Frage zur Struktur der Rechtevergabe

[Mike Schneider]

Hallo allerseits,

ich möchte ein sehr verzweigtes Forensystem mit einigen verschiedenen Benutzergruppen aufbauen.
Damit ich sicher gehen kann, ob ich hinsichtlich der Rechtestruktur "auf dem richtigen Weg bin", wollte ich mein System hier
kurz vorstellen und hoffe auf ein paar Statements von den Profis.

Grob die Struktur:

Forum 1 (alle=read)
--- Forum 1-1 (X=no access, A=readwrite, B=read)
--- Forum 1-2 (X=no access, A=readwrite, B=read, C=readwrite)
--- Forum 1-3 (X=no access, A=readwrite, B=read)

Forum 2 (alle=read)
--- Forum 2-1 (X=no access, C=readwrite, D=read)
--- Forum 2-2 (X=no access, C=readwrite, D=read, A=read)
------Forum 2-2-1 (X=no access, C=readwrite, D=read, A=readwrite)
--- Forum 2-3 (X=no access, C=readwrite, D=readwrite)

Forum 3 (X=no access, B+C+E=read)
--- Forum 3-1 (X=no access, E=readwrite, B=read, C=read)
--- Forum 3-2 (X=no access, E=readwrite, C=read, B=readwrite)

Ich habe folgende Benutzergruppen im Einsatz:
Registrierte Benutzer (X) (user1 bis user 10)
UserG-1 (A) (user1, user2)
UserG-2 (B) (user1, user3, user4)
UserG-3 (C) (user5, user6)
UserG-4 (D) (user3, user5, user7, user8, user9)
UserG-5 (E) (user1, user5, user10)

Die angedachten Zugriffsrechte sind am obigen Baum vermerkt.

Ich sehe bei mir die meisten Veränderungen bei den User und weniger bei der Struktur des Forums, weshalb ich die Rechtevergabe
nahezu ausschließlich über Foren-Rollen regle (10 Forenrollen von "no access" bis "full access").

Der Workflow sieht wie folgt aus:
- User registriert sich und gelangt in die Systemgruppe "Registrierte Benutzer".
- Danach entscheidet ein Admin, in welche der 5 Usergruppe A-E er weiterhin aufgenommen wird
- Die Zugehörigkeit zu Usergruppen wird sich häufig ändern

Die Rechtezuweisung erfolgt:
- jedes Forum erhält die dort irgendwie zugriffsberechtigten Benutzergruppen
- jede dieser eingetragenen Gruppen wird eine Foren-Rolle zugewiesen
- jeder User hat Standardbenutzerrechte nach Systemrolle zugewiesen

Ich habe das mal in verkürzter Form so aufgebau und getestet - hat soweit funktioniert.

Allerdings stelle ich mir die folgenden Fragen:
- ist das System bei wachsender Useranzahl und damit sicherlich auch wachsender Anzahl Gruppen noch handelbar ?
- ist der Aufwand ein zusätzliches Forum hinzuzufügen (also Forum 4 mit Unterforen) sehr groß hinsichtlich der Rechtevergabe ?
- oder: gibt es einen viel besseren Weg, das angedachte Komzept umzusetzen ?

Anwendungsbereich:
NGO zur Abbildung von a) allgem. Diskussionsbereich, b) themenspez. Arbeitsbereich, c) kurzzeitige Arbeitsgruppenbildung

Wäre wirklich sehr nett, wenn ich ein paar konstruktive Hinweise erhalten könnte, bevor ich das ganze Forum nach diesem System aufbaue und dann im prakt. Betrieb merke, dass die Administration ein fulltime Job wird.

Vielen Dank.
Mike

[gn#36]

Grundsätzlich würde ich hier sagen: Im Zweifel kannst du einfach ausprobieren ob dein Konzept passt oder nicht. Ein wichtiger Aspekt dabei sind nämlich auch die Nutzer, die mitziehen müssen. Wenn die trotz Spezialforen alles in ein "Allgemeines" Forum posten, dann nützt der ganze Kram nichts, genauso wenn die Leute lieber Mails schrieben.

Wichtig und Sinnvoll ist schon mal, dass du mit Gruppen bei der Rechtevergabe arbeitest und du solltest dir außerdem für deine benötigten Berechtigungskonfigurationen jeweils eine individuelle Berechtigungsrolle anlegen die du verwendest. Also z.B. neben den bekannten "Kein Zugang", "Nur lesend" etc. vielleicht noch eine "Vorstand" die die Rechte des Vorstandes enthält. Natürlich kannst du auch die existierenden Rollen auf deine Bedürfnisse anpassen. Was ich aber nie machen würde, ist die Rechte für irgend ein Forum individuell pro Gruppe zu vergeben. Wenn du dann nämlich mal irgendwas ändern musst (z.B. weil Feature X hinzugekommen ist, oder weil Recht Y mißbraucht wird und du es daher abschalten willst), dann muss du das bei allen Foren von Hand ändern. Wenn du Rollen nutzt, brauchst du nur die Rolle anpassen, das spart eine Menge Zeit.

