Ansicht von Personen in gemeinsamer Gruppe ausschließen
-
Hallo,
vielleicht ist die Frage schon einmal hier vorgekommen, ich habe sie allerdings nicht direkt gefunden. Dann bitte kurz einen Link und diese Frage kann geschlossen werden.
Für unsere Gemeinde haben wir viele verschiedene Gruppen angelegt. Einigen Gruppen ist es erlaubt die Gruppenteilnehmer zu sehen und die entsprechenden Rechte wurden gesetzt. Dies war unter CT2 nie ein Problem, da sich die Rechte immer nur auf die entsprechende Gruppe bezogen haben.
Seit dem Update auf CT3 ist es nun so, dass wenn in einer der Gruppen die Rechte gesetzt wurden, der Benutzer auch Einblick in alle anderen Gruppen von sich bekommt und dadurch auch weit mehr Personen sieht als er eigentlich sollte.
Konkret haben wir eine versteckte Gruppe "Putzteam" in der wir erfassen welche Personen alles in einem Putzteam aktiv sind (Gemeindemitglieder und Freunde). Jetzt sind für einige Leute alle Teilnehmer dieser Gruppe sichtbar in der Personenansicht. Dies sollte nicht so sein. Interessanterweise ist dies auch noch so, wenn die Gruppe auf "Deaktiv" gesetzt wurde.Ist das ein Fehler in unserer Datenbank oder ist das ein normales Verhalten in CT3?
Gibt es eine Möglichkeit über die Berechtigungen auszuschließen, dass die Teilnehmer einer Gruppe sich gegenseitig sehen können? In CT2 war es glaube ich so, dass man dies speziell für jede Gruppe einzeln aktivieren musste.
Danke für eure Hilfe.
-
@sven das könnt ihr über die Berechtigung der Kriterien "Gruppentyp" und "Teilnehmerstatus" lösen.
Das Berechtigungsystem baut immer aufeinander auf. D.h. bis jetzt kannst du keine Rechte entziehen.
Das heißt irgendwo hat der "Standard-Teilnehmer" das Recht die anderen Leute in der Gruppe auch zu sehen.
Das kann durch eine globale Berechtigung des Gruppentyps oder einer internen Berechtigung gewesen sein.Wir haben es so gelöst dass der normale Teilnehmer erstmal gar nichts sehen kann. Er kann weder die Gruppe sehen, in der er ist, noch Leute mit denen er in der Gruppe ist.
Wenn nun Rechte dazukommen sollen, kann man das gut über die Gruppeninterne Berechtigung mit Berechtigunsvorlagen machen.
Also für euch wichtig: Woher hat die Person diese Berechtigung?
Gehe einfach hier hin:
Dann suchst du nach dem Benutzer und darunter siehst du dann woher er alle Berechtigungen erhält.
-
Hallo,
mir ist schon bewusst woher der Benutzer die Berechtigungen hat. Nur meiner Meinung nach sollte er diese Berechtigungen nur für seine eigene Gruppe haben und nicht für alle anderen Gruppen in denen er auch Teilnehmer ist.
Um zu verdeutlichen was ich meine habe ich ein paar Screenshots gemacht mit den Gruppen und Berechtigungen.
Ich habe einen neuen Benutzer angelegt (Test User) und dazu noch zwei Gruppen (Testgruppe und Testgruppe2).
In der ersten Gruppe ist nur der neue Benutzer als Teilnehmer aufgeführt.
In der Gruppe hat jeder Teilnehmer die Berechtigung die eigene Gruppe zu sehen. Dies ist so gewünscht, damit die Teilnehmer sich untereinander sehen können, wissen wer alles in der Gruppe ist und auch untereinander Kontakt aufnehmen können.
Gruppe zwei hat noch einen weiteren Teilnehmer. In dieser Gruppe sind keine Berechtigungen. Sie ist z.B. unsere Gruppe um dem Sekretariat einen Einblick zu geben wer in einem Putzteam ist.
