[** ZUM TEIL GELÖST **] superadmin–>Rechtesystem?
-
Hallo idoit-Support-Team und Forummitglieder,
Rechtesystem:
Wenn ich mehrere Mandaten anlege, dann besitzt jeder Mandat seine von idoit vorgegebenen User und Gruppen.
(admin,author,editor,reader)
Beim Einloggen als admin kann ich alle Mandaten auswählen, welche auch diesen Account mit den selben Zugangsdaten besitzen.
Nun kann in idoit_pro z.B. ein editor von Mandant B die Zugangsdaten des admin von Mandant B ändern,
somit besitzt der admin des Hosters (admin / idoit_data) keinen Zugang zu Mandant B mehr (z.B. Hoster-Support).Wie konfiguriere ich einen Superadmin , der volle rechte auf alle Mandanten besitzt,
ohne dass seine Daten von admin´s/editoren einzelner Mandanten verändert werden können.MfG
Schmidt -
Hallo Schmidt,
ein "Superadmin" existiert in i-doit nicht - Du kannst allerdings deinen Personen / Personengruppen das Recht entziehen die "Login" Kategorie zu ändern.
Viele Grüße
Leo -
Hallo LFischer,
Ich suche vergeblich unter Verwaltung–>Rechtesystem->??? (die Kategorie LOGIN)
Ich vermute mal ich bin dort total verkehrt.
Wie bekomme ich es hin ,dass z.B. ein Author die Kategorie->Login garnicht sieht.
Oder besser noch, dass ein Author das komplette Modul Rechtesystem nicht sieht.Was möchte ich erreichen:
Es dürfen nur admins das Modul Rechtesystem sehen.
Alle unteren Gruppen und deren Mitglieder sollen die Logindaten der User und Gruppen nicht ändern/sehen dürfen.
(z.B. Author,Editor,Reader dürfen das Rechtemodul nicht sehen/b.z.w. Logindaten der User/Gruppen ändern).Bräuchte mal eine Kurze Anleitung, wie ich es umsetzten kann.
MfG und eine gesundes neues Jahr 2014
Schmidt -
Hallo,
Was möchte ich erreichen:
Es dürfen nur admins das Modul Rechtesystem sehen.dafuer kannst Du als Admin in der Rechte-Darstellung mal das Modul Rechtesystem laden, standardmaessig sollte hier nur die Personengruppe Admin entsprechende Rechte vergeben haben. Sollte dies nicht der Fall sein kannst Du die ueberfluessigen Rechte ueber das Modul Rechtesystem den Personengruppen entziehen.
Alle unteren Gruppen und deren Mitglieder sollen die Logindaten der User und Gruppen nicht ändern/sehen dürfen.
(z.B. Author,Editor,Reader dürfen das Rechtemodul nicht sehen/b.z.w. Logindaten der User/Gruppen ändern).Ich bezeichne es als Bug, dass z.B. ein Editor Logindaten von einem anderen User aendern kann (getestet im Demo-System), ein zusaetzliches Modul im Rechtesystem waere hier bestimmt von Vorteil.
Gruss,
jkondek -
Hi All,
irgendwie tu ich mich schwer, das ganze Rechtesystem zu verstehen.
Das Rechtesystem im PDF des Handbuches aus der Akademie ist nur Rudimentär beschrieben.
Ich habe jetzt mal als Test einen User/editor1 und eine Gruppe/editorengruppe erstellt ohne Rechtevergabe.
Das Login des editor1 funktioniert und dieser sieht nur im Header das idoit-Logo und den Menüpunkt my-doit.
Jetzt vergebe ich der editorengruppe das Recht die CMDB zu sehen und speichere die Einstellung ab.
Jetzt kann der eingeloggte User/editor1 die Objekte und alle Menüs im Header sehen (ok soweit).
Lösche ich der editorengruppe das Recht wieder die DMDB zu sehen,
dann sieht der User/editor1 nach einem ausloggen und neu einloggen die Objekte und Menüs immernoch.
Ebenso verhält es sich mit anderen Einstellungen. Beim entziehen der Rechte bleiben diese nach dem
aus-, einloggen des Users editor1 erhalten.
Ich habe schon den Cache und Verlauf des Browsers (IE & FF) gelöscht, aber ohne Erfolg.Werden die Rechteeinstellungen im idoit 1.2.3pro irgendwo gecachet?
Komme einfach nicht Voran ein vernünftiges Rechtesystem aufzubauen.
Ich tu mich echt schwer dieses Rechtesystem zu verstehen.MfG
Schmidt -
Probier mal unter Verwaltung > Systemtools > Cache/Datenbank die Funktion "Rechtesystem Cache leeren", dadurch werden eventuelle Cache-Dateien entfernt.
Gruss,
jkondek -
Hi jkondek,
hey die Anwort kam schnell und war genau Richtig.
Hat funktioniert.
Rechtecache geleert und das Login des editor1 ist so wie es sein soll.Danke.
Ich werde bestimmt noch mehr Rechtesystemfragen haben und posten.
Denn das hilft vielliecht auch anderen Forummitgliedern ,die ein momentanes Blackout (wie ich) haben.Nun steht das Problem mit dem Superadmin noch aus.
Da wir eine Hostinglizenz erwerben wollen, sollen Admins anderer Mandatoren
nicht den Usernamen und Passwort des Hoster-Admin Ändern/Löschen dürfen.MfG
Schmidt -
Die Moeglichkeit mit einem Superadmin ist bereits verneint worden, daher habe ich mich noch mal genauer mit dem Rechtesystem befasst.
Da die Objekttypen-Gruppe "Kontakte" ein Bestandteil der CMDB sind, haben alle User, welche mindestens das Recht Bearbeiten im Modul CMDB besitzen, die Chance, User-Passwoerter zu aendern.
Das ist aktuell (Version 1.2.3) leider nicht ohne weiteres zu beheben, da es im Modul CMDB fuer den User editor (und alle User mit hoeheren Rechten) folgendes Recht gibt:Lesen & Bearbeiten bezieht sich auf Objekte vom Typ Alle
Mit dieser Bedingung koennte man jetzt hingehen und anstelle des Parameters "alle" jeden einzelnen Objekttypen angeben, mit Ausnahme der Personen (und eventuell Personengruppen, Firma, Organisation, …). Das scheint mir eine arbeitsintensive Loesung, welche ich persoenlich nicht bevorzuge.
-
Hi jkondek,
dass musste ich auch festgestellen.
Ich komme z.Z. (v.1.2.3pro) nicht herum die recht umständliche Rechtevergabe anhand der einzelnen Objekttypen abzuarbeiten.
Ist extrem viel Arbeit.
Als Lohn erhalte ein Rechtesystem bei dem nicht jeder User/Editor oder Editorgruppe die Admin-Accounts /Verwaltung sieht,
aber trotzdem in den Objekttypen Infrastruktur,Software,Andere alles Erstellen,Ändern und Löschen darf.Vielleicht kommt in einer zukünftigen Version ein Update für diesen sehr langen und zeitaufwändigen Umweg.
DANKE
MfG
Schmidt -
Vielleicht kommt in einer zukünftigen Version ein Update für diesen sehr langen und zeitaufwändigen Umweg.
Vermutlich zum i-doit 1.4 Release… (April/Mai?)
Folgende Ueberlegung:
Eine Multi-Auswahl fuer Kategorien im Rechtesystem, dadurch muesste man nicht mehr alle Objekttypen einzeln selektieren, sondern koennte direkt mehrere waehlen und entsprechend die Rechte vergeben.Ich bin gespannt ;D
Gruss
jkondek