In manchen Fällen macht es Sinn, die Gruppen spezifisch für bestimmte Forengruppen anzulegen, in manchen Fällen ist es besser, die Gruppen für einen speziellen Zweck vorzusehen und die Forenrechte darauf anzupassen, in vielen Fällen ist das beste eine Kombination aus beidem. So vermutlich auch bei dir: Leg' dir ein paar Gruppen an, die eure interne Struktur möglichst gut abbilden und konfiguriere darüber alle Foren, die sich nicht häufig ändern und alle, die perfekt auf diese Struktur passen. Hier kannst du einfach User einfügen und entfernen, um die Berechtigungen darzustellen. Wenn du beispielsweise 3 Abteilungen und einen Vorstand hast, die jeweils unterschiedliche Rechte haben sollen, dann würde ich genau diese als Gruppen anlegen. Alle Foren, auf die die kompletten Abteilungen zugreifen können sollen konfigurierst du über diese Gruppen. Zusätzlich würde ich ggf. über Moderatorengruppen nachdenken. Wenn es jetzt Foren gibt, auf die einzelne Mitglieder der Abteilungen zugreifen sollen, aber nicht alle, dann würde ich eine Gruppe speziell für diese Arbeitsgruppe anlegen und für das Forum auch nur genau dieser Arbeitsgruppe Rechte geben. Wenn der Rest lesen soll, dann musst du wohl auch den restlichen Gruppen genau dieses Recht einräumen, aber ansonsten würde ich mir das sparen, denn jeder der keine Rechte hat, hat ja keinen Zugriff.

Ein neues Forum anzulegen ist immer dann einfach & schnell, wenn man die Berechtigungen von einem anderen Forum kopieren kann. Sprich: Einer bestehenden Gruppe von Foren mit den gleichen Rechten ein weiteres hinzuzufügen geht schnell. Wenn du jedes Mal neue Rechte konfigurieren musst dann frisst das Anlegen eines neuen Forums Zeit. Auch da geht es aber schneller, wenn du nur einer Gruppe Rechte geben musst als wenn du vielen Gruppen Rechte geben musst. Wenn du dafür aber die Gruppe neu anlegen musst, dann gib lieber den bestehenden Gruppen entsprechende Rechte, wenn die Struktur der Gruppen auf die gewünschten Rechte passt. Nutze so wenige Gruppen wie möglich, aber so viele wie nötig. Dabei kannst du auch durchaus Gruppen zusammenfassen. Gib den Gruppen auch keine unnötigen Rechte. Wenn alle User in Gruppe A auch in Gruppe B sind und Gruppe A für Zusatzrechte da ist, dann solltest du auch nur diese Zusatzrechte für A vergeben und nicht zusätzlich noch die Rechte, die die User bereits über Gruppe B erhalten. Anders sieht das natürlich aus, wenn die Gruppen für verschiedene Dinge da sind und die Benutzerübereinstimmung zufällig ist. Bei Änderungen findest du so ggf. Fehler schneller.

Worüber ich auch nachdenken würde an deiner Stelle ist die sinnvollere Nutzung der Gruppe "registrierte Mitglieder". Wenn du die Registrierung auf "Freischaltung durch Admin" stellst, dann kannst du kontrollieren, wer in der Gruppe landet und wer ausgesperrt bleibt (es sei denn du willst noch weitere Foren nutzen als die aufgelisteten, die dann für "registrierte Mitglieder" zugänglich sind). Ich vermute mal, dass es Foren geben soll, in denen praktisch alle Mitglieder diskutieren dürfen. Dafür kannst du die Gruppe dann prima nutzen, ohne dass du ihre Mitglieder mehrfach verwaltest. Wäre in deiner vorgeschlagenen Konfiguration so wie ich das sehe nicht möglich, weil es kein Forum für alle gibt, aber wenn es das geben sollte, kannst du darüber mal nachdenken.

