Benutzerrechte - Zugriff auf "Einstellungen" verhindern?

[okapi]

Eine kurze Frage zur Benutzerrechte-Vergabe:
Gibt es eine Mögichkeit, Usern bzw. Gruppen den Zungang zu ihren Einstellungen zu verwehren?
Der Grund dafür ist, dass ich verhindern möchte, dass bestimmte User ihren Login-Namen oder ihr Passwort verändern können.

Gruß
Michael

[FrankH]

Dann hast du den Login-Namen wol für eine Gruppe von Leuten vergeben?
Vom Sicherheitsstandpun kt nicht gerade ideal, für den eher trägen Admin dagegen schon.

[okapi]

Dann hast du den Login-Namen wol für eine Gruppe von Leuten vergeben?
Vom Sicherheitsstandpun kt nicht gerade ideal, für den eher trägen Admin dagegen schon.

Danke für die Antwort, aber ich glaube, ich verstehe da was nicht. Wenn ich einen Benutzer anlege, muss ich ihn doch einer Gruppe zuordnen!?

Ich kann es zwar so einrichten, dass nur der Admin im Login-Container den Link zu  Einstelllungen und Verwaltung sieht, aber deren Pfade
http://eine-domain.com/wb/account/preferences.php
und
http://eine-domain.com/wb/admin/start/index.php
sind trotzdem für jeden Benutzer zugänglich, egal, wie wenig Rechte seine Gruppe hat.

Wie kann ich einen Benutzer ohne Gruppe anlegen?
Hab ich da was übersehen?

Michael

[FrankH]

Ich meinte, dass das der einzige Grund ist, den ich mir vorstellen kann, wenn jemand seinen Benutzern verbieten will, ihr Passwort zu ändern.
Wenn nur ein Benutzer ein Konto nutzt, macht es ja keinerlei Sinn, ihm das Ändern des Passworts zu verbieten, nicht wahr?
Beispiel: Benutzer merkt, dass ihm bei der Anmeldung jemand über die Schulter gesehen hat, also will und muss er das Passwort ändern. Warum willst du es ihm verbieten?

[okapi]

Also, es geht um ein Portal, wo Kunden Bilder und Unterlagen betrachten und downloaden können. Die meisten Seiten sind als "privat" definiert, das heisst, die einzelnen Kunden sehen nach dem Einloggen immer nur "ihre" Seiten. Das ist mit WB ja sehr leicht realisierbar.

Nun vergebe aber nur ich als Admin die Usernamen und Passwörter für die Kunden, die Selbst-Registrierung von Usern ist abgeschaltet.

Zu jedem Kunden, der nur Seiten-Ansichtsrechte hat, lege ich auch ein Kunden-Admin an, damit ich, ausgestattet mit Admin-Rechten, genau die Seiten sehe, die der jeweilige Kunde sieht, und diese bearbeiten kann.
(Der Grund: Würde ich mich als Website-Admin (USER_ID: 1) einloggen, würde ich ja immer ALLE Seiten sehen, was bei vielen Kunden total unübersichtlich wäre und auch die Menüs sprengen würde).

Vielleicht ist jetzt verständlich, warum ich nicht will, dass User ihre Zugangsdaten ändern können.

Ich fürchte nur, dass dies ohne Hack bei WB nicht möglich ist.
Vielleicht kann das jemand bestätigen?

Gruß
Michael

[FrankH]

Na das erklärt doch aber noch nicht, warum der Kunde sein PW nicht ändern dürfen soll?
Wenn er das ändert. ändert sich doch dein Kunden-Admin-PW nicht, wenn das ein anderes Konto ist?
Aus Sicherheitsperspekt ive ist es meines Erachtens nicht akzeptabel, jemandem das Ändern seines PW zu verbieten.

[mr-fan]

würde ich ja immer ALLE Seiten sehen, was bei vielen Kunden total unübersichtlich wäre und auch die Menüs sprengen würde).

mal dumme frage - hab das so verschachtelt noch nicht selbst angelegt....

