Admin hat weniger Rechte als ein User ? Fehlermeldung !
-
Seit der Version 3.48 ist es nur noch möglich eine Person zu simulieren wenn man mind. die gleichen globalen Rechte hat wie der Benutzer den man simulieren will. Das soll verhindern, dass man nur durch das simulieren anderer Personen mehr Rechte bekommt als man schon hat.
Wir haben ja in dieser Version das Recht
administer persons
aufgeteilt. Aus dem Changelog:Das Recht administer persons wurde aufgeteilt in drei Rechte: administer persons, invite persons und simulate persons. Wer vorher das Recht administer persons hatte, hat nach dem Update die anderen zwei Rechte auch.
Seitdem es das Recht
simulate persons
alleine haben kann und das nicht mehr anadminister persons
gekoppelt ist kann jetzt also auch eine Person nur das Rechtsimulate persons
bekommen und kann jeden Simulieren der nicht mehr Rechte hat als sie selbst.Das heißt du könntest mal überprüfen ob die Person ein globales Recht hat das du nicht hast.
-
Ja, das dachte ich mir auch. Aber ich bin Admin mit allen Rechten (ausser Personen in CT neu anzulegen)
Diese globalen Rechte sind nur der Gruppe admin zugewiesen.
Die Person die ich bis gestern simulieren konnte, ist aber nicht in der Gruppe admin und dürfte, wenn überhaupt max. die gleiche Rechte haben wie ich, die hat sie aber sicher nicht. Also sollte ich sie doch auch simulieren können.vovo
-
@vovo sagte in Admin hat weniger Rechte als ein User ? Fehlermeldung !:
Ja, das dachte ich mir auch. Aber ich bin Admin mit allen Rechten (ausser Personen in CT neu anzulegen)
Diese globalen Rechte sind nur der Gruppe admin zugewiesen.
Die Person die ich bis gestern simulieren konnte, ist aber nicht in der Gruppe admin und dürfte, wenn überhaupt max. die gleiche Rechte haben wie ich, die hat sie aber sicher nicht. Also sollte ich sie doch auch simulieren können.vovo
Ich ergänze noch zu obigen:
Aus "Verzweiflung" habe ich mich auch in die Kleingruppe als Leiter eingetragen, um definitiv auch die selben Gruppenrechte zu haben wie die Persono die ich Simulieren will.
Trotzdem kommt die Meldung das die Person höhere Rechte hat als ich (Admin) -
@vovo Wenn du denkst dass hier ein Fehler vorliegt melde dich bitte bei support@churchtools.de. Gerne mit Link auf diesen Foren-Beitrag. Dann können wir uns das bei dir mal anschauen.
-
ok, mache ich. Danke
-
Ich habe dasselbe Problem und es handelt sich sicher um einen Fehler. Die zu simulierende Person hat einige Berechtigungen in ChurchDB, aber sonst keine globalen Adminrechte. Als Admin habe ich alle Rechte und das Simulieren wird dennoch mit Fehlermeldung blockiert.
Ich wende mich damit gerne an die Supportadresse.
-
Wir haben hier ausführlicher zusammengestellt, wie die Funktion gedacht ist. Sollte es davon abweichen, werden wir auf Bugs testen. Dazu bitte an die support@churchtools.de Adresse mailen, genau beschreiben um welche Personen es sich handelt und uns Zugriff zu Eurer Installation geben (AV-Vertrag vorausgesetzt).
Dann werden wir uns alles im Detail anschauen. Unsere Erfahrung: Beschreibungen und Bildschirmfotos reichen oft nicht aus.https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:Sicherheitswarnungen/
Hier der Hilfe-Artikel, Stand heute Abend. (Da werden wir noch dran feilen).
Wer eine Person bearbeiten darf und auch welche Daten kann man über die Rechteverwaltung und Sicherheitslevel gut steuern. Nun haben wir für die E-Mail Adresse noch einen zusätzlichen Check eingebaut, der das System sicherer macht. Die E-Mail Adresse kann nur noch von Personen bearbeitet werden, wenn diese mehr oder gleich viele Rechte hat. Diese Änderung haben wir eingebaut um einem Erschleichen von Rechten entgegenzuwirken.
Ab der Version 3.48 vergleicht ChurchTools also beim Simulieren, Passwort ändern und E-Mail-Adresse ändern die Rechte beider Personen. Hat die Person, die simuliert werden soll, mehr Rechte als man selbst, wird der Vorgang blockiert: "Der Benutzer hat mehr Berechtigungen als Du. Simulieren dieses Benutzers ist nicht erlaubt."
Anlass für diese Warnung
Wir bieten in ChurchTools viele Funktionen, die an Rechte gebunden sind. Auf drei Arten ist es möglich, sich Rechte zu "erschleichen", die man nicht hat und nicht haben sollte.- Man kann eine andere Person simulieren, die Dinge sehen kann, die man selbst nicht sehen darf.
