Zuletzt bearbeitet vor 2 Jahren
von Margit Link-Rodrigue

4 Benutzerrechte

Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
<bookshelf src="Buch:Adminhandbuch" />
<bookshelf src="Buch:Adminhandbuch" />
==Konzepte==
== Konzepte ==
<section begin="training" />
<section begin="training" />
<div class="training maintainer">
<div class="training maintainer">
Zeile 7: Zeile 7:
Abhängig von den Aktionen, die  Benutzer ausführen dürfen, hängen viele dieser Rechte zusammen und müssen folglich einem bestimmten Benutzertyp erteilt werden. Ein Benutzer mit Lesezugriff soll beispielsweise auch in der Lage sein, das Benutzerprofil zu ändern und Seiten zu einer Beobachtungsliste hinzuzufügen. Aus diesem Grund verwendet BlueSpice Rollen und Gruppen, um die Berechtigungen einzelner Benutzer zu verwalten.
Abhängig von den Aktionen, die  Benutzer ausführen dürfen, hängen viele dieser Rechte zusammen und müssen folglich einem bestimmten Benutzertyp erteilt werden. Ein Benutzer mit Lesezugriff soll beispielsweise auch in der Lage sein, das Benutzerprofil zu ändern und Seiten zu einer Beobachtungsliste hinzuzufügen. Aus diesem Grund verwendet BlueSpice Rollen und Gruppen, um die Berechtigungen einzelner Benutzer zu verwalten.


<br />
<bs:drawio filename="Rechtesystem" />
 


Folgende Elemente sind Teil des Rechteverwaltungssystems:
Folgende Elemente sind Teil des Rechtesystems:
<section begin="training-slides" />
<section begin="training-slides" />
{| class="contenttable-blue" style="width:100%;"
{| class="contenttable-blue" style="width:100%;"
Zeile 20: Zeile 21:
|-
|-
|Rolle (role)
|Rolle (role)
|eine Kombination von Rechten (Rechte können nur durch Auswahl von Rollen erteilt werden)
|eine Kombination von Rechten (Rechte können nur über Rollen erteilt werden)
|-
|-
|Benutzer (user)
|Benutzer (user)
Zeile 30: Zeile 31:
|Namensraum (namespace)
|Namensraum (namespace)
|Berechtigungen können auf Namensraum-Ebene festgelegt werden. Aber generell nicht pro Seite.
|Berechtigungen können auf Namensraum-Ebene festgelegt werden. Aber generell nicht pro Seite.
|}</div><section end="training-slides" /><section end="training" />
|}</div>
 
==Klassischer Ablauf der Rechtezuweisung==
==Klassischer Ablauf der Rechtezuweisung==
[[Datei:Verrechtung.drawio.png|zentriert|verweis=Special:FilePath/Verrechtung.drawio.png]]
<bs:drawio filename="Verrechtung" />
<section begin="training-rechte-workflow" />
{| class="contenttable-blue" style="width:100%;"
{| class="contenttable-blue" style="width:100%;"
|+
|+
Zeile 59: Zeile 58:
<section end="training-rechte-workflow" />
<section end="training-rechte-workflow" />
==Anwendungsfall: Abteilungsinformationen verwalten==
==Anwendungsfall: Abteilungsinformationen verwalten==
[[File:inhaltsorganisation.drawio.png|thumb|793x793px|Beispiel: So organisieren Sie Ihr Wiki|zentriert|verweis=Special:FilePath/inhaltsorganisation.drawio.png]]
 
 
 
Anna (HR Manager) und Phil (HR Specialist) pflegen alle Inhalte der Personalabteilung im Unternehmenswiki.
Anna (HR Manager) und Phil (HR Specialist) pflegen alle Inhalte der Personalabteilung im Unternehmenswiki.


