Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(24 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
<bookshelf src="Buch:Adminhandbuch" /> | |||
{{DISPLAYTITLE:Rechteverwaltung}} | {{DISPLAYTITLE:Rechteverwaltung}} | ||
==Einstellungsmöglichkeiten== | |||
Die Rechteverwaltung erreichen Sie über den Link ''Globale Aktionen > Verwaltung > Berechtigungen''. Über diesen Link wird die Seite ''Spezial:PermissionManager'' geladen. | |||
Drei Einstellungen sind möglich. Standardmäßig ist die Einstellung '''Privates Wiki''' aktiviert.[[Datei:Handbuch:permissionmanager-DE.png|zentriert|mini|550x550px|Rechteverwaltung |alt=Rechteverwaltung]] | |||
{| class="wikitable" style="width:100%;" | {| class="wikitable" style="width:100%;" | ||
|+ | |+ | ||
!Rechteeinstellung | !Rechteeinstellung | ||
!Beschreibung | !Beschreibung | ||
!Verrechtung | |||
|- | |||
| Öffentliches Wiki | |||
|Wikiseiten sind öffentlich sichtbar und bearbeitbar. | |||
*Alle Benutzer haben Bearbeitungsrechte, einschließlich anonymer Benutzer. | |||
*Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), muss einem Benutzer die Gruppe "reviewer" zugewiesen werden. | |||
*Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), muss einem Benutzer die Gruppe "reviewer" zugewiesen werden. | |||
*Um das Wiki zu verwalten, muss einem Benutzer die Gruppe "sysop" zugewiesen werden. Die sysop-Gruppe beinhaltet die Rollen "editor" und "reviewer". | |||
{{Hinweisbox|boxtype=Hinweis|icon=|Note text=In BlueSpice pro Cloud ist es nicht möglich, ''edit'', ''comment'', oder ''upload'' Rechte an anonyme Benutzer zu vergeben. Die Einstellung "Öffentliches Wiki" wird daher nicht angeboten.|bgcolor=}} | |||
|Sonderverrechtung:<ref name="globalrights">Globale Verrechtung(modifiziert durch die Sondereinstellungen wie oben ausgeführt):<syntaxhighlight lang="text"> | |||
'bureaucrat' => [ | |||
'accountmanager' => true | |||
], | |||
'sysop' => [ | |||
'reader' => true, | |||
'editor' => true, | |||
'reviewer' => true, | |||
'admin' => true | |||
], | |||
'user' => [ 'editor' => true ], | |||
'editor' => [ | |||
'reader' => true, | |||
'editor' => true | |||
], | |||
'reviewer' => [ | |||
'reader' => true, | |||
'editor' => true, | |||
'reviewer' => true | |||
</syntaxhighlight> | |||
</ref> | |||
<syntaxhighlight lang="text"> | |||
// Anonyme und angemeldete Benutzer können lesen und bearbeiten | |||
$this->groupRoles['*']['reader'] = true; | |||
$this->groupRoles['*']['editor'] = true; | |||
</syntaxhighlight> | |||
|- | |- | ||
|Geschütztes Wiki | |Geschütztes Wiki | ||
|Wikiseiten sind öffentlich sichtbar. Nur eingeloggte Benutzer können Seiten bearbeiten. | |Wikiseiten sind öffentlich sichtbar. Nur eingeloggte Benutzer können Seiten bearbeiten. | ||
*Alle Benutzer haben Bearbeitungsrechte | *Alle Benutzer haben Bearbeitungsrechte | ||
*Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), | *Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), muss einem Benutzer die Gruppe "reviewer" zugewiesen werden. | ||
*<nowiki>*Um das Wiki zu verwalten, muss einem Benutzer die Gruppe "sysop" zugewiesen werden. Die sysop-Gruppe beinhaltet die Rollen "editor" und "reviewer". </nowiki> | |||
|Sonderverrechtung:<ref name="globalrights" />: | |||
<syntaxhighlight lang="text"> | |||
// Anonyme Benutzer können lesen, nur angemeldete Benutzer können bearbeiten | |||
$this->groupRoles['*']['reader'] = true; | |||
$this->groupRoles['*']['editor'] = false; | |||
$this->groupRoles['user']['editor'] = true; | |||
</syntaxhighlight> | |||
|- | |- | ||
|Privates Wiki | |Privates Wiki | ||
|Nur angemeldete Benutzer können | |Nur angemeldete Benutzer können Wikiseiten sehen. | ||
*Um eine Seite bearbeiten zu können, | *Angemeldete Benutzer haben nur Ansichtsrechte. | ||
*Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), | *'''Wichtig!''' Um eine Seite '''bearbeiten''' zu können, muss einem Benutzer die Gruppe "editor" zugewiesen werden. | ||
*Um das Wiki zu verwalten, muss einem Benutzer die Gruppe "sysop" zugewiesen werden. | *Um eine Seite freigeben zu können (falls in einem Namensraum der Freigabe-Mechanismus aktiviert ist), muss einem Benutzer die Gruppen "reviewer" zugewiesen werden. | ||
*Um das Wiki zu verwalten, muss einem Benutzer die Gruppe "sysop" zugewiesen werden. Die sysop-Gruppe beinhaltet die Rollen "editor" und "reviewer". | |||
|Sonderverrechtung:<ref name="globalrights" />: | |||
<syntaxhighlight lang="text"> | |||
// Nur angemeldete Benutzer können lesen. die "editor" Gruppe muss Benutzern manuell zugewiesen werden | |||
$this->groupRoles['*']['reader'] = false; | |||
$this->groupRoles['*']['editor'] = false; | |||
$this->groupRoles['user']['reader'] = true; | |||
$this->groupRoles['user']['editor'] = false; | |||
$this->groupRoles['editor']['editor'] = true; | |||
$this->groupRoles['sysop']['editor'] = true; | |||
</syntaxhighlight> | |||
|- | |- | ||
|Personalisierte Einstellungen (BlueSpice pro) | | Personalisierte Einstellungen (BlueSpice pro) | ||
|Rollen und Gruppen werden manuell zugewiesen. Siehe nächster Abschnitt. | |Rollen und Gruppen werden manuell zugewiesen. Siehe nächster Abschnitt. | ||
| | | | ||
|} | |||
==Personalisierte Einstellungen== | ==Personalisierte Einstellungen== | ||
Die Tabelle zeigt typische Standardeinstellungen für eine einfache Benutzerverwaltung: | Die Tabelle zeigt typische Standardeinstellungen für eine einfache Benutzerverwaltung: | ||
{| class="wikitable" style="width:100%;" | {| class="wikitable" style="width:100%;" | ||
Zeile 34: | Zeile 88: | ||
!'''Vorgeschlagene Rollenzuweisung''' | !'''Vorgeschlagene Rollenzuweisung''' | ||
|- | |- | ||
|anonymous user (*) | | anonymous user (*) | ||
| - | | - | ||
|Legt fest, ob anonyme Benutzer den Wiki-Inhalt sehen können. | | Legt fest, ob anonyme Benutzer den Wiki-Inhalt sehen können. | ||
|( | |(keine Rollenzuweisung) oder ''reader'' | ||
|- | |- | ||
|user | |user | ||
|reader, editor | |reader, editor | ||
|Legt die Rechte fest, die angemeldete Benutzer haben, wenn ihnen keine Gruppen zugewiesen sind. | |Legt die Rechte fest, die angemeldete Benutzer haben, wenn ihnen keine Gruppen zugewiesen sind. | ||
|''reader'' | |''reader'' oder | ||
''reader, editor'' | ''reader, editor'' | ||
|- | |- | ||
Zeile 62: | Zeile 116: | ||
|''(editor)*, admin'' | |''(editor)*, admin'' | ||
|- | |- | ||
| colspan="4" style="text-align:right;" |<nowiki>*</nowiki> kann über user vererbt werden | | colspan="4" style="text-align:right;" |<nowiki>*</nowiki> kann über ''user'' vererbt werden | ||
|}{{Hinweisbox|boxtype=note|Note text=Wenn Sie die personalisierten Einstellungen mindestens einmal gespeichert haben und dann wieder zu "geschütztem" oder "privatem" Wiki wechseln, verlieren Sie diese personalisierten Einstellungen nicht. Sie können jederzeit wieder zum letzten Stand der personalisierten Einstellungen wechseln.}}{{Box Links|Thema1=[[Referenz:BlueSpicePermissionManager]]|Thema2=[[Handbuch: | |} | ||
{{Hinweisbox|boxtype=note|Note text=Wenn Sie die personalisierten Einstellungen mindestens einmal gespeichert haben und dann wieder zu "geschütztem" oder "privatem" Wiki wechseln, verlieren Sie diese personalisierten Einstellungen nicht. Sie können jederzeit wieder zum letzten Stand der personalisierten Einstellungen wechseln.}} | |||
==Rollen-basierte Rechte== | |||
In BlueSpice Version werden Gruppen von Berechtigungen in Rollen gebündelt, um die Rechteverwaltung zu vereinfachen. Zum Beispiel muss ein Benutzer mit Leserechten auch die eigenen Einstellungen ändern und speichern können. | |||
