Gruppenmitglieder festlegen

Eine Gruppe umfaßt eine Menge von Nutzern. Für eine Gruppe können anschließend Berechtigungssätze erstellt werden. Alle Nutzer dieser Gruppe erhalten damit die im Berechtigungssatz festgelegten Rechte. Das Menü zur Erstellung von Gruppenmitgliedern erfordert folglich nur zwei Einträge - den Nutzer und die Gruppe.

Eine zweite Verwendung dieses Menüs besteht darin, Nutzern andere Nutzer und eventuell eine Tabelle zuzuordnen. Dies definiert eine Kind/Eltern-Beziehung (Children-Parent) zwischen beiden Nutzern, eventuell eingeschränkt auf diese Tabelle. Enthält die Tabelle Zeilen, welchen die ID des Parent-Nutzers als _Group-Eintrag enthalten (das läßt sich in Ausgabeseiten automatisch bereitstellen) und gehört ein Kind einer solchen Beziehung zusätzlich zu einer Gruppe mit Group-Rechten, dann kann dieser Nutzer Datensätze lesen und gegebenenfalls bearbeiten, obwohl er weder Owner dieser Datensätze ist noch das Recht hat, alle Zeilen dieser Tabelle zu lesen.

SuchenNeue Gruppen-MitgliederSpeichernAbbruch



Hilfe
Übersicht  (0/0)
 < 1 > 
 -    M1 (N)
Id
Nutzer *
Gruppe bzw. Parent-Nutzer*
Gruppenpartitionierung
Owner

Löschen

Die Mitgliedschaft in einer Gruppe bedeutet, jene Rechte nutzen zu können, welche der Gruppe zugeordnet sind. Die Verwaltung der Gruppenmitgliedschaft, also die Erstellung, Änderung und Löschung von Kombinationen von Nutzern und Gruppen mit dem obigen Menü, stellt deshalb eine administrative Tätigkeit dar. Für diese ist das StvAdmin/Admin-Recht für den Objekttyp 'Gruppen' notwendig. Dieses Recht kann global für alle Gruppen oder speziell für einzelne Gruppen erteilt werden. Alternativ kann der ausführende Nutzer Besitzer dieser Gruppe sein und das Selbstverwaltungsrecht für Gruppenmitgliedschaften oder global besitzen.

Für die vordefinierten Gruppen, welchen Nutzer hinzugefügt werden können (dataReader-group, dataWriter-group, execObjects-group, ownAdmin-group), sind globale StvAdmin oder Admin-Rechte notwendig. Für die admin-group muß der ausführende Nutzer selbst Mitglied dieser (stärksten) Gruppe sein.

Für die vordefinierten Gruppen, welche Nutzer nach ihrem Typ klassifizieren (anon-nick-group, anon-group, auth-user-group sowie registered-user-group), können keine Gruppenmitgliedschaften erstellt werden. Hier erfolgt die Zuordnung automatisch bei der Anmeldung vom System.

Hinweise

Globale Gruppenverwaltung versus Add/manage own Object

Das Recht zur globalen Gruppenverwaltung, also das Admin-Recht für den Objekttyp 'Gruppen', ist ein sehr starkes Recht. Der Inhaber dieses Rechts kann sich selbst zum Mitglied von allen benutzerdefinierten Gruppen und aller vordefinierten Gruppen (dataReader-group usw.) mit Ausnahme der admin-group ernennen. Hat er selbst nur StvAdmin-Rechte innerhalb eines Bereichs und gibt es eine Gruppe mit Admin-Recht für diesen Bereich, so kann er, indem er sich zum Mitglied dieser Gruppe macht, das Adminrecht für diesen Bereich erlangen, welches ihm bislang verschlossen war. Es sind derzeit keine Szenarien vorstellbar, in welchen eine Gruppe mit diesem Recht erstellt werden sollte.

Sehr nützlich kann eine Gruppe sein, die bsp. als 'Administratoren eigener Gruppen' bezeichnet werden könnte. Für diese Gruppe wird ein einziger Berechtigungssatz erstellt. Dieser bezieht sich auf den Objekttyp 'Gruppen', 'Objektname' bleibt frei. Es werden nur die beiden Rechte 'Add' und 'manage own Object' vergeben. Ein Administrator trägt einzelne Nutzer als Mitglieder dieser Gruppe ein.
Diese Mitglieder können eigene Gruppen erstellen und diese verwalten. Die Verwaltung einer eigenen Gruppe beschränkt sich darauf, Mitglieder zu dieser Gruppe hinzuzufügen oder zu entfernen. Kann dieser Nutzer bsp. zusätzlich Ausgabeseiten erstellen und sie verwalten, so kann er den Mitgliedern 'seiner Gruppe' Zugriffsberechtigung für 'seine Seiten' erteilen. Damit lassen sich abgegrenzte Bereiche (hier: Ausgabeseiten und Leser dieser Seiten) erstellen, ohne daß dem Administrator für diesen Teilbereich seiner Objekte globale Rechte oder auch nur das Leserecht für andere Ausgabeseiten eingeräumt werden muß.

Keine weitere Gruppe mit globalem Admin-Recht

Es wird dringend davon abgeraten, eine weitere Gruppe neben der admin-group zu erstellen und dieser das globale Admin-Recht zuzuweisen, so daß diese Gruppe in ihrer Wirkung der vordefinierten admin-group entspricht. Denn ein StvAdmin für Gruppen oder ein globaler StvAdmin kann, da er benutzerdefinierte Gruppen verwalten kann, sich selbst dieser Gruppe anschließen und damit globale Admin-Rechte erhalten. Bei der Zuordnung von Nutzern zu Gruppen wird für die admin-group gesondert geprüft, ob der Ausführende Mitglied dieser Gruppe ist. Für benutzerdefinierte Gruppen entfällt eine solche Prüfung.



Kontaktformular:

Schreiben Sie mir und wir bauen gemeinsam Ihre neue Web-Datenbank!

Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.

© 2003-2018 Jürgen Auer, Berlin.