Benutzerrechte
-
Hallo zusammen.
Ich habe eine Frage zur Vergabe von Benutzerrechten. Ich habe mich in der Hilfe eingelesen und folgendes umsetzt.
Gruppe: churchdb_read
Distrikt: ChurchTools
Gruppentyp: churchdb_uacDie Gruppe "churchdb_read" hat das Recht "ChurchDB sehen (view)". Die Benutzer haben über die Berechtigung keine Rechte, sind aber in der "Gemeindeliste" und als "Mitglied" geführt. Max Mustermann ist außerdem in weiteren Gruppen, u.a. der Gruppe "Moderatoren".
Benutzer, die in der Gruppe "churchdb_read" sind, haben folgende Eigenschaften laut Personenliste (mit Auswahl "Zugriffsrechte"):
Rechte durch Gruppen: churchdb:view
Rechte durch Status: churchcal:view categoryUnd jetzt das Problem:
Benutzer, die in der Gruppe "churchdb_read" sind, sehen natürlich die anderen Leute, der anderen Gruppen, in denen sie sind. Allerdings dürfte doch Max Mustermann nicht berechtigt sein, die Stammdaten zu ändern. Bei Simulation mit Max Mustermann ist das aber möglich.Dann hätten die Punkte in den Rechten "Zusätzlich Adressdaten der sichtbaren Personen einsehen (Strasse) (view address)" und "Alle Informationen der sichtbaren Person sehen, inkl. Adressdaten, Gruppenzuordnung, etc. (view alldetails)" keine Auswirkung.
Nach meinem Verständnis der Rechtevergabe, dürfte Max Mustermann zwar alle Personen der Gruppen sehen, in denen er Mitglied ist, aber Daten ändern dürfte er nicht. Nur sehen.
@jmrauen
**Wo liegt hier der Fehler?Mein Ansatz war bisher die Rechte über Gruppen zu lösen, in denen Personen sind.
Wie sollte man denn die Rechtevergabe in CT am besten lösen? -
@rrr Dann kann es ja eigentlich nur so sein, dass in der Rechteverwaltung für eine der Gruppen, in denen Mustermann steckt, das Recht vergeben wurde. Meinst du mit Stammdaten wirklich das Recht "edit Masterdata"?
Du kannst in der Rechteverwaltung ja nach den vermeintlichen Rechten filtern und siehst dann auf einen Blick, über welche Gruppe er zu dem Recht kommt. Das ist recht komfortabel und ich nutze diese Möglichkeit regelmäßig auch zur eigenen Kontrolle. -
@Andy Das sind die Rechte von Max Mustermann, entnommen aus der Personenliste, in der ich mir die Zugriffsrechte habe anzeigen lassen.
Dieser Benutzer kann in seiner Gruppe, die Gruppenmitglieder sehen, aber auch die Stammdaten, wie Anschrift usw. editieren. Das dürfte doch nicht so sein, oder?
-
@rrr Ist Mustermann Leiter dieser Gruppe?
-
@Andy Ja.
Wo kann ich denn einstellen, welche Rechte Gruppenleiter haben? -
@rrr Das ist nicht einstellbar. Ein Gruppenleiter darf standardmäßig die Kontaktdaten in seiner Gruppe ändern, Gruppenteilnehmer hinzufügen, entfernen und deren Teilnehmerstatus ändern.
-
@Andy
Das heißt, wenn Benutzer A in der Gruppe Administratoren ist und somit vom Rechte-Level her in einer höheren Gruppe, können dennoch seine Daten geändert werden, wenn Benutzer A in einer anderen Gruppe ist, in der Benutzer B Leiter ist!? -
@rrr Würde ich sagen, ja.
-
@Andy
Nach meinem Verständnis würde das bedeuten, dass ein Benutzer nie zeitgleich Administrator sein darf.
Man müsste demzufolge immer einen separaten Administrator haben. -
@rrr Warum? Also bei uns gibt es nur einen Admin. Mich.