Durch Zuweisen einer Rolle zu einer Gruppe erhalten alle Benutzer, die zu dieser Gruppe gehören, die in der Rolle enthaltenen Rechte. Rollen werden also '''nicht direkt''' einzelnen Benutzern zugewiesen.<bs:drawio filename="Rechtesystem" /> | |||
<span><span /><span /><span /><span /><br /></span> | |||
Dadurch spielen folgende Verwaltungsseiten bei der Rechteverwaltung eine Rolle: | |||
* [[Handbuch:Erweiterung/BlueSpiceNamespaceManager|Namensraumverwaltung]]: Im Wiki können einzelne Namensräume über Benutzergruppen verrechtet werden. | |||
* [[Handbuch:Erweiterung/BlueSpiceGroupManager|Gruppenverwaltung]]: Hier werden die nötigen Gruppen zur Verrechtung der Namensräume angelegt. | |||
* [[Handbuch:Erweiterung/BlueSpiceUserManager|Benutzerverwaltung]]: Einzelnen Benutzern werden Gruppen zugewiesen, um die mit der Gruppe verknüpften Rechte zu gewähren. | |||
* [[Handbuch:Erweiterung/BlueSpicePermissionManager|Rechteverwaltung]]: In der Rechteverwaltung werden den Benutzergruppen Rechte in den Namensräumen zugewiesen. | |||
==Die Rollenmatrix== | |||
Die Rechteverwaltung besteht aus dem Gruppenbaum (1) und der Rollenmatrix (2):[[File:PermissionManager2a.png| Rollenmatrix|rand|zentriert|550x550px|verweis=Special:FilePath/PermissionManager2a.png]] | |||
Der Gruppenbaum auf der linken Seite zeigt alle Gruppen hierarchisch an. Standardmäßig sind folgende Gruppen verfügbar: | |||
*'''Gruppe "*":''' Alle nicht angemeldeten Benutzer (anonyme Benutzer) gehören dieser Gruppe an | |||
*'''Gruppe "user" (Benutzer):''' Die Standardgruppe für alle angemeldeten Benutzer. | |||
*'''Untergruppen der Gruppe "user"''' | |||
**''Systemgruppen:'' Diese werden ausgefiltert und können über die Auswahl "Systemgruppen anzeigen" sichtbar gemacht werden. Sytemgruppen werden von MediaWiki oder von installierten Erweiterungen erstellt und werden im Normalfall nicht zur Benutzerverrechtung verwendet. | |||
**Die Standardgruppen editor, reviewer, sysop | |||
**Zusätzliche Gruppen, die von Administratoren in der [[Handbuch:Erweiterung/BlueSpiceGroupManager|Gruppenverwaltung]] erstellt wurden | |||
<section end="training-gruppen" /> | |||
<span><span /><span /><span /><span /><br /></span> | |||
Die Spalten in der Rollenmatrix: | |||
*'''Rolleninformation''' (Infosymbol): Dieses Symbol öffnet eine Übersicht aller Berechtigungen in einer Rolle. Diese Liste kann exportiert werden.[[Datei:Handbuch:permissions-info.png|verweis=https://bs4-de.wiki.bluespice.com/wiki/Datei:Handbuch:permissions-info.png|alternativtext=Berechtigungen in der Rolle "editor"|zentriert|mini|438x438px|Berechtigungen in der Rolle "editor"]] | |||
*'''Rollenname:''' Die Rolle(n) die einer Gruppe in bestimmten Namensräumen zur Erteilung von Benutzerrechten zugewiesen werden. | |||
*'''Wiki:''' Sobald eine Rolle in mindestens einem Namensraum verrechtet ist, wird die Wikiberechtigung erteilt. | |||
*'''Namensräume''': | |||
** Rollen können innerhalb von Namensräumen zugewiesen werden. Wenn einer Gruppe in einem Namensraum explizit eine Rolle zugewiesen wird, verlieren alle anderen Gruppen die Berechtigungen für diese Rolle und müssen entsprechend explizit wieder für diese gesetzt werden, falls erwünscht. | |||
**Mehrere Gruppen können eine oder mehrere Rolle(n) für einen Namensraum zugewiesen bekommen. | |||
**Die Anzeige der Namensräume in der Rollenmatrix kann über die Spaltenüberschriften gesteuert werden. | |||
===Rollenvererbung=== | |||
Alle Rollen, die der Gruppe "*" zugewiesen wurden, werden von der Gruppe "user" geerbt. Alle Rollen, die der Gruppe "user" explizit zugewiesen wurden, werden von den Gruppen unterhalb der "user"-Gruppe geerbt. | |||
