User / Gruppen Rechte nachträglich geradeziehen

    Hallo,

    ich habe Plone 3.1.6 seit einiger Zeit im Einsatz und habe User einfach angelegt, ohne mich besonders um deren Rechte zu kümmern.
    Jetzt tue ich mich schwer, die Rechte zu kontrollieren.

    Mein Ziel ist es, den Großteil der User in eine Gruppe zu packen und ihnen in allen Ordnern des gesamten Plones zu erlauben, Ordner und Objekte zu erstellen, nur ihre eigenen zu ändern oder zu löschen und alles zu sehen.

    Ich schaffe es nicht, den Usern das Recht wegzunehmen, Objekte anderer zu löschen oder zu ändern.

    Unter /Plone/prefs_groups_overview gibt es ja keine Checkbox für löschen, sondern nur für Hinzufügen, Bearbeiten, Benutzer, ...
    Genauso ist es unter /Plone/prefs_users_overview.

    Unter /Plone/ordner-1/@@sharing gibt es auch nur Checkboxen für hinzufügen, bearbeiten, ansehen, ...

    Unter /Plone/manage_access - "Delete objects" sind nur Editor, Manager und Owner berechtigt zu löschen.

    Seltsam finde ich, dass unter /Plone/acl_users/portal_role_manager/manage_roles die, auf die selbe Weise angelegten, User unterschiedlich auf Contributor, Member, Reader und Reviewer aufgeteilt sind.
    Contributor (Administrators,Authenticated Users (Virtual Group)) sind die meisten.
    Reader und Reviewer sind nur die geworden, die einen Usernamen mit M - Z beginnend haben.

    Wo muss ich das angehen, um mein Ziel zu erreichen?

    Danke für Eure Hilfe!

    Hallo Schnaxl,

    so ähnlich, wie Du das vor hast, machen wir das auch immer.

    Jeder User wird einer Gruppe zugeordnet, die genauso heißt, wie der Ordner, den die Gruppe bearbeiten können darf. In dem Ordner selbst, also nicht auf der Konfigurationsebene, werden der Gruppe dann die gewünschten Rechte zugewiesen.

    Das hat den Vorteil, dass man einen User, der einen bestimmten Ordner bearbeiten können soll, nur in die entsprechende Gruppe schieben muss. Unter "Gruppenmitgliedschaften" kann man dann auf einen Blick sehen, wo der User überall Rechte hat. Außerdem muss man dann auf der Ordnerebene nicht mehr allen Usern einzeln die entsprechenden Rechte zuweisen.

    ulli

    Hallo Ulli,

    vielen Dank für diese Antwort. Die hat mich schon deutlich weiter gebracht.

    Jetzt möchte ich noch gerne eine globale Funktion entfernen und weiss nicht genau, wie man das macht.

    Es geht darum, dass jeder auf der obersten Ebene einfach Objekte/Ordner hinzufügen kann. (Siehe Screenshot.) Wie kann man das ausschalten?

    PS: Mir ist gerade aufgefallen, dass das Problem immernoch da ist.
    Auch wennn ich einen User der neuen Gruppe Studenten zuordne, kann er trotzdem noch die Artikel von einem anderen User löschen.
    Wie kann ich das verhindern?

    Vielen Dank!

    Einmal editiert, zuletzt von schnaxl (16. September 2010 um 09:41)

    Hallo,

    in der ZMi kann man alle Rechte vollkommen granular setzen, aber vorsicht, Wenn man zuviele Rechte ändert kann man sich selber aussperren. collective.cassandra kann ggf. helfen.

    Gruss Pumukel

    Die beste Informationsquelle sind Leute, die versprochen haben, nichts weiterzuerzählen.

    Marcel Mart
    frz. Schriftsteller

    Hallo Pumukel,

    kannst du mir bitte sagen, wie man in der ZMI die Rechte für einen Ordner in Bezug auf eine Gruppe setzen kann, so dass die User nicht die Beiträge anderer User löschen können?

    Danke!

    Das hat nichts mit der Gruppe zu tun, du nimmst das löschen Recht allen ausser owner und manager, wenn die Gruppe das hätte, würdest du ja anderen Mitgliederen einer gruppe erlauben Artikel andere zu löschen. Den Manger sollte man llassen, damit der admin auch löschen kann.

    Den Security Tab denke ich hast du ja gefunden: http://Servername/manage_access

    bei deleting Object das aquire und Editor rausnehmen.