Zeile 68: Zeile 69:
Um diesen spezifischen HR-Anforderungen gerecht zu werden, muss der Wiki-Administrator die folgenden Schritte ausführen:
Um diesen spezifischen HR-Anforderungen gerecht zu werden, muss der Wiki-Administrator die folgenden Schritte ausführen:


#'''Namensraum''' <nowiki>HR:</nowiki> auf der Seite <code>Special:NamespaceManager</code> erstellen:<br />[[Datei:Namensraum hinzufügen.png|zentriert|450x450px|mini|Namensraum erstellen|verweis=Special:FilePath/Namensraum_hinzufügen.png]]Nach dem Hinzufügen des Namensraums wird der neue Namensraum nach drücken der "f5" Taste angezeigt.<br />
#'''Namensraum''' <nowiki>HR:</nowiki> auf der Seite <code>Special:NamespaceManager</code> erstellen:<br />[[Datei:Namensraum hinzufügen.png|zentriert|450x450px|mini|Namensraum erstellen]]Nach dem Hinzufügen des Namensraums wird der neue Namensraum nach drücken der "f5" Taste angezeigt.<br />
#Die erforderlichen '''Gruppen''' auf der Seite <code>Spezial:GroupManager</code> erstellen:<br />[[Datei:Gruppenverwaltung.png|zentriert|431x431px|mini|Benutzergruppen erstellen|verweis=Special:FilePath/Gruppenverwaltung.png]]
#Die erforderlichen '''Gruppen''' auf der Seite <code>Spezial:GroupManager</code> erstellen:<br />[[Datei:Gruppenverwaltung.png|zentriert|431x431px|mini|Benutzergruppen erstellen|verweis=Special:FilePath/Gruppenverwaltung.png]]
#*HR_visitor: Benutzer in dieser Gruppe haben nur Anzeigeberechtigungen für den Namensraum (HR:)
#*HR_visitor: Benutzer in dieser Gruppe haben nur Anzeigeberechtigungen für den Namensraum (HR:)
Zeile 74: Zeile 75:
#*HR_reviewer: Benutzer in dieser Gruppe können zusätzlich Dokumente genehmigen. Damit dies funktioniert, ist für den Namensraum die Funktion "FlaggedRevs" aktiviert. Diese Gruppen sind zunächst "leer".
#*HR_reviewer: Benutzer in dieser Gruppe können zusätzlich Dokumente genehmigen. Damit dies funktioniert, ist für den Namensraum die Funktion "FlaggedRevs" aktiviert. Diese Gruppen sind zunächst "leer".
#Jeder Gruppe auf der Seite <code>Spezial:PermissionManager</code> '''Rollen''' zuordnen. Danach hat jede Gruppe bestimmte Berechtigungen:
#Jeder Gruppe auf der Seite <code>Spezial:PermissionManager</code> '''Rollen''' zuordnen. Danach hat jede Gruppe bestimmte Berechtigungen:
##Die Gruppe HR_visitor:  <br />[[Datei:Rechteverwaltung 2.0.png|zentriert|600x600px|mini|Gruppe HR visitor|verweis=Special:FilePath/Rechteverwaltung_2.0.png]]<br />Der Administrator wählt die Gruppe "HR_visitor" aus und überprüft die Rolle "reader" nur im HR-Namensraum. Da die Leserrolle im HR-Namensraum jetzt der Gruppe "HR_visitor" zugeordnet ist, haben alle anderen Gruppen keine Anzeigeberechtigungen mehr für diesen Namensraum: <br />[[Datei:Rechteverw..png|zentriert|600x600px|mini|Verteilung der Reader Rolle im Wiki|verweis=Special:FilePath/Rechteverw..png]]<br />