2 benutzer für die gruppe ->eine mit bearbeitungsrechten (du) ->eine die gucken/downloaden darf....? weis nicht wie das aussieht...du könntest dir halt dann je nach kundennummer/name deinen admin erweitern also admin12 oder adminhuber
passwort ebenso

->kunde kann jederzeit sein pW ändern

->du hast zugriff und siehst die anderen menüs nicht...

mfg martin

[okapi]

würde ich ja immer ALLE Seiten sehen, was bei vielen Kunden total unübersichtlich wäre und auch die Menüs sprengen würde).

mal dumme frage - hab das so verschachtelt noch nicht selbst angelegt....

2 benutzer für die gruppe ->eine mit bearbeitungsrechten (du) ->eine die gucken/downloaden darf....? weis nicht wie das aussieht...du könntest dir halt dann je nach kundennummer/name deinen admin erweitern also admin12 oder adminhuber
passwort ebenso

->kunde kann jederzeit sein pW ändern

->du hast zugriff und siehst die anderen menüs nicht...

mfg martin

Genau so mach ich's auch, Martin! Zwei Benutzer, ein Kunde, ein Kunden-Admin.

Der springende Punkt ist nur - wie schon gesagt - ich will nunmal NICHT, dass der Kunde sein Passwort ändern kann.

Grund: der Kunde hat vielleicht auch einen Mitarbeiter, der schnell ein Dokument, einen Text, ein Bild braucht oder ansehen möchte, dann schick ich ihm die Zugangsdaten per E-Mail. Wenn diese aber von anderen Mitarbeitern des Kunden ständig geändert werden können, ergibt das ein Chaos.

Ich würde gerne wissen, ob das mit WB realisierbar ist.

Gruß
Michael

[BerndJM]

Hi,
des Menschen Wille ist sein Himmelreich

Wenn's dir nur um das Paßwort geht dann (ich gehe jetzt mal von WB2.7 aus) lösche doch einfach in der
admin/preferences/template.html
und der
account/preferences_form.php
die entsprechenden Abschnitte, also jeweils das komplette Formular und die drüber stehende h1 bzw. h2
und gut ist.
Must halt nur bei 'nem Update dran denken.

Grüßle Bernd

[FrankH]

Grund: der Kunde hat vielleicht auch einen Mitarbeiter, der schnell ein Dokument, einen Text, ein Bild braucht oder ansehen möchte, dann schick ich ihm die Zugangsdaten per E-Mail. Wenn diese aber von anderen Mitarbeitern des Kunden ständig geändert werden können, ergibt das ein Chaos.

Also doch ein Login für eine Gruppe von Leuten, wie ich schon in meiner ersten Antwort schrieb.

[okapi]

Viel Dank Bernd, das ist es!
Etwas brutal natürlich aber genau das, was ich wollte, und zwar ohne dass die User-Einstellungen von seiten des Admins eingeschränkt würden.

admin/preferences/template.html gibt's zwar offenbar bei WB 2.8 nicht mehr, aber ein simples Umbenennen von account/preferences_form.php reicht völlig.

@FrankH. Ja, du hast Recht, und meine Frage lautete auch so: "Gibt es eine Mögichkeit, Usern bzw. Gruppen den Zungang zu ihren Einstellungen zu verwehren?"

Herzlichen Dank an alle für eure Hilfe!

Gruß
Michael

[Ralph]

Hallo Leute,
WB ist ein wirklich bemerkenswertes CMS. Die oben angesprochene Problematik habe ich auch. Leider hat die Umbennenung von der genannten Datei keinerlei Auswirkungen.

Ich will mal versuchen das Prolem darzustellen: Wenn ich mich als Mitglied einer Gruppe, ohne Rechte, auf 'registrierte' Seiten einlogge kann ich über den Pfad /admin immer auf "Einstellungen" zugreifen, und hier liegt das Problem. Ich habe ca. 400 Mitglieder welche sich alle über den Benutzer "Mitglieder" einloggen. Alle haben daher das selbe Login. Alle Mitglieder dieser Gruppe sollen aber nur Lesen können und nicht 400 mal das Passwort oder die E-Mail über "Einstellungen" ändern können.

Die angesprochene Datensicherheit, das jeder angemeldete User seine persönlichen Daten ändern können sollte, stimmt schon, aber in diesen und ich glaube auch in dem beschriebenen Fall, meldet sich der jenige nicht selber an sondern bekommt die Zugangsdaten für die Gruppe zugewiesen.
Frage also wie bekomme ich hin, dass außer der Admin keinen Zugriff auf die "Einstellungen" hat.