Für Teilbereiche geben wir anderen Anwendern weitreichende Rechte, aber Admin gibt's nur einen. -
@Andy
Vielleicht stehe ich da auch auf dem Schlauch... aber das würde bei Euch ja bedeuten, dass bspw. ein Gruppenleiter einer Gruppe, zu der du als Admin gehörst, auch bspw. deine Telefonnummer usw. bearbeiten könnte - richtig? -
@rrr ich denke so ist das, ja. Aber dann nicht nur bei uns, sondern bei allen CT-Installationen.
-
@rrrr Ja so ist, aber das ist ja volle Absicht so. Ein Gruppenleiter wird ja nur zum Leiter, wenn er auch wirklich das vertrauen etc. der Gemeinde genießt. Dann soll er auch Daten ändern können.
Ich verstehe nicht wieso Du dann Admin und normalen Benutzer trennen willst?In CT 3.0 kann man dann übrigens diese Rechte dann auch einstellen.
-
@jmrauen sagte:
Ein Gruppenleiter wird ja nur zum Leiter, wenn er auch wirklich das vertrauen etc. der Gemeinde genießt. Dann soll er auch Daten ändern können.
Szenario: Anton hat mal vor vielen Jahren eine Gemeindefreizeit geleitet. Der CT-Admin Fritz hat damals teilgenommen. 10 Jahre später ist Anton - aus welchen Gründen auch immer - sauer auf die Gemeindeleitung und will gerne per E-Mail-Newsletter an alle Mitglieder seinem Ärger Luft machen. Er logt sich ein, ändert die E-Mail-Adresse vom CT-Admin Fritz in eine x-beliebige Adresse, auf die er Zugriff hat, lässt sich für diese Adresse ein neues Kennwort schicken und schon ist er Admin mit Vollzugriff.
Das ist zwar konstruiert und es gehört schon ein kleines bisschen kriminelle Energie dazu, so vorzugehen. Aber bei allem, was ich in Gemeinden erlebt habe, halte ich es nicht für Ausgeschlossen, dass so etwas passiert.
Leider passiert es immer wieder, dass einmal vorhandenes Vertrauen wieder verloren geht ... -
@mafe Krass, ja! Aber mit 3.0 wird dann ja alles besser.
-
Wir haben bei uns 1 Admin als Person und dann noch zwei "Hilfs-Admins", diese sind nicht direkt mit einem normalen User verknüpft.
Die Hilfsadmins haben eigene Mail Adressen auf die sie aber i.d.R. nicht zugreifen.
Mein Vorschlag/Lösung:
erstellt für die Hilfsadmins eigne accounts und (wenn möglich) gebt denen einfach keine Mail Adresse.
Anderweitig lasst die Mails nur von dem verantwortlichen Hauptamin einsehen, dann kann nur er das Passwort ändern und sobald das einmal geändert ist kann ich keiner mehr durch einen alten e-Mail zugriff (da er keinen hat) sich in CT einloggen.Hoffe das ist halbwegs verständlich.
-
@Mr.T. Äh, nein.
Das o. g. Problem ist damit m. E. nicht ausgeschlossen. -
@Andy oh stimmt, hatte einen entscheidenen Satz überlesen.
Umso mehr freue ich mich auf 3.o
Sorry für das Missverständnis.
-
@Mr.T. Fein, dann sind wir uns ja einig.
-
@Andy sagte:
@mafe Krass, ja! Aber mit 3.0 wird dann ja alles besser.
Verstehe noch nicht, was sich dann ändert. Wie ich es verstanden habe, lassen sich dann Rechte je Status in Gruppe vergeben. Aber jemand, der E-Mail-Adressen in seiner Gruppe ändern kann, kann dann immer noch die Mail vom Admin ändern, wenn der in der in der Gruppe ist.
Es bräuchte ein Konzept, was verhindert, dass man sich auf irgendeinem Weg zusätzliche Rechte erschleicht. Habe da noch keine Idee.