## Die Gruppe HR_visitor:  <br />[[Datei:Rechteverw-HR-visitor.png|zentriert|600x600px|mini|Gruppe HR visitor]]<br />Der Administrator wählt die Gruppe "HR_visitor" aus und überprüft die Rolle "reader" nur im HR-Namensraum. Da die Leserrolle im HR-Namensraum jetzt der Gruppe "HR_visitor" zugeordnet ist, haben alle anderen Gruppen keine Anzeigeberechtigungen mehr für diesen Namensraum: <br />[[Datei:Rechteverw-HR-visitor.png|zentriert|600x600px|mini|Verteilung der Reader Rolle im Wiki]]<br />
##Die Gruppe HR_editor: Der Administrator wählt den Rolleneditor nur im Namensraum HR aus. Da die Editor-Rolle nicht alle Berechtigungen von der Reader-Rolle erbt, muss der Administrator zusätzlich die Reader-Berechtigungen prüfen: <br />[[Datei:Rechteverwaltu..png|zentriert|600x600px|mini|"Reviewer"-Berechtigungen|verweis=Special:FilePath/Rechteverwaltu..png]]<br />
##Die Gruppe HR_editor: Der Administrator wählt den Rolleneditor nur im Namensraum HR aus. Da die Editor-Rolle nicht alle Berechtigungen von der Reader-Rolle erbt, muss der Administrator zusätzlich die Reader-Berechtigungen prüfen: <br />[[Datei:Rechteverw-HR-editor.png|zentriert|600x600px|mini|"Reviewer"-Berechtigungen|]]<br />
##Die Gruppe HR_reviewer: Der Administrator wählt die Rolle des Reviewers nur für den Namensraum HR aus. Da die Rollen HR_visitor und HR_editor zuvor für die Gruppen HR_visitor und/oder HR_editor reserviert waren, müssen auch die Editor- und Leserberechtigungen erteilt werden: <br />[[Datei:Rechteverwalt..png|zentriert|600x600px|mini|Berechtigungen der HR_reviewer Gruppe|verweis=Special:FilePath/Rechteverwalt..png]]
##Die Gruppe HR_reviewer: Der Administrator wählt die Rolle des Reviewers nur für den Namensraum HR aus. Da die Rollen HR_visitor und HR_editor zuvor für die Gruppen HR_visitor und/oder HR_editor reserviert waren, müssen auch die Editor- und Leserberechtigungen erteilt werden: <br />[[Datei:Rechteverw-HR-reviewer.png|zentriert|600x600px|mini|Berechtigungen der HR_reviewer Gruppe|verweis=Special:FilePath/Rechteverw-HR-reviewer.png]]
#'''Benutzer'''  zu den richtigen Benutzergruppen '''hinzufügen''': Da Anna in der Lage sein muss, die Dokumente sowohl im HR- als auch im Main-Namespace zu bearbeiten und zu genehmigen, muss sie sowohl zum "HR_reviewer" als auch zu den Standard "Prüfer" -Gruppen hinzugefügt werden: <br />
#'''Benutzer'''  zu den richtigen Benutzergruppen '''hinzufügen''': Da Anna in der Lage sein muss, die Dokumente sowohl im HR- als auch im Main-Namespace zu bearbeiten und zu genehmigen, muss sie sowohl zum "HR_reviewer" als auch zu den Standard "Prüfer" -Gruppen hinzugefügt werden: <br />