Ich hoffe der Thread ist noch nicht so alt, dass auf eine Antwort noch zu hoffen ist.

Gruß Ralph

[Waldschwein]

Hallo Ralph,

sagen wir es so: Die Probleme zwecks (Daten)sicherheit sind bekannt, und soweit ich weiß sind die Entwickler gerade auch an der Berechtigungssache diese Tage dran.
Allerdings würde wohl eine Änderung in dem Fall auch gleich eine Änderung an der Datenbank mit sich bringen - ich weiß nicht, ob das gewollt ist, aber sinnvoll auf jeden Fall.

Gruß Michael

[Ralph]

Soweit, die Datensicherheit anzuzweifeln will ich garnicht gehen, dazu sind unsere Infos die wie bereitstellen wollen nicht "geheime Komandoasache". Ich will eigentlich nur, dass kein anderer Benutzer Zugriff auf den einen Menüpunkt "Einstellungen" hat außer der Admin. Einfacher gesagt, bin ich nicht als Admin angemeldet kommt "hierfür nicht berechtigt" bitte als "ADMIN" anmelden. So oder so ähnlich.

Gruß Ralph

[Luisehahne]

Hi,

ich versuche mich jetzt mal durch die ganzen Post durchzuwühlen

Der Grund dafür ist, dass ich verhindern möchte, dass bestimmte User ihren Login-Namen oder ihr Passwort verändern

Login-Name wird ab der 2.8.2 nicht mehr zu ändern sein. Ein User sollte immer in der Lage sein seine persönlichen Einstellungen zu ändern. Wobei der Display Name nicht doppelt vorhanden sein darf.

Neu: Passwortlänge min 6 Zeichen, Loginname min 3 Zeichen. Alte bestehende  Passwörter kleiner 6 Zeichen werden beim Login akzeptiert. Passwort Änderungen wiederrum auf min 6 Zeichen geprüft.

Ich will eigentlich nur, dass kein anderer Benutzer Zugriff auf den einen Menüpunkt "Einstellungen" hat außer der Admin

Es sind doch seine persönlichen Daten, Würde mich beschweren, wenn du ohne Zustimmung meine Daten änderst.

Alle Mitglieder dieser Gruppe sollen aber nur Lesen können und nicht 400 mal das Passwort oder die E-Mail über "Einstellungen" ändern können.

Wenn er Spass daran hat, Den Spass wird er aber schnell verlieren, glaube es mir. Jede Änderung erfordert zum Speichern sein bestehendes Passwort. Meine Meinung ein Admin hat in der persönlichen Einstellung nichts zu suchen.

Änderungen sind ja für den Admin noch über die Userverwaltung möglich. Falls der User Probleme hat.

Dietmar

P.S. Bin noch am Lesen

[DarkViper]

...
Wenn's dir nur um das Paßwort geht dann (ich gehe jetzt mal von WB2.7 aus) lösche doch einfach in der
admin/preferences/template.html
und der
account/preferences_form.php
die entsprechenden Abschnitte, also jeweils das komplette Formular und die drüber stehende h1 bzw. h2
und gut ist.
Must halt nur bei 'nem Update dran denken.
...

... ach ja.. und nicht vergessen, zukünftig dann alle Änderungen direkt in der Datenbank durchzuführen. Denn bei dieser Radikalmethode wird auch der Admin seine eigenenen Einstellungen nicht mehr ändern können..  


Ansonsten:
Ein Account (Username / Passwort) wird grundsätzlich an eine einzelne Person vergeben, die für alle mit diesen Daten durchgeführten Aktionen dem Anbieter gegenüber rechtlich verantwortlich ist. Werden die Daten innerbetrieblich weitergegeben und einer der Mitarbeiter baut Mist damit, so ist es das Problem dessen, der die Daten ausgehändigt bekommen hat.
Und sorry, wenn dessen Mitarbeiter Mist bauen, dann zeugt das höchstens von fehlender Arbeitsmoral und nich vorhandenem Verantwortungsbewus stsein in dieser Firma.... und mit der möchte ich dann lieber keine geschäftliche Verbindung haben.

WB wird grundsätzlich keine entsprechende Funktion anbieten, es aber jedem (wie bei Opensource üblich) freigestellt lassen, den Code seiner eigenen Installation nach Herzenslust umzubauen, allerdings auch die Folgen selbst zu tragen..

