• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Benutzerrechte

    Fragen
    rechte benutzer uac
    7
    29
    8.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • AndyA
      Andy admin @rrr
      last edited by

      @rrr Das ist nicht einstellbar. Ein Gruppenleiter darf standardmäßig die Kontaktdaten in seiner Gruppe ändern, Gruppenteilnehmer hinzufügen, entfernen und deren Teilnehmerstatus ändern.

      1 Reply Last reply Reply Quote 0
      • rrrR
        rrr
        last edited by

        @Andy
        Das heißt, wenn Benutzer A in der Gruppe Administratoren ist und somit vom Rechte-Level her in einer höheren Gruppe, können dennoch seine Daten geändert werden, wenn Benutzer A in einer anderen Gruppe ist, in der Benutzer B Leiter ist!?

        Beste Grüße
        rrr


        aktuelle ChurchTools Version, da nicht selbst gehostet

        AndyA 1 Reply Last reply Reply Quote 0
        • AndyA
          Andy admin @rrr
          last edited by

          @rrr Würde ich sagen, ja.

          1 Reply Last reply Reply Quote 0
          • rrrR
            rrr
            last edited by

            @Andy
            Nach meinem Verständnis würde das bedeuten, dass ein Benutzer nie zeitgleich Administrator sein darf.
            Man müsste demzufolge immer einen separaten Administrator haben.

            Beste Grüße
            rrr


            aktuelle ChurchTools Version, da nicht selbst gehostet

            AndyA 1 Reply Last reply Reply Quote 0
            • AndyA
              Andy admin @rrr
              last edited by

              @rrr Warum? Also bei uns gibt es nur einen Admin. Mich. 😃
              Für Teilbereiche geben wir anderen Anwendern weitreichende Rechte, aber Admin gibt's nur einen.

              1 Reply Last reply Reply Quote 0
              • rrrR
                rrr
                last edited by

                @Andy
                Vielleicht stehe ich da auch auf dem Schlauch... aber das würde bei Euch ja bedeuten, dass bspw. ein Gruppenleiter einer Gruppe, zu der du als Admin gehörst, auch bspw. deine Telefonnummer usw. bearbeiten könnte - richtig?

                Beste Grüße
                rrr


                aktuelle ChurchTools Version, da nicht selbst gehostet

                AndyA 1 Reply Last reply Reply Quote 0
                • AndyA
                  Andy admin @rrr
                  last edited by Andy

                  @rrr ich denke so ist das, ja. Aber dann nicht nur bei uns, sondern bei allen CT-Installationen.

                  1 Reply Last reply Reply Quote 0
                  • jmrauenJ
                    jmrauen ChurchToolsMitarbeiter
                    last edited by

                    @rrrr Ja so ist, aber das ist ja volle Absicht so. Ein Gruppenleiter wird ja nur zum Leiter, wenn er auch wirklich das vertrauen etc. der Gemeinde genießt. Dann soll er auch Daten ändern können.
                    Ich verstehe nicht wieso Du dann Admin und normalen Benutzer trennen willst?

                    In CT 3.0 kann man dann übrigens diese Rechte dann auch einstellen.

                    mafeM 1 Reply Last reply Reply Quote 2
                    • mafeM
                      mafe @jmrauen
                      last edited by

                      @jmrauen sagte:

                      Ein Gruppenleiter wird ja nur zum Leiter, wenn er auch wirklich das vertrauen etc. der Gemeinde genießt. Dann soll er auch Daten ändern können.

                      Szenario: Anton hat mal vor vielen Jahren eine Gemeindefreizeit geleitet. Der CT-Admin Fritz hat damals teilgenommen. 10 Jahre später ist Anton - aus welchen Gründen auch immer - sauer auf die Gemeindeleitung und will gerne per E-Mail-Newsletter an alle Mitglieder seinem Ärger Luft machen. Er logt sich ein, ändert die E-Mail-Adresse vom CT-Admin Fritz in eine x-beliebige Adresse, auf die er Zugriff hat, lässt sich für diese Adresse ein neues Kennwort schicken und schon ist er Admin mit Vollzugriff.
                      Das ist zwar konstruiert und es gehört schon ein kleines bisschen kriminelle Energie dazu, so vorzugehen. Aber bei allem, was ich in Gemeinden erlebt habe, halte ich es nicht für Ausgeschlossen, dass so etwas passiert.
                      Leider passiert es immer wieder, dass einmal vorhandenes Vertrauen wieder verloren geht ...

                      AndyA 1 Reply Last reply Reply Quote 0
                      • AndyA
                        Andy admin @mafe
                        last edited by

                        @mafe Krass, ja! Aber mit 3.0 wird dann ja alles besser. 👍

                        mafeM 1 Reply Last reply Reply Quote 0
                        • Mr.T.M
                          Mr.T.
                          last edited by

                          Wir haben bei uns 1 Admin als Person und dann noch zwei "Hilfs-Admins", diese sind nicht direkt mit einem normalen User verknüpft.

                          Die Hilfsadmins haben eigene Mail Adressen auf die sie aber i.d.R. nicht zugreifen.

                          Mein Vorschlag/Lösung:
                          erstellt für die Hilfsadmins eigne accounts und (wenn möglich) gebt denen einfach keine Mail Adresse.
                          Anderweitig lasst die Mails nur von dem verantwortlichen Hauptamin einsehen, dann kann nur er das Passwort ändern und sobald das einmal geändert ist kann ich keiner mehr durch einen alten e-Mail zugriff (da er keinen hat) sich in CT einloggen.