[[Datei:Benuter hinzufügen.png|zentriert|450x450px|mini|Benutzer zu einer Gruppe hinzufügen|verweis=Special:FilePath/Benuter_hinzufügen.png]]
[[Datei:Benuter hinzufügen.png|zentriert|450x450px|mini|Benutzer zu einer Gruppe hinzufügen]]
<br />
<br />


Zeile 129: Zeile 130:
|Lea kann nur Seiten im HR-Namensraum lesen.
|Lea kann nur Seiten im HR-Namensraum lesen.
|-
|-
|Alle Mitarbeiter
| Alle Mitarbeiter
|Leser
|Leser
| -
| -

Aktuelle Version vom 21. Januar 2022, 15:51 Uhr

Konzepte[Bearbeiten | Quelltext bearbeiten]

Mehr als 100 Rechte sind erforderlich, um den Benutzerzugriff auf alle Wiki-Funktionen und Erweiterungen zu steuern.

Abhängig von den Aktionen, die Benutzer ausführen dürfen, hängen viele dieser Rechte zusammen und müssen folglich einem bestimmten Benutzertyp erteilt werden. Ein Benutzer mit Lesezugriff soll beispielsweise auch in der Lage sein, das Benutzerprofil zu ändern und Seiten zu einer Beobachtungsliste hinzuzufügen. Aus diesem Grund verwendet BlueSpice Rollen und Gruppen, um die Berechtigungen einzelner Benutzer zu verwalten.

Rechtesystem


Folgende Elemente sind Teil des Rechtesystems:

Element Funktion
Recht (right) ermöglicht eine bestimmte Aktion
Rolle (role) eine Kombination von Rechten (Rechte können nur über Rollen erteilt werden)
Benutzer (user) Entität in der Wiki-Instanzdatenbank. Hat einen eindeutigen Benutzernamen und eine eindeutige Benutzer-ID.
Gruppe (group) Eine Sammlung von Benutzern. Ein Benutzer ist einer oder mehreren Gruppen zugeordnet. Es gibt systeminterne Gruppen (die nicht entfernt oder umbenannt werden können) und benutzerdefinierte Gruppen. Bei benutzerdefinierten Gruppen besteht der Gruppenname oft aus der Rolle und einem Namensraum-Namen.
Namensraum (namespace) Berechtigungen können auf Namensraum-Ebene festgelegt werden. Aber generell nicht pro Seite.

Klassischer Ablauf der Rechtezuweisung[Bearbeiten | Quelltext bearbeiten]

Verrechtung
Schritt Funktion Beschreibung
1 Namensraumverwaltung Erstellen Sie über die Seite Spezial:NamespaceManager einen Namensraum .
2 Gruppenverwaltung Erstellen Sie über die Seite Spezial: GroupManager eine Benutzergruppe für jede Rolle, die Sie in diesem Nameensraum verwalten möchten. Der Gruppenname sollte einem bestimmten Muster folgen, z.B. <Namensraum_Name>_<Rolenname>.
3 Rechteverwaltung Verbinden Sie Gruppen, Rollen und Namensraume mit Spezial:PermissionManager (Rechteverwaltung). Folgen Sie einfach dem Namensmuster der Gruppe.
4 Benutzerverwaltung Weisen Sie den Gruppen Benutzer zu.

Anwendungsfall: Abteilungsinformationen verwalten[Bearbeiten | Quelltext bearbeiten]

Anna (HR Manager) und Phil (HR Specialist) pflegen alle Inhalte der Personalabteilung im Unternehmenswiki.

Einige Inhalte sind für alle Mitarbeiter sichtbar. Andere Inhalte müssen eingeschränkt und nur für das obere Management und Lea, die Rechtsberaterin des Unternehmens, sichtbar sein.

Nach Überprüfung der Inhalts- und Zugriffsanforderungen beschließt das Unternehmen, HR-Inhalte in zwei Nammensräume zu erstellen: Alle uneingeschränkten Inhalte werden in den Haupt-Namensräume des Wikis verschoben. Vertrauliche Informationen werden in einem benutzerdefinierten Namensräumen namens "HR" verwaltet.