Wenn eine Gruppe die Rolle vom übergeordneten Gruppenfeld in der Rollenmatrix erbt, wird dies in Grün angezeigt. Ein Häkchen ist in diesem Fall nicht explizit gesetzt. | |||
==Standardrollen== | |||
Standardmäßig bietet BlueSpicePermissionManager eine Reihe vordefinierter Rollen, die für die typischen Anforderungen an Benutzertypen erstellt wurden: | |||
*'''accountselfcreate:''' Ermöglicht das automatische Erstellen von neuen Benutzerkonten und wird für Single-sign-on benötigt. Diese Rolle können Sie zum Beispiel anonymen Benutzern zuordnen, die sich ihr Konto selbst erstellen können. | |||
*'''autocreateaccount:''' Ermöglicht das Anmelden über ein externes Konto. (Single-sign on) | |||
*'''reader:''' Ermöglicht das Lesen von Wikiseiten. Benutzer können außerdem ihre persönlichen Einstellungen bearbeiten. | |||
*'''commenter:''' Ermöglicht das Erstellen von Diskussionsbeiträgen und Seitenbewertungen, aber nicht von Seiten selbst. Die Rolle editor beinhaltet alle Rechte der Rolle commenter. Wenn eine Gruppe editor Rechte hat, benötigt sie keine gesonderten commenter Rechte. | |||
*'''author:''' Ermöglicht eigentlich das Erstellen von Seiten. Das Bearbeiten, Verschieben oder Löschen von Seiten ist in dieser Rolle nicht enthalten. | |||
*'''editor:''' Ermöglicht das Bearbeiten, Verschieben und Löschen von Seiten. | |||
*'''reviewer:''' Wenn Sie in einem Namensraum auch die Begutachtungsfunktion und somit Entwurfsseiten aktiviert haben, muss es mindestens eine Gruppe mit der Rolle reviewer geben. Standardmäßig gibt es hierfür die Gruppe „reviewer“. Nur Benutzer in der Rolle reviewer können Entwurfsseiten freigeben. Die Reviewer Gruppe benötigt generell Lese-, Schreib- und Reviewer Rechte über die entsprechenden drei Rollen reader, editor und reviewer. Wenn Sie die Begutachtungsfunktion in keinem Namensraum aktiviert haben, benötigen Sie diese Rolle in Ihrem Wiki allerdings nicht. | |||
*'''structuremanager:''' eErmöglicht einige Aktionen zur Wikipflege wie das Verschieben von Seiten, Massenlöschung von Seiten oder Text suchen und ersetzen, sowie das Umbenennen von Namensräumen. | |||
*'''accountmanager:''' Ermöglicht die Verwaltung von Benutzerkonten. Da Benutzerkonten unabhängig von Namensräumen im Wiki verwaltet werden, kann diese Rolle nicht auf einzelne Namensräume beschränkt werden. Ausgegraute Namensräume haben hier keine Bedeutung, solange die Rolle im Wiki selbst grün hinterlegt ist. | |||
*'''admin:''' Ermöglicht den Zugriff auf alle administrativen Spezialseiten sowie generell alle gängigen Verwaltungsfunktionen wie die Rechteverwaltung. | |||
*'''bot:''' Existiert zur Ausführung wiederkehrender Systemaktionen. Diese Rolle ist in BlueSpice dem BSMaintenance-Benutzer über die gleichnamige bot-Gruppe zugeordnet. Die bot-Gruppe sollte normalerweise nicht geändert werden. | |||
*'''maintenanceadmin:''' Ähnlich der admin-Rolle, aber mit erweiterten Adminrechten, um die Integrität des Wikis sicherzustellen. | |||
** | |||
<section end="training-rechte-besonderheiten" /> | |||
==Leseberechtigungen einschränken== | |||
Es ist möglich, Leseberechtigungen für Seiten in einem Namensraum einzuschränken, indem die Rolle ''reader'' explizit einer oder mehreren Gruppen zugewiesen wird. Nicht-berechtigte Benutzer sehen beim Aufrufen der Seiten eine Fehlermeldung. | |||
[[Datei:Handbuch:berechtigungsfehler.png|alternativtext=Zugriffsberechtigung fehlt|zentriert|mini|500x500px|Fehlermeldung, wenn Leserechte fehlen]] | |||
{{Hinweisbox|boxtype=Wichtig|icon=|Note text=Die Lesebeschränkung bewirkt, dass nicht-berechtigte Benutzer keinen Zugriff auf den eigentlichen Inhalt der Seite haben. | |||
Das Wiki zeigt in einigen Kontexten dennoch Links zu diesen Seiten für alle Benutzer an, selbst wenn Benutzer keinen Zugriff auf den Seiteninhalt selbst haben.|bgcolor=}} | |||
