Intelligente Rechteverwaltung

Wie stellst Du Dir das denn konkret vor? In vielen Fällen gehört ein Benutzer mehreren Benutzergruppen an und soll im Normalfall auch exakt über die Summe der Berechtigungen aus allen diesen Gruppen verfügen.

Vielleicht wäre es eher an der Zeit, die Vorgabewerte für "Jeder" einfach restriktiver zu gestalten.

Gruß norse

Quote from Previval

ohne alle Einstellungen in allen Gruppen zu checken.

Das kannst Du doch bereits jetzt, indem Du einfach den Namen der Einstellung in die Suche eingibst und den vorgeschlagenen Treffer anklickst.

Ich frage noch einmal: Unter welchen Umständen soll ein Vergleich der Einstellungen unterschiedlicher Gruppen überhaupt stattfinden und in welcher Form soll ein wie geartetes Ergebnis ausgeworfen werden? Mir fehlt da einfach ein wenig die Vorstellungskraft, was genau Du wann erwartest.

Gruß norse

Anregung:

Es gibt bereits jetzt die Möglichkeit eine Priorisierung anzugeben - darüber könnten auch die Berechtigungen ausgerechnet werden.

Bilden wir das mal auf das oben genannte Beispiel ab:

Benutzer A ist in den Gruppen "Jeder" und "Registrierte Benutzer". Da letztere die höhere Prio hat, greift dieser Wert.

Benutzer B ist "Jeder, "Registrierte Benutzer" und "Administrator". Da Admins die höchste Prio haben, greift der Wert 0.

Da das aber gerade bei vielen (ähnlichen) Gruppen durchaus zu Problemen bei der Konfiguration führen kann würde ich sogar noch einen Schritt weiter gehen und den Wert "AUTO" für Berechtigungen einführen. Ist dieser Wert gesetzt wird die Berechtigungen von der nächsten Gruppen geerbt.

Ein Ja/Nein-Recht hat also künftig die Möglichkeiten JA | NEIN | AUTO

Beispiel:

Benutzer A ist in den Gruppen "Jeder", "Registrierte Benutzer", "Sponsoren" und "Premium". Da das Recht in der Gruppe mit höchster Priorität auf AUTO steht, greift die Gruppe "Sponsoren" für dieses Recht. Der Benutzer hat keinen Zugriff auf dieses Feature.

Benutzer B ist in den Gruppen "Jeder", "Registrierte Benutzer" und "Premium". Da das Recht auf AUTO steht, greift die Gruppe "Registrierte Benutzer" für dieses Recht. Der Benutzer hat Zugriff auf dieses Feature.

Damit wäre das Gruppensystem maximal flexibel einsetzbar und dank Priorisierung ist immer klar, welche Berechtigungen der Benutzer hat.

Das ist doch schon mal eine klare Anforderung. Was ist nun aber, wenn es andere Gruppen gibt, in denen vielleicht eine Zeitspanne von 10080 Minuten entsprechend einer Woche erlaubt ist? Was der Einzelne angesichts seiner Gruppenzugehörigkeiten darf, muss m. E. ohnhin immer konkret geprüft werden. Einen wirklichen Schutz vor versehentlichen Fehleinstellungen bietet eine Gegenprüfung der Berechtigungen aus "Jeder" also nicht.

Hilfreich für Dich wäre vielleicht noch das hier:

WoltLab Cloud

File

Effective User Permission Viewer

Provides the possibility to review the effective user group permissions of a certain user.

Fabii

May 14th 2021

Gruß norse

Quote from norse

Was ist nun aber, wenn es andere Gruppen gibt, in denen vielleicht eine Zeitspanne von 10080 Minuten entsprechend einer Woche erlaubt ist?

Hast du meinen Beitrag gelesen? Das wäre dann keine Frage mehr und auch ein Hinweis überflüssig.

Ich hatte Deinen Beitrag in der Tat übersehen, aber es wäre mir neu, dass die Gruppenpriorisierung in irgendeinem Zusammenhang mit dem Berechtigungssystem steht. Wie kommst Du darauf? Im konkreten Fall (usergroupoption vom Typ infiniteinteger) greift immer der kleinste Wert aus allen Gruppen.

Gruß norse

Quote from norse

aber es wäre mir neu, dass die Gruppenpriorisierung in irgendeinem Zusammenhang mit dem Berechtigungssystem steht.

Genau das ist das Problem. Wenn man die Priorisierung auch für die Berechtigungen verwenden würde, wüsste man direkt welches Recht für welchen Benutzer greift und könnte das wunderbar flexibel konfigurieren. Gerade in Communities mit knapp 100 Gruppen würde das vieles einfacher machen. (auch die Idee mit dem Vererben von Rechten)

Bloß das System als solches nicht wieder ändern. Das gibt mehr Chaos und Aufwand als es die Änderung wert ist und man kann ja derzeit alles damit einrichten, was man möchte. Man muss sich eben damit beschäftigen, wie die Vergabe hier funktioniert und das ist an sich (bis auf wenige Ausnahmen, wie z.B. BBCodes) sehr intelligent gelöst, um möglichst wenig administrieren zu müssen. Dass die meisten Admins alle möglichen Rechte jeder Gruppe zuweisen und dann nicht mehr klar kommen ist sicherlich so. Aber das wäre bei einer anderen Systematik wohl auch nicht anders.

Es ist eben einerseits ein Vorteil, dass man für fast alles Rechte vergeben will kann, aber andererseits wird es dadurch eben auch komplex. Ich wäre daher eher dafür, es transparenter zu gestalten, was die Vergabe angeht, nicht es zu ändern.

So könnte man z.B. vor dem Wert der Gruppe doch im Prinzip auch die Gruppenrechte anzeigen, die auch noch gelten und markieren, welche aktuell gilt. Also so ähnlich wie die effektive Berechtigungsanzeige, die es ja als PlugIn schon gibt.

Es wird nicht ohne Grund vielfach darauf hingewiesen, die Gruppenrechte für "Jeder" anfangs einmalig weitestgehend zu beschränken und dann darauf aufbauend Berechtigungen gezielt weiteren Gruppen zu geben. So ist man vor derartigen Überraschungen wie eingangs beschrieben gefeit.

Mit anderen Worten: "Jeder" sollte immer nur das erlaubt sein, was auch wirklich jeder auf der Seite darf. Mit dieser Philosophie bin ich über nunmehr mehr als ein Jahrzehnt stets gut gefahren.

Gruß norse

Jup, ich auch, vielleicht würde es schon reichen, den Auslieferungszustand entsprechend zu ändern.

Quote from norse

Vielleicht wäre es eher an der Zeit, die Vorgabewerte für "Jeder" einfach restriktiver zu gestalten.

Gruß norse