Was ebenfalls sinnvoll ist, ist die Verteilung von Aufgaben. Ich weiß nicht wie groß eure Gruppe ist, aber ich vermute mal, dass du nicht jede Person kennst, die bestimmte Berechtigungen erhalten soll, ggf. sollst du sogar selbst nicht die Berechtigung für alle Foren haben. Heißt, du müsstest bei jeder Anmeldung erst mal prüfen, wer das ist, dann was er darf. Das frisst Zeit. Hier macht es Sinn, Gruppenleiter zu ernennen, die selbst über die Aufnahme von Mitgliedern in bestimmten Gruppen entscheiden können. Hat mir bei meinem Vereinsforum schon viel Arbeit erspart (hier gibt's z.B. Teamgruppen, die von den jeweiligen Trainern selbst verwaltet werden), denn die Gruppenleiter kennen ihre Leute, haben die Leute auf das Forum hingewiesen und wissen daher, mit wem sie ggf. klären müssen, wer sich da angemeldet hat. Wenn das Erstellen von neuen Foren eine regelmäßige Aufgabe ist, dann kannst du auch hier überlegen, dir hier von einer weiteren Person helfen zu lassen.

Selbst wenn du die Gruppen selber managen willst kannst du dir helfen lassen: Bitte die Nutzer, sich nach der Registrierung nicht alleine auf dich zu verlassen, sondern bitte sie, sich selbst in den jeweils passenden Gruppen anzumelden. Natürlich geht das nur, wenn die Gruppen öffentlich sichtbar sind, aber in den meisten Fällen lässt sich das realisieren, vielleicht mit ein paar Ausnahmen, die man lieber versteckt halten möchte. Wenn die User das machen, dann brauchst du anschließend nur noch die Listen durchgehen und die Benutzer bestätigen, die sich in der korrekten Gruppe angemeldet haben anstatt selber die Leute manuell in die Gruppen zu schieben. Wenn du mit offenen Arbeitsgruppen arbeitest, denen eh jeder beitreten darf, dann kannst du auch überlegen, ob du offene Benutzergruppen für die entsprechenden Foren nutzt, denen jeder selbst beitreten kann. Das geht insbesondere, wenn du alle registrierten Nutzer als Admin freischalten musst, wenn du nicht willst, dass deine Foren öffentlich sichtbar sind (das wären sie sonst nämlich effektiv, wenn die Leute ohne Freigabe Gruppen beitreten können, die Foren freischalten). So hältst du die Forenliste für die User übersichtlich, aber hast gleichzeitig auch nicht viel mit der Nutzerverwaltung zu tun. Grundsätzlich gilt eh: Je mehr Vertrauen du in deine User stecken kannst, desto weniger Arbeit wirst du haben. Wenn ihr also eine NGO seid, wo jeder jeden kennt, dann ist die Frage, wie restriktiv die Rechte überhaupt sein müssen. Eine offenere Konfiguration macht in der Regel weniger Arbeit.

[Mike Schneider]

Vielen Dank gn#36 für das sehr ausführliche Feedback - da waren einige Dinge dabei, die mich nun zum "Nachdenken" gebracht haben.

Für das Forum wird es bis auf Weiteres erst einmal mich als den "techn. Admin" geben, daneben 7 Personen, die die globale Moderation übernehmen (für alle Foren zeitlich aufgeteilt).
Das Einordnen in div. Usergruppen kann von den Mod durch entsprechende admin. Rechtevergabe mit erledigt werden.

Die "Registrierte Benutzer" wird autom. durch die Registrierung gefüllt (Email-Verifikation). Es gibt 1 Forum (mit Unterforen), dass der allgemeinen Diskussion vorbehalten ist und bei der es kein Problem gibt, wenn auch mal "ungebetene User" kurzzeitig mitschreiben. Daneben gibt es noch 1 Forum, in dem jeder lesen kann - dass quasi als Infobrett der NGO parallel zu Facebook benutzt wird (Rechte: Registrierte Benutzer=lesen). Ansonsten hat diese Benutzergruppe auf den meisten anderen Foren nur das Recht, "das Forum zu sehen", aber weder Inhalte lesen noch posten. Das dient auch als Feature an die User, sich interessante Foren selbst auszusuchen und über ein Feedbackformular dann den Beitritt dort beantragen können.

Die Gruppeneinteilung wurde m.E. notwendig, weil es von bestimmten NGO-eigenen "Rahmenbedingungen" abhängt, ob ein User in entsprechenden Foren LESEN, ANTWORTEN, NEUE THEMEN ERSTELLEN und das alles auch noch MODERIERT oder UNMODERIERT machen kann. (z.B. in einem Forum werden Finanzen zu einzelnen Projekten diskutiert und vereinbart. Dort gibt es projektspez. Unterforen. Hier dürfen dann zwar die am Projekt beteiligten LESEN, aber nach Satzung auch Mitdiskutieren (Antwort oder gar neues Thema) dürfen nur die dafür zuständigen Personen. Ähnliche Unterscheidungen gibt es in einigen Bereichen).