Die folgenden Listen zeigen, welche Erweiterungen oder Funktionen keine Links zu eingeschränkten Seiten anzeigen – weil sie Berechtigungen berücksichtigen – und wo die Links unabhängig von Berechtigungen angezeigt werden. | |||
===Erweiterungen, die Berechtigungen berücksichtigen=== | |||
Abfrageergebnisse und Seitenlisten, die von den folgenden Erweiterungen bereitgestellt werden, zeigen Benutzern nur die Seitenlinks an, zu denen sie auf Namensraumebene auch Zugriff haben: | |||
<span /><span /><span /><span /><span /><br /> | |||
*[[Handbuch:Erweiterung/BlueSpiceExtendedSearch|ExtendedSearch]] (und Funktionalität, die auf der Suche basisert, z.B. [[Handbuch:Erweiterung/BlueSpiceTagSearch|TagSearch]], [[Handbuch:Erweiterung/BlueSpiceExtendedFilelist|ExtendedFilelist]]). | |||
*[[Referenz:Semantic MediaWiki|Semantic MediaWiki]] | |||
*[[Handbuch:Erweiterung/BlueSpiceInsertMagic|TopList]]<span /><span /><span /><span /><span /><br /> | |||
===Erweiterungen, die Berechtigungen nicht berücksichtigen=== | |||
Erweiterungen, die Seitenlisten bereitstellen und Links zu lesebeschränkten Seiten für die betroffenen Benutzer nicht verbergen. Beispiele:<span /><span /><span /><span /><span /><br /> | |||
*[[Referenz:DynamicPageList3|DynamicPageList3]] | |||
*[[Handbuch:Erweiterung/BlueSpiceSmartList|SmartList]] | |||
*[[Referenz:BlueSpiceWatchList|WatchList]] (both the tag and the special page) | |||
<span /><span /><span /><span /><span /><br />Generell überprüfen alle MediaWiki-Sonderseiten keine Berechtigungen und listen diese Seiten daher für die betroffenen Benutzer auf. Häufigste Beispiele:<span /><span /><span /><span /><span /><br /> | |||
*Spezial:Alle Seiten | |||
*Spezial:Letzte Änderungen | |||
*Spezial:Bücherregal ('''Hinweis:''' Wenn dies ein Problem darstellt, können Sie den Zugriff auf den Namensraum ''Buch'' auf ausgewählte Gruppen beschränken. Die Seite ''Spezial:Bücherregal'' zeigt dann Benutzern, die keinen Zugriff auf den Namensraum Buch haben, keine Links zu Büchern an. Links zu einzelnen Büchern können dann je nach Bedarf auf verschiedenen Portalseiten bereitgestellt werden). | |||
*Kategorienseiten: Alle Seiten im Namensraum ''Kategorie''<span /><span /><span /> | |||
=== Eingeschränkte Transklusion === | |||
Wenn Sie einem Namensraum die Rolle "Leser" (oder eine andere Rolle, die die Berechtigung "Lesen" enthält) zuweisen, wird dieser Namensraum automatisch so konfiguriert, dass dessen Inhalt '''nicht transkludierbar''' ist. Dies ist aus Sicherheitsgründen so, da MediaWiki beim Übertragen von Inhalten keine Berechtigungen überprüft. | |||
==Technische Details== | |||
===Protokollierung=== | |||
Jede Änderung an den Rollen wird im Rechteverwaltungs-Logbuch protokolliert, welches Admin-Benutzer unter <code>Spezial:Logbuch</code> im <code>Rechteverwaltungs-Logbuch</code> finden. | |||
===Backups=== | |||
Alle Änderungen an der Rollenmatrix werden gesichert. Standardmäßig werden die letzten 5 Sicherungen aufbewahrt. Diese Begrenzung kann in der [[Handbuch:Erweiterung/BlueSpiceConfigManager|Konfigurationsverwaltung]] für die Erweiterung BlueSpicePermissionManager geändert werden. | |||
== Fußnoten == | |||
<references /> | |||
{{Box Links|Thema1=[[Referenz:BlueSpicePermissionManager]]|Thema2=[[Handbuch:Erweiterung/BlueSpiceGroupManager|Gruppenmanager]]}} | |||
{{Translation}} |
Aktuelle Version vom 4. Mai 2023, 15:55 Uhr
Einstellungsmöglichkeiten[Bearbeiten | Quelltext bearbeiten]
Die Rechteverwaltung erreichen Sie über den Link Globale Aktionen > Verwaltung > Berechtigungen. Über diesen Link wird die Seite Spezial:PermissionManager geladen.
Drei Einstellungen sind möglich. Standardmäßig ist die Einstellung Privates Wiki aktiviert.