Testweise habe ich die Gruppe mal auf "Deaktiv" gesetzt.
Wenn ich mich jetzt als TestUser anmelde sehe ich in der Personenliste nicht nur die Teilnehmer der "Testgruppe" für die ich diese Berechtigungen gesetzt habe, sondern auch die Daten der Teilnehmer von Testgruppe2. Das ganze sogar wenn sie als "Deaktiv" oder sogar "Versteckt" gesetzt ist.
Wenn es eine Aktive Gruppe ist, die nicht versteckt ist würde ich sogar in der Gruppenliste die anderen Gruppen aufgelistet sehen, in denen ich als Teilnehmer eingetragen bin.
Ich hoffe mein Anliegen wird nun klarer. Vielleicht mache ich mit den Berechtigungen auch etwas falsch. Ich selbst würde erwarten, dass die Liste von Personen auch wirklich nur für die entsprechende Gruppe in der die Berechtigung gesetzt wurde sichtbar ist.
Es gibt ja noch viele weitere Fälle in denen eine Person in mehreren Gruppen ist und es nicht erwünscht ist, dass die Person an die Daten der anderen Teilnehmer kommt. Nehmen wir z.B. eine Gemeindefreizeit mit auch externen Teilnehmern, die keine Gemeindemitglieder sind. Ich würde vermuten, dass im lauf der Jahre so sehr viele Leute einen großen Bestand an Personendaten sehen können, was nicht unbedingt sein muss.Wie wird das in anderen Gemeinden gehandhabt? Haben da einfach nur die Leiter überhaupt die Möglichkeit die Gruppen / Personen zu sehen und da diese meist auch Gemeindemitglieder sind und ein gewisses Vertrauen genießen ist es kein Thema?
-
@sven Hast du also ggf. Berechtigungen für den Gruppentyp "Dienst" vergeben?
-
Nein. Auch nicht für den Status oder Benutzer direkt. Ich bin generell sehr vorsichtig mit den Berechtigungen und gebe sie nur auf Gruppen um den Überblick etwas mehr zu behalten (einzige Ausnahme sind ein paar wenige Rechte für die Mitglieder, die beziehen sich aber nur auf das Wiki und haben hier eh keine Auswirkung, da der Testuser nicht als Mitglied eingetragen ist).
-
Ich habe jetzt mal eben kurz eine frische Version 3.12 auf einem anderen Server zum testen installiert.
Dort gibt es einen kleinen Unterschied. Wenn die Gruppe deaktiviert ist, wird weder die Gruppe für Testuser angezeigt noch die Teilnehmer aus der Gruppe in der Personenliste. Wenn die Gruppe aber aktiv (und auch unsichtbar) ist, sieht der Testuser sowohl die Testgruppe2 als auch die Teilnehmer aus dieser Gruppe in der Personenliste.
Jetzt ist die Frage warum die Teilnehmer bei uns sogar bei einer deaktivierten Gruppe angezeigt werden.
Aber unabhängig davon ist das andere Problem immer noch vorhanden. Schließlich gibt es bei uns genug Gruppen, die nicht deaktiviert sind die Leute sich aber nicht unbedingt untereinander sehen müssen. -
Ich komme da gerade irgendwie echt nicht weiter und weiß auch nicht was ich noch machen soll.
Wie verhindern andere Gemeinden, dass nicht Nutzer Personen sehen, die sie eigentlich nicht sehen sollen?
Die Berechtigungen gar nicht setzen und nur den Leitern die Möglichkeit geben ChurchDB zu sehen (und ihnen dann soweit vertrauen, dass es okay ist, wenn sie mehr Daten sehen als nur die für die sie zuständig sind)? -
Hast du es schon mal über Gruppeninterne Berechtigungen versucht?
Da kannst du Rechte einstellen, die nur für diese (oder für untergeordnete) Gruppen gelten und nicht für alle (global) Gruppen, in denen ich Teilnehmer bin.