    Gruss Pumukel

    Die beste Informationsquelle sind Leute, die versprochen haben, nichts weiterzuerzählen.

    Marcel Mart
    frz. Schriftsteller

    Hallo, danke, die Einstellung habe ich gemacht.

    Es ist trotzdem noch so, dass ein User, den ich vor langer Zeit für mich angelegt habe einen Eintrag von einem anderen löschen kann.
    Vor ein paar Tagen habe ich einen zusätzlichen Testuser für mich angelegt. Der kann den selben Eintrag nicht löschen.

    Beide User haben überall wo ich nachsehe die gleichen Rechte.
    In /Plone/acl_users/portal_role_manager/manage_roles sind sie beide Contributor, Member, Reader und Reviewer.

    Ansonsten haben sie auch die selben Rechte und sind in den selben Gruppen:

    Wo könnte noch ein Unterschied zwischen den beiden liegen?

    Danke!

    Du must wirklich in der ZMI die Sachen ändern, das aquire ist für die Vererbung,

    ZMI und Plone Frontend sind hier wirklich grund verschiedene Sachen.

    Gruss Pumukel

    Die beste Informationsquelle sind Leute, die versprochen haben, nichts weiterzuerzählen.

    Marcel Mart
    frz. Schriftsteller

    Hi Pumukel,

    bei der ZMI-Einstellung die du in deinem Screenshot gemacht hast habe ich Acquire und Editor rausgenommen, wie du es vorgeschlagen hast.

    Zitat

    Hallo, danke, die Einstellung habe ich gemacht.

    Es ist trotzdem noch so, dass ein User, den ich vor langer Zeit für mich angelegt habe einen Eintrag von einem anderen löschen kann.

    Es muss an was anderem liegen.

    Viele Grüße! Max

    Hm, meine "normalen" User sind alle nur Member.

    Bedenke auch, dass die Nutzer ihre selbst erstellten Sachen in der Regel immer bearbeiten können.

    Was die Nutzerrechte angeht bietet Plone, gerade in den älteren Versionen, immer mal Überraschungen. Wenn es nicht allzu viele Nutzer sind, würde ich die alle einfach mal neu anlegen.

    ulli

    Ich glaube, wenn ich bei allen Ordnern und Unterordnern das Häckchen " Berechtigungen von übergeordneten Ordnern übernehmen" im Bereich "Zugriff" rausnehme, dann geht es. Schade nur, dass ich das jetzt bei jedem Ordner im ganzen System einzeln machen muss. Grüße und Danke!

    Stimmt, der Hinweis wäre wichtig gewesen ;).

    Das musst Du Dir bei der Rechtevergabe auf der Ordnerebene immer überlegen, ob Du die übergeordneten Rechte übernehmen möchtest.

    ulli

    "Berechtigungen von übergeordneten Ordnern übernehmen" zu deaktivieren bringt mir leider doch nicht in jedem Fall die Lösung (Entziehen der Lösch-Rechte).
    Vor allem, müsste ich jedes Objekt manuell ändern.
    Aber wie gesagt, das ist es auch (noch) nicht.

    Hmm, hier hast du in der Tat ein Problem was mit der Anzahl an Rechten zu tun hat. Thoretisch müsstest du tatsächlich für jedes OPbjekt in Zope nachträglich die Rechte Ändern, da dort keine Vererbung vorgesehen ist. Die Manuell zu lösen ist kaum handlebar. Ein Python Skript aber kann dies ohne Probleme für dich erledigen. und damit wärst du dann auch die Löschrechte für alle los.

    Gruss Pumukel,

    Die beste Informationsquelle sind Leute, die versprochen haben, nichts weiterzuerzählen.

    Marcel Mart
    frz. Schriftsteller

    Hi,

    wie steige ich den am besten in Python für Plone/Zope ein?

    Ich weiß nicht, wo ich anfangen soll. Ich wüsste nicht mal, wo ich ein Skript ablegen/ausführen sollte.

    Gibt es eine passende Doku?

    Danke und Grüße

    Zitat

    War es nicht schon unter Plone 3.1 üblich globale Rechte in der Konfiguration zu setzen?

    Also ich kann dir deine Frage nicht beantworten, aber wenn du ein bisschen im Forum suchst, dann wirst du bestimmt fündig. Dein Link hilft mir leider nicht weiter.