Rechteeinstellung | Beschreibung | Verrechtung |
---|---|---|
Öffentliches Wiki | Wikiseiten sind öffentlich sichtbar und bearbeitbar.
|
Sonderverrechtung:Fußnote [1]
// Anonyme und angemeldete Benutzer können lesen und bearbeiten
$this->groupRoles['*']['reader'] = true;
$this->groupRoles['*']['editor'] = true;
|
Geschütztes Wiki | Wikiseiten sind öffentlich sichtbar. Nur eingeloggte Benutzer können Seiten bearbeiten.
|
Sonderverrechtung:Fußnote [1]:
// Anonyme Benutzer können lesen, nur angemeldete Benutzer können bearbeiten
$this->groupRoles['*']['reader'] = true;
$this->groupRoles['*']['editor'] = false;
$this->groupRoles['user']['editor'] = true;
|
Privates Wiki | Nur angemeldete Benutzer können Wikiseiten sehen.
|
Sonderverrechtung:Fußnote [1]:
// Nur angemeldete Benutzer können lesen. die "editor" Gruppe muss Benutzern manuell zugewiesen werden
$this->groupRoles['*']['reader'] = false;
$this->groupRoles['*']['editor'] = false;
$this->groupRoles['user']['reader'] = true;
$this->groupRoles['user']['editor'] = false;
$this->groupRoles['editor']['editor'] = true;
$this->groupRoles['sysop']['editor'] = true;
|
Personalisierte Einstellungen (BlueSpice pro) | Rollen und Gruppen werden manuell zugewiesen. Siehe nächster Abschnitt. |
Personalisierte Einstellungen[Bearbeiten | Quelltext bearbeiten]
Die Tabelle zeigt typische Standardeinstellungen für eine einfache Benutzerverwaltung:
Gruppe | Anfangs zugewiesene Rolle | Zweck der Gruppe | Vorgeschlagene Rollenzuweisung |
---|---|---|---|
anonymous user (*) | - | Legt fest, ob anonyme Benutzer den Wiki-Inhalt sehen können. | (keine Rollenzuweisung) oder reader |
user | reader, editor | Legt die Rechte fest, die angemeldete Benutzer haben, wenn ihnen keine Gruppen zugewiesen sind. | reader oder
reader, editor |
editor | (von user geerbt),
editor |
Gruppenmitglieder haben Bearbeitungsrechte. | (editor)* |
reviewer | (von user geerbt), reviewer | Gruppenmitglieder können Seitenrevisionen freigeben, wenn der Freigabemechanismus aktiviert ist. | reviewer |
sysop | (von user geerbt), editor, admin | Vergibt Administratorrechte.
Enthalten in den Rollen admin, maintenanceadmin |
(editor)*, admin |
* kann über user vererbt werden |
Rollen-basierte Rechte[Bearbeiten | Quelltext bearbeiten]
In BlueSpice Version werden Gruppen von Berechtigungen in Rollen gebündelt, um die Rechteverwaltung zu vereinfachen. Zum Beispiel muss ein Benutzer mit Leserechten auch die eigenen Einstellungen ändern und speichern können.
Durch Zuweisen einer Rolle zu einer Gruppe erhalten alle Benutzer, die zu dieser Gruppe gehören, die in der Rolle enthaltenen Rechte. Rollen werden also nicht direkt einzelnen Benutzern zugewiesen.
Dadurch spielen folgende Verwaltungsseiten bei der Rechteverwaltung eine Rolle:
- Namensraumverwaltung: Im Wiki können einzelne Namensräume über Benutzergruppen verrechtet werden.
- Gruppenverwaltung: Hier werden die nötigen Gruppen zur Verrechtung der Namensräume angelegt.
- Benutzerverwaltung: Einzelnen Benutzern werden Gruppen zugewiesen, um die mit der Gruppe verknüpften Rechte zu gewähren.
- Rechteverwaltung: In der Rechteverwaltung werden den Benutzergruppen Rechte in den Namensräumen zugewiesen.
Die Rollenmatrix[Bearbeiten | Quelltext bearbeiten]
Die Rechteverwaltung besteht aus dem Gruppenbaum (1) und der Rollenmatrix (2):
Der Gruppenbaum auf der linken Seite zeigt alle Gruppen hierarchisch an. Standardmäßig sind folgende Gruppen verfügbar:
- Gruppe "*": Alle nicht angemeldeten Benutzer (anonyme Benutzer) gehören dieser Gruppe an
- Gruppe "user" (Benutzer): Die Standardgruppe für alle angemeldeten Benutzer.