                          Hoffe das ist halbwegs verständlich.

                          Hosting 3.XX also die neuste Version

                          Wer Rechtschreibfehler sucht, wird hier fündig!

                          AndyA 1 Reply Last reply Reply Quote 0
                          • AndyA
                            Andy admin @Mr.T.
                            last edited by Andy

                            @Mr.T. Äh, nein. 😉
                            Das o. g. Problem ist damit m. E. nicht ausgeschlossen.

                            Mr.T.M 1 Reply Last reply Reply Quote 0
                            • Mr.T.M
                              Mr.T. @Andy
                              last edited by

                              @Andy oh stimmt, hatte einen entscheidenen Satz überlesen.

                              Umso mehr freue ich mich auf 3.o

                              Sorry für das Missverständnis.

                              Hosting 3.XX also die neuste Version

                              Wer Rechtschreibfehler sucht, wird hier fündig!

                              AndyA 1 Reply Last reply Reply Quote 0
                              • AndyA
                                Andy admin @Mr.T.
                                last edited by

                                @Mr.T. Fein, dann sind wir uns ja einig. 🙂

                                1 Reply Last reply Reply Quote 0
                                • mafeM
                                  mafe @Andy
                                  last edited by

                                  @Andy sagte:

                                  @mafe Krass, ja! Aber mit 3.0 wird dann ja alles besser. 👍

                                  Verstehe noch nicht, was sich dann ändert. Wie ich es verstanden habe, lassen sich dann Rechte je Status in Gruppe vergeben. Aber jemand, der E-Mail-Adressen in seiner Gruppe ändern kann, kann dann immer noch die Mail vom Admin ändern, wenn der in der in der Gruppe ist.
                                  Es bräuchte ein Konzept, was verhindert, dass man sich auf irgendeinem Weg zusätzliche Rechte erschleicht. Habe da noch keine Idee.

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    lalfar
                                    last edited by lalfar

                                    @mafe @Andy @jmrauen Das Szenario ist absolut denkbar! Es ist genau das, was auch wir hier am meisten fürchten. Sicherheitlücke übelster Sorte. Das muss gefixt werden. Also dass Gruppenleiter nur dann die E-Mailadresse ändern dürfen, wenn Sie gleiche oder mehr Rechte haben als die Person, von der Sie die E-Mailadresse ändern. Ich würde das zur allgemeinen Regel erheben, nicht nur für Gruppenleiter.

                                    Generell ist es immer ein "Fehler", wenn man zulässt, dass andere Personen im System Identitätsmerkmale z. B. für Login ohne irgendwelche Einschränkungen ändern dürfen. Das ist hier jedoch leider der Fall.

                                    1 Reply Last reply Reply Quote 3
                                    • MichaelGM
                                      MichaelG
                                      last edited by

                                      Hatten wir nicht ein ähnliches Thema schonmal?
                                      Da ging es doch auch drum, dass nun keiner mehr einfach die Emailadresse ändern kann.

                                      Weiß aber nicht mehr, was da die Lösung war.

                                      Hier könnte man generell sagen, dass andere Personen von CT Usern die Adresse nicht mehr ohne bestimmtest Recht ändern können (bei nicht CT Usern gibt es das Problem nicht, jedoch muss die Adresse veränderbar sein, da sie nicht vom User selbst geändert werden kann, da er ja kein User ist).

                                      Zusätzlich könnte eine Email an die bestehende Adresse gehen, dass gerade die Adresse durch xy geändert wurde und ob dies rückgängig gemacht werden soll.

                                      Installation bei CT -> immer neueste Version

                                      AndyA 1 Reply Last reply Reply Quote 1
                                      • rrrR
                                        rrr
                                        last edited by

                                        @lalfar @mafe @Andy @jmrauen

                                        Wie schon richtig erwähnt wurde, müsste es Berechtigungsstufen geben. Und wenn es für den Anfang nur zwei sind: Admin, Non-Admin.
                                        Das würde helfen, dass es es nicht möglich ist, dass ein Gruppenleiter Daten von Admins ändern kann bspw.

                                        Beste Grüße
                                        rrr


                                        aktuelle ChurchTools Version, da nicht selbst gehostet

                                        1 Reply Last reply Reply Quote 0
                                        • AndyA
                                          Andy admin @MichaelG
                                          last edited by

                                          @PtoX sagte:

                                          Zusätzlich könnte eine Email an die bestehende Adresse gehen, dass gerade die Adresse durch xy geändert wurde und ob dies rückgängig gemacht werden soll.

                                          Ich denke, das wäre eine gute Lösung. Ist nur sicherlich nicht so leicht umsetzbar, da ja bei der Änderung sofort in die Datenbank geschrieben wird.

                                          1 Reply Last reply Reply Quote 0
                                          • jmrauenJ
                                            jmrauen ChurchToolsMitarbeiter
                                            last edited by

                                            @mafe: Das geht schon jetzt nicht mehr, dass man die E-Mail Adresse einer andere Person nehmen kann, die mehr Rechte hat als man selber.
                                            ChurchTools prüft bei vorhandener E-Mail Adresse, wenn er eine gleiche findet prüft er jedes einzelne Recht durch, so dass das nicht passieren kann.

                                            Also gibt es sonst ein Szenario wo das ein Problem ist, dass ein Leiter etwas ändern kann?

                                            AndyA 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post