das ganze ist aber auch nicht wirklich stringent, denn rein theoretisch könnte ja der Benutzer, der das Recht zum anlegen neuer Benutzer hat, auch folgendes tun:
- Neuen Benutzer anlegen
- Volle Rechte zuweisen
- Mit neuem Benutzer einloggen
- Unfug treiben
Ich kann mich dunkel erinnern, daß wir damals das ganze rausgenommen haben und daß nur noch admins und sysadmins Benutzer anlegen dürfen...
Benutzer erstellen nur mit dem Recht des Admin möglich?
also ich find es an sich eigentlich okay wie das momentan eingestellt ist...kiyoku hat geschrieben:Allerding muss ich emergence zustimmen, dass mein Benutzer auch nicht mehr machen kann als der sysadmin oder admin ihm zugeschrieben hat. Er hat laso keine Adminrechte und kann diese Checkbox auch nicht auswählen bei sich.
der user kann zwar neue benutzer anlegen, diese aber keine rechte geben... das sollte nur der admin machen...
die idee einem anderem user die genau gleichen berechtigungen geben zu können wie der anleger hat, wünsche ich mir als admin eine seite überhaupt nicht...
das einzige was wünschenswert wäre ist, das recht front-end zugriff vergeben zu können
@timo: hast du das ausprobiert?
weil bei mir geht es nicht. Der Benutzer kann zwar weitere Benutzer anlegen, diesem aber nur Zugriff aus Sprach und Mandanten geben. Volle Rechte zuweisen geht nicht, da kommt: "Zugriff verweigert". Damit nutzt es ihm auch nichts sich in seinem namen einzuloggen und unfug treiben, weil er gar keine Menüpunkte hat.
weil bei mir geht es nicht. Der Benutzer kann zwar weitere Benutzer anlegen, diesem aber nur Zugriff aus Sprach und Mandanten geben. Volle Rechte zuweisen geht nicht, da kommt: "Zugriff verweigert". Damit nutzt es ihm auch nichts sich in seinem namen einzuloggen und unfug treiben, weil er gar keine Menüpunkte hat.
Ihr seid zu schnell 
aber trotzdem noch:
@kiyoku (9.XX Uhr)
Das ist doch sogar gut so, oder?!? Ich regele die Rechte über Gruppen. Z.B. habe ich dort eine etwas erweiterte Gruppe, die z.B. auch Templates anlegen darf, und eine Gruppe "Redakteure", die halt eben nur den Content bearbeiten darf. Theoretisch sollen Kunden ja auch nicht unbedingt Rechte verändern können und sich so den Vollzugriff erschleichen, auch wenn sie kein Administrator sind, oder? Für solche Zugänge gibts halt den Administratorzugang.
aber trotzdem noch: @kiyoku (9.XX Uhr)
Das ist doch sogar gut so, oder?!? Ich regele die Rechte über Gruppen. Z.B. habe ich dort eine etwas erweiterte Gruppe, die z.B. auch Templates anlegen darf, und eine Gruppe "Redakteure", die halt eben nur den Content bearbeiten darf. Theoretisch sollen Kunden ja auch nicht unbedingt Rechte verändern können und sich so den Vollzugriff erschleichen, auch wenn sie kein Administrator sind, oder? Für solche Zugänge gibts halt den Administratorzugang.
Zuletzt geändert von s3b am Fr 16. Jan 2004, 11:13, insgesamt 1-mal geändert.
@emergence:
also für mein Projekt finde ich es schon besser, dass der Benutzer weiter Benutzer anlegen kann und ihm diese auch Rechte vergeben kann. Da fragt man sich aber warum man ihn nicht gleich zum Admin macht. Da Problem ist aber, dass der Admin auch Zugriff auf Module und Templates hat. Und das möchte ich nicht.
Eigentlich habe ich für dieses Problem auch schon eine Lösung. Man sollte wenn man dem Benutzer das Recht gibt weitere Benutzer anzulegen, ihm auch das Recht geben diesem neu angelegten Benutzer Rechte zuzuschreiben. So damit aber die anderen Menüpunkte nicht zu sehen kann, braucht man doch nur im Menüpunkt Bereich zu gucken, ob dort ein Häkchen ist, wenn nicht dann erscheint der Menüpunkt nicht. Und schon ist das Problem gelöst. Einfach?
also für mein Projekt finde ich es schon besser, dass der Benutzer weiter Benutzer anlegen kann und ihm diese auch Rechte vergeben kann. Da fragt man sich aber warum man ihn nicht gleich zum Admin macht. Da Problem ist aber, dass der Admin auch Zugriff auf Module und Templates hat. Und das möchte ich nicht.