- Untergruppen der Gruppe "user"
- Systemgruppen: Diese werden ausgefiltert und können über die Auswahl "Systemgruppen anzeigen" sichtbar gemacht werden. Sytemgruppen werden von MediaWiki oder von installierten Erweiterungen erstellt und werden im Normalfall nicht zur Benutzerverrechtung verwendet.
- Die Standardgruppen editor, reviewer, sysop
- Zusätzliche Gruppen, die von Administratoren in der Gruppenverwaltung erstellt wurden
Die Spalten in der Rollenmatrix:
- Rolleninformation (Infosymbol): Dieses Symbol öffnet eine Übersicht aller Berechtigungen in einer Rolle. Diese Liste kann exportiert werden.
- Rollenname: Die Rolle(n) die einer Gruppe in bestimmten Namensräumen zur Erteilung von Benutzerrechten zugewiesen werden.
- Wiki: Sobald eine Rolle in mindestens einem Namensraum verrechtet ist, wird die Wikiberechtigung erteilt.
- Namensräume:
- Rollen können innerhalb von Namensräumen zugewiesen werden. Wenn einer Gruppe in einem Namensraum explizit eine Rolle zugewiesen wird, verlieren alle anderen Gruppen die Berechtigungen für diese Rolle und müssen entsprechend explizit wieder für diese gesetzt werden, falls erwünscht.
- Mehrere Gruppen können eine oder mehrere Rolle(n) für einen Namensraum zugewiesen bekommen.
- Die Anzeige der Namensräume in der Rollenmatrix kann über die Spaltenüberschriften gesteuert werden.
Rollenvererbung[Bearbeiten | Quelltext bearbeiten]
Alle Rollen, die der Gruppe "*" zugewiesen wurden, werden von der Gruppe "user" geerbt. Alle Rollen, die der Gruppe "user" explizit zugewiesen wurden, werden von den Gruppen unterhalb der "user"-Gruppe geerbt. Wenn eine Gruppe die Rolle vom übergeordneten Gruppenfeld in der Rollenmatrix erbt, wird dies in Grün angezeigt. Ein Häkchen ist in diesem Fall nicht explizit gesetzt.
Standardrollen[Bearbeiten | Quelltext bearbeiten]
Standardmäßig bietet BlueSpicePermissionManager eine Reihe vordefinierter Rollen, die für die typischen Anforderungen an Benutzertypen erstellt wurden:
- accountselfcreate: Ermöglicht das automatische Erstellen von neuen Benutzerkonten und wird für Single-sign-on benötigt. Diese Rolle können Sie zum Beispiel anonymen Benutzern zuordnen, die sich ihr Konto selbst erstellen können.
- autocreateaccount: Ermöglicht das Anmelden über ein externes Konto. (Single-sign on)
- reader: Ermöglicht das Lesen von Wikiseiten. Benutzer können außerdem ihre persönlichen Einstellungen bearbeiten.
- commenter: Ermöglicht das Erstellen von Diskussionsbeiträgen und Seitenbewertungen, aber nicht von Seiten selbst. Die Rolle editor beinhaltet alle Rechte der Rolle commenter. Wenn eine Gruppe editor Rechte hat, benötigt sie keine gesonderten commenter Rechte.
- author: Ermöglicht eigentlich das Erstellen von Seiten. Das Bearbeiten, Verschieben oder Löschen von Seiten ist in dieser Rolle nicht enthalten.
- editor: Ermöglicht das Bearbeiten, Verschieben und Löschen von Seiten.
- reviewer: Wenn Sie in einem Namensraum auch die Begutachtungsfunktion und somit Entwurfsseiten aktiviert haben, muss es mindestens eine Gruppe mit der Rolle reviewer geben. Standardmäßig gibt es hierfür die Gruppe „reviewer“. Nur Benutzer in der Rolle reviewer können Entwurfsseiten freigeben. Die Reviewer Gruppe benötigt generell Lese-, Schreib- und Reviewer Rechte über die entsprechenden drei Rollen reader, editor und reviewer. Wenn Sie die Begutachtungsfunktion in keinem Namensraum aktiviert haben, benötigen Sie diese Rolle in Ihrem Wiki allerdings nicht.
- structuremanager: eErmöglicht einige Aktionen zur Wikipflege wie das Verschieben von Seiten, Massenlöschung von Seiten oder Text suchen und ersetzen, sowie das Umbenennen von Namensräumen.
- accountmanager: Ermöglicht die Verwaltung von Benutzerkonten. Da Benutzerkonten unabhängig von Namensräumen im Wiki verwaltet werden, kann diese Rolle nicht auf einzelne Namensräume beschränkt werden. Ausgegraute Namensräume haben hier keine Bedeutung, solange die Rolle im Wiki selbst grün hinterlegt ist.