Um diesen spezifischen HR-Anforderungen gerecht zu werden, muss der Wiki-Administrator die folgenden Schritte ausführen:

  1. Namensraum HR: auf der Seite Special:NamespaceManager erstellen:
    Namensraum erstellen
    Nach dem Hinzufügen des Namensraums wird der neue Namensraum nach drücken der "f5" Taste angezeigt.
  2. Die erforderlichen Gruppen auf der Seite Spezial:GroupManager erstellen:
    Benutzergruppen erstellen
    • HR_visitor: Benutzer in dieser Gruppe haben nur Anzeigeberechtigungen für den Namensraum (HR:)
    • HR_editor: Benutzer in dieser Gruppe können Seiten im Namensraum (HR:) erstellen und bearbeiten
    • HR_reviewer: Benutzer in dieser Gruppe können zusätzlich Dokumente genehmigen. Damit dies funktioniert, ist für den Namensraum die Funktion "FlaggedRevs" aktiviert. Diese Gruppen sind zunächst "leer".
  3. Jeder Gruppe auf der Seite Spezial:PermissionManager Rollen zuordnen. Danach hat jede Gruppe bestimmte Berechtigungen:
    1. Die Gruppe HR_visitor:
      Gruppe HR visitor

      Der Administrator wählt die Gruppe "HR_visitor" aus und überprüft die Rolle "reader" nur im HR-Namensraum. Da die Leserrolle im HR-Namensraum jetzt der Gruppe "HR_visitor" zugeordnet ist, haben alle anderen Gruppen keine Anzeigeberechtigungen mehr für diesen Namensraum:
      Verteilung der Reader Rolle im Wiki

    2. Die Gruppe HR_editor: Der Administrator wählt den Rolleneditor nur im Namensraum HR aus. Da die Editor-Rolle nicht alle Berechtigungen von der Reader-Rolle erbt, muss der Administrator zusätzlich die Reader-Berechtigungen prüfen:
      Rechteverw-HR-editor.png

    3. Die Gruppe HR_reviewer: Der Administrator wählt die Rolle des Reviewers nur für den Namensraum HR aus. Da die Rollen HR_visitor und HR_editor zuvor für die Gruppen HR_visitor und/oder HR_editor reserviert waren, müssen auch die Editor- und Leserberechtigungen erteilt werden:
      Berechtigungen der HR_reviewer Gruppe
  4. Benutzer zu den richtigen Benutzergruppen hinzufügen: Da Anna in der Lage sein muss, die Dokumente sowohl im HR- als auch im Main-Namespace zu bearbeiten und zu genehmigen, muss sie sowohl zum "HR_reviewer" als auch zu den Standard "Prüfer" -Gruppen hinzugefügt werden:
Benutzer zu einer Gruppe hinzufügen


Der Administrator fügt auch die anderen betroffenen Benutzer den richtigen Gruppen hinzu. Das Ergebnis ist folgende Berechtigungskonfiguration:

Benutzer ist in Gruppen Rollen im Namensraum HR Rollen im Haupt-Namensraum Beschreibung
Anna (HR manager) HR_reviewer

Gutachter

Rezensent

Leser

Editor

Rezensent

Leser

Editor

Anna kann jetzt Seiten sowohl im HR- als auch im Haupt-Namensraum lesen, bearbeiten und genehmigen.
Phil (HR-Spezialist) HR_editor

Editor

Leser

Editor

Leser

Editor

Phil kann jetzt Seiten sowohl im HR- als auch im Haupt-Namensraum lesen und bearbeiten
Edith (Geschäftsführerin) HR_viewer

Editor

Leser Editor Edith kann jetzt Seiten im HR-Namensraum lesen und Seiten im Main-Namespace bearbeiten.
Lea (Rechtsberatung) HR_viewer Leser - Lea kann nur Seiten im HR-Namensraum lesen.
Alle Mitarbeiter Leser - Leser Alle Mitarbeiter können Seiten im Haupt-Namensraum lesen. Sie können die Seiten im HR-Namensraum nicht lesen.


Darüber hinaus sollte der Administrator sicherstellen, dass Anna nicht die einzige Person ist, die Inhalte genehmigen kann. Andernfalls würde es ein Problem geben, wenn Anna im Urlaub ist oder keine Zeit zum Überprüfen von Seitenänderungen hat.

Weiterführende Links




Feedback zur Dokumentation ist im Community-Forum möglich.