Admin hat weniger Rechte als ein User ? Fehlermeldung !



  • Hallo ,
    Ich habe gestern noch einen bestimmten User simulieren können.
    Heute nach dem Update 3.48.1 kann ich den und andere User nicht mehr simulieren weil die folgende Fehlermeldung kommt:
    "Der Benutzer hat mehr Berechtigungen als Du. Simulieren dieses Benutzers ist nicht erlaubt."

    Hat jemaqnd eine Idee wie das zu fixen ist ?

    Danke

    Vovo


  • ChurchToolsMitarbeiter

    Seit der Version 3.48 ist es nur noch möglich eine Person zu simulieren wenn man mind. die gleichen globalen Rechte hat wie der Benutzer den man simulieren will. Das soll verhindern, dass man nur durch das simulieren anderer Personen mehr Rechte bekommt als man schon hat.

    Wir haben ja in dieser Version das Recht administer persons aufgeteilt. Aus dem Changelog:

    Das Recht administer persons wurde aufgeteilt in drei Rechte: administer persons, invite persons und simulate persons. Wer vorher das Recht administer persons hatte, hat nach dem Update die anderen zwei Rechte auch.

    Seitdem es das Recht simulate persons alleine haben kann und das nicht mehr an administer persons gekoppelt ist kann jetzt also auch eine Person nur das Recht simulate persons bekommen und kann jeden Simulieren der nicht mehr Rechte hat als sie selbst.

    Das heißt du könntest mal überprüfen ob die Person ein globales Recht hat das du nicht hast.



  • Ja, das dachte ich mir auch. Aber ich bin Admin mit allen Rechten (ausser Personen in CT neu anzulegen)
    Diese globalen Rechte sind nur der Gruppe admin zugewiesen.
    Die Person die ich bis gestern simulieren konnte, ist aber nicht in der Gruppe admin und dürfte, wenn überhaupt max. die gleiche Rechte haben wie ich, die hat sie aber sicher nicht. Also sollte ich sie doch auch simulieren können.

    vovo



  • @vovo sagte in Admin hat weniger Rechte als ein User ? Fehlermeldung !:

    Ja, das dachte ich mir auch. Aber ich bin Admin mit allen Rechten (ausser Personen in CT neu anzulegen)
    Diese globalen Rechte sind nur der Gruppe admin zugewiesen.
    Die Person die ich bis gestern simulieren konnte, ist aber nicht in der Gruppe admin und dürfte, wenn überhaupt max. die gleiche Rechte haben wie ich, die hat sie aber sicher nicht. Also sollte ich sie doch auch simulieren können.

    vovo

    Ich ergänze noch zu obigen:
    Aus "Verzweiflung" habe ich mich auch in die Kleingruppe als Leiter eingetragen, um definitiv auch die selben Gruppenrechte zu haben wie die Persono die ich Simulieren will.
    Trotzdem kommt die Meldung das die Person höhere Rechte hat als ich (Admin)


  • ChurchToolsMitarbeiter

    @vovo Wenn du denkst dass hier ein Fehler vorliegt melde dich bitte bei support@churchtools.de. Gerne mit Link auf diesen Foren-Beitrag. Dann können wir uns das bei dir mal anschauen.



  • ok, mache ich. Danke



  • Ich habe dasselbe Problem und es handelt sich sicher um einen Fehler. Die zu simulierende Person hat einige Berechtigungen in ChurchDB, aber sonst keine globalen Adminrechte. Als Admin habe ich alle Rechte und das Simulieren wird dennoch mit Fehlermeldung blockiert.

    Ich wende mich damit gerne an die Supportadresse.


  • ChurchToolsMitarbeiter

    Wir haben hier ausführlicher zusammengestellt, wie die Funktion gedacht ist. Sollte es davon abweichen, werden wir auf Bugs testen. Dazu bitte an die support@churchtools.de Adresse mailen, genau beschreiben um welche Personen es sich handelt und uns Zugriff zu Eurer Installation geben (AV-Vertrag vorausgesetzt).
    Dann werden wir uns alles im Detail anschauen. Unsere Erfahrung: Beschreibungen und Bildschirmfotos reichen oft nicht aus.

    https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:Sicherheitswarnungen/


    Hier der Hilfe-Artikel, Stand heute Abend. (Da werden wir noch dran feilen).

    Wer eine Person bearbeiten darf und auch welche Daten kann man über die Rechteverwaltung und Sicherheitslevel gut steuern. Nun haben wir für die E-Mail Adresse noch einen zusätzlichen Check eingebaut, der das System sicherer macht. Die E-Mail Adresse kann nur noch von Personen bearbeitet werden, wenn diese mehr oder gleich viele Rechte hat. Diese Änderung haben wir eingebaut um einem Erschleichen von Rechten entgegenzuwirken.

    Ab der Version 3.48 vergleicht ChurchTools also beim Simulieren, Passwort ändern und E-Mail-Adresse ändern die Rechte beider Personen. Hat die Person, die simuliert werden soll, mehr Rechte als man selbst, wird der Vorgang blockiert: "Der Benutzer hat mehr Berechtigungen als Du. Simulieren dieses Benutzers ist nicht erlaubt."

    Anlass für diese Warnung
    Wir bieten in ChurchTools viele Funktionen, die an Rechte gebunden sind. Auf drei Arten ist es möglich, sich Rechte zu "erschleichen", die man nicht hat und nicht haben sollte.

    • Man kann eine andere Person simulieren, die Dinge sehen kann, die man selbst nicht sehen darf.
      Zum Beispiel will sich Peter die Notizen anschauen, die der Pastor über ihn angelegt hat. Also simuliert er den Pastor und kann das damit erreichen.
    • Man ändert das Passwort eines anderen Nutzers und loggt sich mit seinen Daten ein
    • Man ändert die E-Mail-Adresse des anderen zu seiner eigenen, setzt das Passwort damit zurück und hat ebenfalls Zugang

    Die Funktion
    Um einem Missbrauch vorzubeugen, wird ein Rechtevergleich durchgeführt.

    WENN jemand

    • ...eine andere Person simulieren möchte
    • ...das Passwort einer Person zurücksetzt
    • ...den Login-Token aufruft
    • ...die E-Mail-Adresse einer Person ändern will

    DANN...

    • ...vergleicht ChurchTools die globalen Rechte der beiden Personen.
    • Wenn die Person, die simuliert oder geändert werden soll, ein einziges globales Recht mehr hat, erscheint die Sicherheitswarnung.

    Konsequenzen

    • Um grundsätzlich die Funktion zur Simulation zu haben, muss dies in den Berechtigungen aktiviert werden.
      (Recht simulate persons: Personen simulieren, Passwörter ändern und Zugang sperren)
    • Wenn z.B. jemand aus dem Gemeindebüro neue Kontaktdaten einpflegen möchte und eine E-Mail-Adresse ändert, kann diese Meldung auftauchen. In diesem Fall werden in der Log-Datei die ersten 5 Rechte aufgelistet, die dem Büro-Mitarbeiter fehlen. (Erst ab Version 3.48.2 möglich, die demnächst erscheint.)

    Man kann also

    • die einzelnen Rechte für diesen Fall hinzufügen
    • dem Büromitarbeiter alle globalen Rechte geben
    • den Mitarbeiter zum Super-Admin ernennen

Log in to reply