Zum Beispiel will sich Peter die Notizen anschauen, die der Pastor über ihn angelegt hat. Also simuliert er den Pastor und kann das damit erreichen. - Man ändert das Passwort eines anderen Nutzers und loggt sich mit seinen Daten ein
- Man ändert die E-Mail-Adresse des anderen zu seiner eigenen, setzt das Passwort damit zurück und hat ebenfalls Zugang
Die Funktion
Um einem Missbrauch vorzubeugen, wird ein Rechtevergleich durchgeführt.WENN jemand
- ...eine andere Person simulieren möchte
- ...das Passwort einer Person zurücksetzt
- ...den Login-Token aufruft
- ...die E-Mail-Adresse einer Person ändern will
DANN...
- ...vergleicht ChurchTools die globalen Rechte der beiden Personen.
- Wenn die Person, die simuliert oder geändert werden soll, ein einziges globales Recht mehr hat, erscheint die Sicherheitswarnung.
Konsequenzen
- Um grundsätzlich die Funktion zur Simulation zu haben, muss dies in den Berechtigungen aktiviert werden.
(Recht simulate persons: Personen simulieren, Passwörter ändern und Zugang sperren) - Wenn z.B. jemand aus dem Gemeindebüro neue Kontaktdaten einpflegen möchte und eine E-Mail-Adresse ändert, kann diese Meldung auftauchen. In diesem Fall werden in der Log-Datei die ersten 5 Rechte aufgelistet, die dem Büro-Mitarbeiter fehlen. (Erst ab Version 3.48.2 möglich, die demnächst erscheint.)
Man kann also
- die einzelnen Rechte für diesen Fall hinzufügen
- dem Büromitarbeiter alle globalen Rechte geben
- den Mitarbeiter zum Super-Admin ernennen
- Man kann eine andere Person simulieren, die Dinge sehen kann, die man selbst nicht sehen darf.
-
@simonruehl Hallo,
ich kriege es leider nicht hin, dass das Gemeindebüro auch E-Mail-Adressen ändern darf. Welches Recht braucht es dazu? Und wo finde ich das?
Ich meine, ich hätte schon alles vergeben, aber trotzdem fehlt wohl noch etwas.
Ich brauche da wohl noch einmal Hilfe (obwohl ich die Hilfe gelesen habe).
LG, Silvia -
@silvias1963 es ist nicht das Recht. Das Büro kann ggf. keine Mailadresse von Personen ändern, die mehr Rechte haben als das Büro. Müsstest du also im Detail vergleichen ...
Bei uns hat das Sekretariat weitreichende globale Berechtigungen. Dadurch kommt es nicht zu dem Problem mit den Mailadressen.
Lediglich die Adresse des Superadmins wird durch das Gemeindebüro nicht änderbar sein.
-
@Andy Da kann aber etwas nicht stimmen: Das Gemeindebüro soll eine E-Mail-Adresse eines "einfachen" Mitgliedes ändern, das bisher in keiner Gruppe erfasst ist. Ich bin der Meinung, dass alle möglichen Rechte gesetzt sind.
Es ist mir noch ein Rätsel. Aber ich kann das jetzt nicht kontrollieren, da ich beim Simulieren ja auch eine Fehlermeldung bekomme, da das Büro anscheinend mehr Rechte hat, als ich (als Superadmin).
Grübel...
LG, Silvia -
@silvias1963 sagte in Admin hat weniger Rechte als ein User ? Fehlermeldung !:
da das Büro anscheinend mehr Rechte hat, als ich (als Superadmin)
das kann ja eigentlich nicht sein.
-
@Andy Scheint irgendwie mit der Simulation zusammen zu hängen, dass ich das jetzt nicht kontrollieren kann. Ich leg das jetzt erst mal auf Eis, bis ich mal wieder im Büro sitzen darf.
Danke schon mal für deine Hilfe.
LG, Silvia -
Hey @silvias1963,
das hört sich komisch an. Wende dich doch bitte an den Support, dann gucken wir mal gemeinsam drauf und finden den Fehler sicherlich schneller
-
@hbuerger So. Das Problem ist gelöst. Hier die Lösung:
Wir hatten eine neue WIKI-Kategorie angelegt und alle Personen im Status "Mitglieder" dafür berechtigt. Da das Gemeindebüro im Status "Verwaltung" ist, hatte es keinen Zugriff darauf und daher eine Berechtigung weniger. Und das gab dann die Fehlermeldung. Das fehlende Recht wird übrigens in der Fehlermeldung im Log angezeigt.
Vielen Dank an den Hinweis darauf durch den Support.
LG, Silvia -
@silvias1963 ihr habt einen eigenen Status für die Verwaltung? Aha ...
-
@Andy Ja. Für das Gemeindebüro, die Mitgliederverwaltung, Newsletterverwaltung und Churchtools-Admins. Weil die mit ihren Dienst-Emails kommunizieren. Diese Mitarbeiter haben selbstverständlich noch ein privates Konto.
Und manchmal frage ich mich, ob das nicht für die Personen der Gemeindeleitung auch sinnvoll wäre, ein zweites Profil einzurichten. Das Problem ist, dass jede Person nur eine E-Mail-Adresse hat. Das wäre dann gelöst. Hätte aber auch Nachteile...LG, Silvia