Der grundsätzliche Ansatz von Dir gefällt mir sogar besser als mein Konzept, aber ich bin mir noch nicht ganz darüber im Klaren, wie das genau umgesetzt werden könnte. Die additiven Rechte machen mir hier scheinbar noch (logische) Probleme

Ich werde jetzt mal mit den 10 vorgegebenen Forenrollen arbeiten und versuchen, die "Benutzerstruktur" durch weniger Gruppen abbilden zu können. Für die gelegentlich vorkommenden Sonderformen (eine Arbeitsgruppe formiert sich und nutzt einen eigenen isolierten Bereich für die kurze Zeit der Projektierung) kann ich dann auch eine sep. Usergruppe erstellen und das Forum dann auch nur für diese freigeben. Kommt nicht so oft vor und die darin entstehenden Ergebnisse kann ich dann in anderen Foren platzieren und das Forum selbst sperren oder sogar löschen.

Noch eine Frage zu den additiven Rechten:
Jeder User erhält die Rechte, die er aus der Mitgliedschaft in diversen Gruppen erhält. Ein JA bei einem Recht setzt sich dabei additiv gegen die NEIN durch, ein NIE setzt vorhandene JA außer Kraft.
Da die Mitgliedschaft der User definitiv in mehreren Gruppen (unterschiedlich) vertreten sein wird, kann ich die realen Zugriffsrechte doch nur durch Forenrechte (über Forenrollen den Usergruppen zugewiesen) regeln, oder ?

Viele Grüße
Mike

[gn#36]

Die additiven Rechte machen mir hier scheinbar noch (logische) Probleme

Dafür gibt's im Zweifel auch noch das "nie", mit dem du ein Recht sicher entziehen kannst, selbst wenn ein User es über einen anderen Weg erhält. Normalerweise braucht man das aber nicht, denn meist verhalten sich die Rechte ja tatsächlich additiv: Wenn jemand in Arbeitsgruppe A und Arbeitsgruppe B ist und Arbeitsgruppe A normalerweise AG B lesen darf, dann macht es ja Sinn, dass jemand in beiden Gruppen auch beide Schreibrechte hat.

Da die Mitgliedschaft der User definitiv in mehreren Gruppen (unterschiedlich) vertreten sein wird, kann ich die realen Zugriffsrechte doch nur durch Forenrechte (über Forenrollen den Usergruppen zugewiesen) regeln, oder ?

Die Frage verstehe ich ehrlich gesagt auch bei mehrfachem lesen nicht
Neben Forenrechten, die du an die Benutzergruppen vergibst brauchst du normalerweise keine weiteren Rechte verteilen um die Zugriffsrechte auf die Foren zu regeln. War das die Frage?

[Mike Schneider]

Die Frage verstehe ich ehrlich gesagt auch bei mehrfachem lesen nicht
Neben Forenrechten, die du an die Benutzergruppen vergibst brauchst du normalerweise keine weiteren Rechte verteilen um die Zugriffsrechte auf die Foren zu regeln. War das die Frage?

Ja ... das war auch wirklich blöd formuliert von mir

Das hängt mit der multiplen Gruppenzugehörigkeit der Benutzer zusammen.
User Hans ist in Gruppe A (Rechte: kommentieren, Themen erstellen) und in Gruppe B (Rechte kommentieren).
Im Forum "Test" sollen die Personen, die in Gruppe B vertreten sind, aber nur kommentieren dürfen. Die Benutzer der Gruppe A sollen im Forum "Test" nur lesen dürfen.

Mein gedanklicher Fehler war, dass die jeweiligen Rechte der Gruppenmitglieder ja nicht in den Gruppenrechten, sondern immer in den Forenrechten definiert werden. Somit wäre der oben geschilderte Fall ja überhaupt nicht möglich

Da war ich zu sehr mit den additiven Rechten im Kopf beschäftigt. Sorry für die Verwirrung

[gn#36]

Warum sollte das nicht möglich sein?

Wenn du wirklich willst, dass Personen in Gruppe B in Forum X nur Antworten dürfen, obwohl sie das Recht zum Themenerstellen von einer anderen Gruppe her bekommen würden, dann kannst du dieser Gruppe für das Forum X einfach ein "nie" für das Recht "Themen erstellen" geben. Egal wo die Leute dann das Recht zum Themen erstellen her kriegen würden, es wird ihnen einfach wieder entzogen.

[Mike Schneider]

stimmt.
Habe jetzt mal einen Großteil der Foren aufgesetzt und die Rechte so eingerichtet.
Funktioniert bisher im Test alles einwandfrei.

Vielen Dank für Dein Input !
Grüße
Mike