[Ralph]

Erst mal Danke für die schnellen Antworten.

Ich Glaube das Problem mit den Benutzerrechten liegt nicht so tief wie hier behandelt wird. Wenn jemand sich selber anmeldet und seine Zugangsdaten vergibt habt Ihr sicher recht dann soll er auch seine eigenen Daten verändern können.

Was aber nun wenn der Admin eine Gruppe und einen Standardbenutzer einrichtet um gewisse Inhalte für diese Gruppe lesbar bereitzustellen, da macht es wenig Sinn wenn jeder "Gast" die Standardzugangsdate n nach belieben ändern kann.

[Ralph]

Danke für den Hinweis. Leider nichts geholfen. Komisch ist, wenn ich
array(ADMIN_URL.'/preferences/index.php', '', $MENU['PREFERENCES'], 'preferences', 0)
auskommentiere tut sich garnichts. Verstehe ich nicht.   

[Luisehahne]

da macht es wenig Sinn wenn jeder "Gast" die Standardzugangsdate n nach belieben ändern kann.

Da hast du natürlich recht, abe rwie lösen. Ich schlaf mal drüber, kann aber nichts versprechen, da dies nie vorgesehen war.

Dietmar

[Waldschwein]

da macht es wenig Sinn wenn jeder "Gast" die Standardzugangsdate n nach belieben ändern kann.

Da hast du natürlich recht, abe rwie lösen. Ich schlaf mal drüber, kann aber nichts versprechen, da dies nie vorgesehen war.

Dietmar

Eigentlich ganz einfach: Neue Option bei den Gruppen einführen "Einstellungen" Ja / Nein. "Problematisch": Braucht Datenbank Änderung.

Gruß Michael

[Luisehahne]

Hi,

Ich habe aber eine für diesen Fall schnelle Schmuddel-Lösung, die bei jedem upgarde natürlich wieder verloren geht, aber schnell zu ergänzen geht. Geh in den Ordner framework und rufe die class.admin.php auf.

Suche

Code:

// Print the admin header
function print_header($body_tags = '') {

nach create menu, kommentiere wie folgt aus

Code:

// Create the menu
$menu = array(
array(ADMIN_URL.'/pages/index.php', '', $MENU['PAGES'], 'pages', 1),
array(ADMIN_URL.'/media/index.php', '', $MENU['MEDIA'], 'media', 1),
array(ADMIN_URL.'/addons/index.php', '', $MENU['ADDONS'], 'addons', 1),
/* array(ADMIN_URL.'/preferences/index.php', '', $MENU['PREFERENCES'], 'preferences', 0),*/
array(ADMIN_URL.'/settings/index.php', '', $MENU['SETTINGS'], 'settings', 1),
array(ADMIN_URL.'/admintools/index.php', '', $MENU['ADMINTOOLS'], 'admintools', 1),
array(ADMIN_URL.'/access/index.php', '', $MENU['ACCESS'], 'access', 1)
);

Wie gesagt nur eine Behelfslösung, die ich ungerne unterstütze.

Dietmar

@edit
gerade erst gesehen, dass dir schon jemand den Tip gegeben hat, wahrscheinlich hast du das verkehrt auskommentiert, musst das als Komenntarblock auskommentieren

[Ralph]

Danke Dietmar,

habe es mit /*...*/ auskommentiert. Kein Erfolg, Formular "Einstellungen wird angezeigt. Anschließend hab ich die Zeile komplett gelöscht, auch ohne Erfolg. Verstehe ich nicht, spätestens an dieser Stelle dürfte es ja nicht weiterlaufen. 

[Luisehahne]

Hi,

Hmmm, ich hatte es so bei mir getestet und Einstellung war komplett im Menue weg. Welches Backend Theme benutzt du. Vielleicht ist der Menupunkt in der header.htt hardcoded. Schau mal nach.

Dietmar

[Ralph]

Jetzt bin ich mehr als überfragt, Backend wird das benutzet was bei der Standardinstallatio n in Deutsch da ist. Version ist 2.8.
Ich hab schon versucht eine Datei header.htt zu finden und hier im Forum gesucht aber nicht so richtig was gefunden.

[Luisehahne]

Findest du im Ordner Templates, alles was mit ?..._theme endet sind Backend Theme

Dietmar