konfig„HR-Compliance-Reminder: lead_days=30 ist optimal, 60 zu viel Noise

Folder-Konvention für admin:

  • admin/permissions — Rollen-Konfigurationen, Custom-Subjects
  • admin/cron — Cron-Jobs, Debug-Routinen, Worker-Setup
  • admin/migration — Migrations-Patterns, Backfill-Strategien
  • admin/notifications — Notification-Settings, Lead-Days, Templates

Scope: alles team oder private — IT-Wissen ist nicht oeffentlich interessant. API-Keys, Secrets, Credentials niemals in die Memory (auch nicht sensitive) — die KI sieht den Klartext beim Antworten.

Per KI-Chat anlegen:

Bitte merken: Mail-Sync-Job-Haenger Symptom — bei Wiederholung erst Worker
restart, dann MS-Graph-Token-Refresh pruefen. Folder admin/cron, Scope team.

Eigenes KI-Gedächtnis nutzen

Bei Problemen

  • Mitarbeiter sieht nichts mehr — FE_-Subject + API-Subject prüfen
  • Cron-Job dauerhaft kaputt — IT / Entwickler einbinden
  • Audit-Log explodiert — Cold-Storage konfigurieren, IT
  • Notification-Bounce — Provider-Limit, Mail-Reputation

Anti-Patterns (was NICHT machen)

  • ❌ Berechtigungen via KI-Chat ändern — manuelle Sorgfalt mit Vier-Augen
  • ❌ Audit-Logs löschen — GoBD-relevant, 10 Jahre aufbewahren
  • ❌ Konten-Rahmen mitten im Jahr ändern ohne Steuerberater
  • ❌ Mandanten-Setup ändern bei laufenden Belegen
  • ❌ Bulk-Lösch-Aktionen ohne Backup

Custom-Tile per Rolle zuweisen (Welle 114)

Statt jede Custom-Tile pro Mitarbeiter freizugeben:

  1. /custom-navigation-tiles/<id> — Icon und URL pflegen. Icon-Selector bietet Cross-Library-Suche über 31 react-icons-Bibliotheken (Tabler, Font Awesome, Material, Lucide, …).
  2. /roles/<id> → Tab Custom Tiles → Tile-Picker. Alle Mitglieder der Rolle sehen die Kachel automatisch.

Eigene Navigations-Kacheln

Default-Rolle für neue Mitarbeiter (Welle 115)

Pro Rolle steht im Rollen-Formular der Toggle isDefaultForNewEmployees. Beim Anlegen eines neuen Mitarbeiters werden alle aktiven Default-Rollen automatisch zugewiesen. Spart Routine-Klicks und vermeidet vergessene Basisrechte.

Rollen

Beim Toggle der Felder shareBirthday / shareJubilee im Mitarbeiter-Formular:

  • Admin-Pfad: Pflicht-Modal mit Orange-Warning. Nach Bestätigung legt logConsentAudit einen EmployeeComplianceCheck (type = other) an und acknowledged ihn sofort.
  • Self-Pfad: Toggle im eigenen Profil läuft still im Hintergrund, Audit-Eintrag mit context = self.

Audit-History pro Mitarbeiter unter /employees/:id/compliance-history einsehbar. Lückenlos belegt, falls später Widerspruch.

Setup-Wizard — Direct-Check (Welle 115)

Beim Login prüft SpeamCore per GET /api/setup/role-direct, ob die Wizard-Rolle dem User direkt zugewiesen ist (Service-Account). Nur dann läuft der Cleanup nach Fertigstellen sauber. Group-vererbte Rollen überspringen den Wizard-Redirect bewusst. Bei API-Fehler wird der Wizard trotzdem gezeigt — kein Lockout.

Setup-Wizard

Mail-System konfigurieren (Welle 149)

BereichWo?Was tun?
Mandanten-SignaturSettings → Customization → Mail-SignatureLayout-Variante + Logo + Toggles
Phishing-AIMicrosoftConfigaiScamDetectionEnabled = true
Mail-Scan-to-Inbox (Brief-Inbox)Mail-Konto-SetupscanToInboxEnabled + Whitelist/Blocklist
Bidirektionaler MS-Syncautomatischnur MICROSOFT_WEBHOOK_BASE_URL env setzen
Compliance-Whitelistpro Mailboxwer darf Personalrats-Postfach verarbeiten

Mail-Modul · Mail Microsoft Graph-Sync (Konzept)

Compliance-Notification-Settings (5 Use-Cases)

Pro Mandant aktivierbar unter /settings → Compliance-Notifications:

SettingDefaultLeadDays Default
complianceProbationEndNoticeEnabledaktiv30
complianceJubileeNoticeEnabledaktiv90
complianceContractEndNoticeEnabledaktiv60
complianceVacationExpiryNoticeEnabledaktiv90
enforceMaxWorkingHours (§3 ArbZG-Cap)inaktiv— (Live-Hook)

Compliance-Settings vertieft

Bug / Feature melden

Statt eigener Mail an Marc / Kevin: Feedback-Button unten rechts (Zahnrad). User-Anwendungen melden alles dort, du siehst alle Meldungen unter /feedback.

Feedback melden

Verwandte Cheat-Sheets

  • HR-Leitung — operative Rollen-Vergabe
  • GF — strategische Setup-Entscheidungen