Admin Mode



  • Anforderung

    Wir würden gerne die Admin-Tätigkeiten von normalen Gemeindeaktivitäten separieren.

    Das hat folgende Motivation:

    1. wenn man in einer Besprechung ist und den Bildschirm zeigt, sind die "normalen" User von der Fülle des dargestellten verschreckt
    2. wenn man in einer Besprechung ist und den Bildschirm zeigt, können vertrauliche Daten plötzlich für alle sichtbar sein
    3. Manche Operationen sind auch etwas kritisch, daher verknüpft man sie mit besonderen Rechten. Wenn aber ein Admin immer mit vollen Rechten unterwegs ist, können auch Fehler passieren...

    Bei Windows bzw. MacOs wird nach einem Passwort gefragt, wenn man eine Admin-Tätigkeit machen will.

    Workaround

    mit zwei Accounts arbeiten. Das hat aber diverse Nachteile, insbesondere bei den Personenlisten treten dann zwei Benutzer auf.

    Lösungsansatz

    Man könnte nun so vorgehen, dass bei Gruppen die Eigenschaft "Braucht speziellen Modus um Rechte dieser Gruppe zu nutzen".

    Mit dieser Möglichkeit würde ich eine Rechtegruppe "RG_ADMIN" anlegen und dort die Admins eintragen.
    Da könnte man sogar noch mit Abstufungen arbeiten.

    Im Profil hätte der Benutzer dann die Möglichkeit sich auf einen Modus zu schalten der ihm temporär die Rechte verschafft.


  • admin

    @bwl21 sagte in Admin Mode:

    Workaround
    mit zwei Accounts arbeiten. Das hat aber diverse Nachteile, insbesondere bei den Personenlisten treten dann zwei Benutzer auf.

    Nein, das ist mehr als ein Workaround! So sollte die Praxis aussehen. Für Admins, die auch im Event-Modul mit Diensten eingeplant sind, ist es fast unumgänglich.

    Das mit der Personenlisten verstehe ich nicht. Wo ist da das Problem? Wir haben einige "technische User" z. B. für den Infoscreen, früher für den Optigem-Sync usw.



  • angenommen Max Mustemann macht auch Admin - Sachen und finanzen, und ich möchte das trennen.

    Dann braucht er drei User Max Mustermann, Max Mustermann (Admin), Max Mustermann (finanzen)

    Bei Personen-Auswahllisten usw. tritt er dann drei mal auf, zumindest bei der Personensuche. d.h. wenn jemand nicht aufpasst fügt er den falschen Max Mustermann in eine Gruppe ein.

    Es handelt sich aber immer um eine individuelle Person, welche in unterschiedlichen rollen unterwegs ist. Da müsste es elegantere Lösungen geben als mehrere User für die gleiche Person.


  • admin

    @bwl21 wenn man meint, das trennen zu müssen, dann sind es drei Accounts, ja. Alleine über das Profilbild kann man da schon manches abfangen. Meinen Admin-Account hat noch nie jemand in einer Gruppe hinzugefügt:

    4e40343b-5562-4b13-a2ae-cc8150bee948-grafik.png

    Und man kann diese Personen auch in einen "Bereich" packen, den sonst niemand sieht!



  • @Andy nun denn, der Ansatz, dass ein Benutzer in verschiedene Rollen schlüpfen kann, hat schon was für sich. Zumal, wenn die Anzahl der Personen knapp ist, kann einen sowas schon in die nächste Lizenzkategorie treiben.

    Natürlich werden wir erst mal mit extra admin-users loslegen.



  • Das Thema war ähnlich schon mal 2012 da
    https://forum.church.tools/topic/4533/sinnvolle-eventplanung-auch-für-superadmins-ermöglichen

    Und der gleiche Wunsch schon mal 2012
    https://forum.church.tools/topic/189/churchtools-admin-quot-simulieren-quot

    Ich finde die Idee immer noch gut, wenn auch nicht mehr so enthusiastisch wie 2018



  • @MichaelG nun, ich fürchte, da muss ich mich damit abfinden, dass der Nutzen dieser Idee nicht von allen gesehen wird.

    Es wäre m.e. relativ leicht zu realisieren.

    1. An eine Gruppenrolle hängt man ein Attribut "kann-sich-temporär-aktivieren" sowie eine Ersatzrolle an
    2. ein Gruppenmitglied hat in seinem Profilmenü toggle-Menüs über die er schnell die Rolle in einer Gruppe wechseln kann.

    nun denn.


  • admin

    @bwl21 na ja ... ich kann denn Nutzen durchaus nachvollziehen, aber dem stimme ich nicht zu:

    relativ leicht zu realisieren

    Und dafür gibt es einfach zu viele andere Baustellen und Feature-Wünsche, die schon Jahre auf Umsetzung warten.
    Aber du hast sicherlich recht ... grundsätzlich wäre das sinnvoll. Ich habe mein Voting dann mal geändert.



  • @Andy da hast du recht. CT hat einfach zu viele Baustellen.


  • admin

    @bwl21 das hört sich jetzt aber negativ an. 😉
    Ja ... es ist noch viel zu tun, aber es wurde auch schon viel Tolles umgesetzt und es geht ja auch deutlich voran!



  • @Andy ja, so ein bisschen meine ich das auch - aber nur ein bisschen ... Ich habe natürlich nur eine begrenzte Wahrnehmung. Aber so ein bisschen habe ich schon den Eindruck dass man zu schnell neue Features bringen will (oder wollte) und der Unterbau nicht nachkommt bzw. die Features nicht fertig implementiert sind (z.b. Chat)

    M.e. hätte man nicht die Zeit mit einem Anmeldesystem vergeuden müssen. Da gab es bereits einfache und einsetzbare Möglichkeiten

    Ich wollte damit CT nicht in die Pfanne hauen - sind wir doch froh, dass wir es haben.


  • admin

    @bwl21 sagte in Admin Mode:

    M.e. hätte man nicht die Zeit mit einem Anmeldesystem vergeuden müssen.

    Das gibt es ja schon seit Jahren; es wurde nur aufgrund der Dringlichkeit der Situation optimiert.



  • Gerade sehe ich, dass es für das Problem sogar schon eine (brauchbare) Lösung gibt.

    Wenn es mehrere Benutzer mit der gleichen email-adresse gibt, dann kann man im Benutzer-Menü rechts oben zwischen den Benutzern hin - und herschalten.

    Das löst das Problem schon einigermassen von der Handhabung her. Man muss sich nicht immer ausloggen und mit anderem Benutzer wieder einloggen, sondern kann einfach schnell umschalten.
    Man muss immer wieder das Passwort eingeben - aber mit passwort manager geht das auch. Und in dem fall halte ich es für vertretbar bei beiden accounts dasselbe Passwort zu verwenden.

    Fast meine ich, das ist ein Feature ... man kann nämlich dann auch sehen, welcher Benutzer was gemacht hat, ob es der "gemeine User" war oder der "admin user" war.

    mal sehen.



  • @bwl21 Jetzt komm ich doch nochmal darauf zurück. Ein bisschen nervt es schon, dass man immer wieder das Passwort eingeben muss. Ich wechsle gerade mehrmals am Tag. Wenn man für beide Accounts dasselbe Passwort nimmt, könnte CT das ja merken und gleich umschalten. Selbstredend würde CT nicht die Passwörter, sondern nur den hash vergleichen oder was auch immer.


Log in to reply