- admin: Ermöglicht den Zugriff auf alle administrativen Spezialseiten sowie generell alle gängigen Verwaltungsfunktionen wie die Rechteverwaltung.
- bot: Existiert zur Ausführung wiederkehrender Systemaktionen. Diese Rolle ist in BlueSpice dem BSMaintenance-Benutzer über die gleichnamige bot-Gruppe zugeordnet. Die bot-Gruppe sollte normalerweise nicht geändert werden.
- maintenanceadmin: Ähnlich der admin-Rolle, aber mit erweiterten Adminrechten, um die Integrität des Wikis sicherzustellen.
Leseberechtigungen einschränken[Bearbeiten | Quelltext bearbeiten]
Es ist möglich, Leseberechtigungen für Seiten in einem Namensraum einzuschränken, indem die Rolle reader explizit einer oder mehreren Gruppen zugewiesen wird. Nicht-berechtigte Benutzer sehen beim Aufrufen der Seiten eine Fehlermeldung.
Die folgenden Listen zeigen, welche Erweiterungen oder Funktionen keine Links zu eingeschränkten Seiten anzeigen – weil sie Berechtigungen berücksichtigen – und wo die Links unabhängig von Berechtigungen angezeigt werden.
Erweiterungen, die Berechtigungen berücksichtigen[Bearbeiten | Quelltext bearbeiten]
Abfrageergebnisse und Seitenlisten, die von den folgenden Erweiterungen bereitgestellt werden, zeigen Benutzern nur die Seitenlinks an, zu denen sie auf Namensraumebene auch Zugriff haben:
- ExtendedSearch (und Funktionalität, die auf der Suche basisert, z.B. TagSearch, ExtendedFilelist).
- Semantic MediaWiki
- TopList
Erweiterungen, die Berechtigungen nicht berücksichtigen[Bearbeiten | Quelltext bearbeiten]
Erweiterungen, die Seitenlisten bereitstellen und Links zu lesebeschränkten Seiten für die betroffenen Benutzer nicht verbergen. Beispiele:
- DynamicPageList3
- SmartList
- WatchList (both the tag and the special page)
Generell überprüfen alle MediaWiki-Sonderseiten keine Berechtigungen und listen diese Seiten daher für die betroffenen Benutzer auf. Häufigste Beispiele:
- Spezial:Alle Seiten
- Spezial:Letzte Änderungen
- Spezial:Bücherregal (Hinweis: Wenn dies ein Problem darstellt, können Sie den Zugriff auf den Namensraum Buch auf ausgewählte Gruppen beschränken. Die Seite Spezial:Bücherregal zeigt dann Benutzern, die keinen Zugriff auf den Namensraum Buch haben, keine Links zu Büchern an. Links zu einzelnen Büchern können dann je nach Bedarf auf verschiedenen Portalseiten bereitgestellt werden).
- Kategorienseiten: Alle Seiten im Namensraum Kategorie
Eingeschränkte Transklusion[Bearbeiten | Quelltext bearbeiten]
Wenn Sie einem Namensraum die Rolle "Leser" (oder eine andere Rolle, die die Berechtigung "Lesen" enthält) zuweisen, wird dieser Namensraum automatisch so konfiguriert, dass dessen Inhalt nicht transkludierbar ist. Dies ist aus Sicherheitsgründen so, da MediaWiki beim Übertragen von Inhalten keine Berechtigungen überprüft.
Technische Details[Bearbeiten | Quelltext bearbeiten]
Protokollierung[Bearbeiten | Quelltext bearbeiten]
Jede Änderung an den Rollen wird im Rechteverwaltungs-Logbuch protokolliert, welches Admin-Benutzer unter Spezial:Logbuch
im Rechteverwaltungs-Logbuch
finden.
Backups[Bearbeiten | Quelltext bearbeiten]
Alle Änderungen an der Rollenmatrix werden gesichert. Standardmäßig werden die letzten 5 Sicherungen aufbewahrt. Diese Begrenzung kann in der Konfigurationsverwaltung für die Erweiterung BlueSpicePermissionManager geändert werden.
Fußnoten[Bearbeiten | Quelltext bearbeiten]
- ↑ 1,0 1,1 1,2 Globale Verrechtung(modifiziert durch die Sondereinstellungen wie oben ausgeführt):
'bureaucrat' => [ 'accountmanager' => true ], 'sysop' => [ 'reader' => true, 'editor' => true, 'reviewer' => true, 'admin' => true ], 'user' => [ 'editor' => true ], 'editor' => [ 'reader' => true, 'editor' => true ], 'reviewer' => [ 'reader' => true, 'editor' => true, 'reviewer' => true