Eigentlich habe ich für dieses Problem auch schon eine Lösung. Man sollte wenn man dem Benutzer das Recht gibt weitere Benutzer anzulegen, ihm auch das Recht geben diesem neu angelegten Benutzer Rechte zuzuschreiben. So damit aber die anderen Menüpunkte nicht zu sehen kann, braucht man doch nur im Menüpunkt Bereich zu gucken, ob dort ein Häkchen ist, wenn nicht dann erscheint der Menüpunkt nicht. Und schon ist das Problem gelöst. Einfach?
ich glaube hier gehts um ne grundsatz frage...kiyoku hat geschrieben:Eigentlich habe ich für dieses Problem auch schon eine Lösung. Man sollte wenn man dem Benutzer das Recht gibt weitere Benutzer anzulegen, ihm auch das Recht geben diesem neu angelegten Benutzer Rechte zuzuschreiben. So damit aber die anderen Menüpunkte nicht zu sehen kann, braucht man doch nur im Menüpunkt Bereich zu gucken, ob dort ein Häkchen ist, wenn nicht dann erscheint der Menüpunkt nicht. Und schon ist das Problem gelöst. Einfach?
ich bin nicht dafür das ein user anderen user rechte geben darf...
ich finde es hingegen okay wenn es eine gruppe gibt die der user dem neuen user zuordnen kann... und die rechte wurden in der gruppe entweder vom admin oder sysadmin definiert...
einfach ? das glaub ich nicht...
-
timo
- Beiträge: 6284
- Registriert: Do 15. Mai 2003, 18:32
- Wohnort: Da findet ihr mich nie!
- Kontaktdaten:
am Rechtesystem an sich ändert sich gar nichts (zumindest bisher noch nicht), aber es gibt sogenannte Frontend-Benutzer - im Moment gibts einfach nur eine Möglichkeit, diese im Backend anzulegen, und später wird es noch Gruppen und differenzierte Rechte für Frontend-Benutzer geben. Das vereinfacht das Handling stark.emergence hat geschrieben:@timo
ähm was ändert sich beim rechte system ? kannst du mir da nen kleine übersicht geben... damit ich weiss worauf ich mich einstellen kann...
@kiyoku
ich glaube das sollte auch so bleiben... und es geht momentan eh nicht unfug zu treiben, wie timo es beschrieben hat...
o.k., dass mit den Gruppen scheint die Lösung zu sein.
Es gibt also einen Redakteur, der kein Adminrecht hat. Dieser hat aber das Recht Benutzer anzulegen und Gruppenmitglieder hinzuzufügen und zu löschen. O.k., hab ich aus probiert klappt auch alles.
Jetzt klappt aber was anderes nicht. Und zwar kann der sysadmin keine Gruppen löschen. Und wenn ein Benutzer einer Gruppe zugesprochen wird, kann er leider nicht das ausführen, was die Gruppe eigentlich ausführen könnte.
Ich gebe der Gruppe das Recht auf nur einen bestimmten Menüpunkt Artikel anzulegen, zu löschen etc. Habe dazu der Gruppe im Bereich ein Häkchen nur in Artikel gemacht (1.Chekcbox) und dann habe ich noch unter Content die Eigenschaften für den Menüpunkt aktiviert. Logge ich mich jetzt als das Gruppenmitglied ein, sehe ich im Admin nur den einen Menüpunkt - ist richtg. Leider wird ihm aber der Zugriff verweigert einen neuen Artikel anzulegen. Wieso? Vorher hat das alles geklappt als ich ncoh keine Gruppen hatte.
Es gibt also einen Redakteur, der kein Adminrecht hat. Dieser hat aber das Recht Benutzer anzulegen und Gruppenmitglieder hinzuzufügen und zu löschen. O.k., hab ich aus probiert klappt auch alles.
Jetzt klappt aber was anderes nicht. Und zwar kann der sysadmin keine Gruppen löschen. Und wenn ein Benutzer einer Gruppe zugesprochen wird, kann er leider nicht das ausführen, was die Gruppe eigentlich ausführen könnte.
Ich gebe der Gruppe das Recht auf nur einen bestimmten Menüpunkt Artikel anzulegen, zu löschen etc. Habe dazu der Gruppe im Bereich ein Häkchen nur in Artikel gemacht (1.Chekcbox) und dann habe ich noch unter Content die Eigenschaften für den Menüpunkt aktiviert. Logge ich mich jetzt als das Gruppenmitglied ein, sehe ich im Admin nur den einen Menüpunkt - ist richtg. Leider wird ihm aber der Zugriff verweigert einen neuen Artikel anzulegen. Wieso? Vorher hat das alles geklappt als ich ncoh keine Gruppen hatte.
der admin muss bei der gruppe dezitiert das recht bei content vergeben... (nicht nur bei bereiche), bei mir klappt das auch ganz wunderbar...
meiner meinung nach muss dann hier weiters nichts geändert werden...
das mit dem zuweisen der gruppe funktioniert hervorragend...
was ich zwar für unsinnig halte, dass das löschen der gruppe möglich ist (wenn das recht vergeben ist) aber das anlegen einer gruppe nicht funktioniert...
das der user keine berechtigungen bei gruppe vergeben kann ist auch ok...
vielleicht nur ne spur besser dokumentieren das ganze...
meiner meinung nach muss dann hier weiters nichts geändert werden...
das mit dem zuweisen der gruppe funktioniert hervorragend...
was ich zwar für unsinnig halte, dass das löschen der gruppe möglich ist (wenn das recht vergeben ist) aber das anlegen einer gruppe nicht funktioniert...
das der user keine berechtigungen bei gruppe vergeben kann ist auch ok...
vielleicht nur ne spur besser dokumentieren das ganze...