====== Grundsätzliches ====== Jeder Benutzer hat grundsätzlich mindestens zwei Benutzergruppen, nämlich eine Bereich- und eine Funktionsberechtigung. Ein Poweruser der theologischen Fakultät hat bspw. die Berechtigung auf den Bereich "Theologische Fakultät" und die Funktionsberechtigung "Web-Poweruser". Alle Berechtigungen sind nicht vererbend aufgebaut, da Benutzerberechtigungen und Hierarchie der Website nicht übereinstimmen. So hat eine Benutzergruppe möglicherweise Zugriff quer durch alle Haupt-Navigationspunkte der Website. ====== Bereichsberechtigung ====== Prinzipiell wird jede Seite, die //irgendeinem// (Nicht-TYPO3-Admin-) Benutzer zugänglich ist, im Seitenbaum aller Benutzer angezeigt (Show Page: Everybody). Dies, weil beim Vererben von Benutzergruppen ansonsten für jeden Teilbereich ein neuer Tree Root generiert würde und es für Benutzer mit vielen Berechtigungen sehr unübersichtlich würde. Die Redakteure werden darauf geschult, dass sie ihren Bereich bzw. den Bereich, den sie gerade bearbeiten, als "Startpunkt für den Seitenbaum" mounten können: {{:administration:pasted:20221108-101117.png?400|}} Eine Benutzergruppe umfasst: * (Page) Mount Point * (File) Mount Point * (sys_category) Kategoriezuweisungen * ev. TSconfig ===== Anlegen neuer Bereichsberechtigungen ===== **Wichtige Information für die TYPO3-Admins (visol)** Eine neue Bereichsberechtigung wird von der Unilu in der Regel nach Erstellen der entsprechenden Seiten bestellt. Folgende Schritte sollten dann vorgenommen werden: * Erstellen des gewünschten Dateiordners * Erstellen eines Filemounts für diesen Ordner mit Name = Ordnerpfad. * Erstellen von Kategorien für DE und EN (z.B. für News/VA, mit Elterngruppe "Bereiche") im Order 1628. Das Feld Category Shortcut verlinken mit der Startseite des Bereichs. * Erstellen einer Backend-Benutzergruppe und Zuweisung von Filemount und (News-/VA-)Kategorien. Ein DB Mount ist nicht notwendig, da alle Benutzer alle Seiten sehen. ID der Gruppe merken. * Der entsprechenden Gruppe im Access-Modul Zugriff (rekursiv!) auf die gewünschten Seiten geben, in der Regel Vollzugriff. * ''TCEMAIN.permissions.groupid=XX'' in der PageTS Config der betroffenen Seite(n) setzen, da sonst neue Unterseiten der zugewiesenen Seiten falsche Bereichsberechtigungen erhalten. Im Fall von neuen Professuren, ist das die uid der einzelnen Person (sofern nicht eine Gruppe dafür eingerichtet wird)! * Hinzufügen der Backend-Benutzergruppe als Untergruppe von "! Alle Bereichsberechtigungen" (wichtig für Admins) * Hinzufügen der Backend-Benutzergruppe zur Liste der erlaubten Kategorien in der sys_action "Backend-Benutzer verwalten". Da diese Liste bei der Ausgabe nicht alphabetisch sortiert wird, muss die neu gewählte Kategorie manuell an die richtige Stelle verschoben werden! ** Vererbung Seitenrechte** beim Erstellen neuer Seiten per "TCEMAIN.permissions.groupid=XX" {{:administration:unilu-tcemain-groupid.png?800|}} **Die Bearbeitung der Action** ist (momentan nur noch) über das List-Modul zugänglich. {{:administration:unilu-sysaction-listmodul.png|}} {{:administration:unilu-sys-action-backend-benutzer-verwalten.png?direct&400|}} ===== Setzen von Bereichsberechtigungen ===== **Benutzer: oea-admin** In TYPO3 haben nur (echte) Administratoren die Möglichkeit, die Berechtigungen einer Seite anzuzeigen und zu ändern. Da die Unilu ein komplexes und mehrheitlich nicht-hierarchisches Benutzergruppen-Konzept hat, wurde ein Funktionsmodul entwickelt werden, welches das Setzen der Benutzergruppe erlaubt und einen Überblick über die Benutzergruppen gibt: {{:administration:funktion-rechte-setzen.png?400|}} {{:administration:funktion-rechte-setzen-2.png?400|}} Da die Änderungsoperation in TYPO3 nur Besitzern der Seiten (und echten Admins) zur Verfügung steht, wurde der Besitzer aller Seiten auf einen Benutzer "oea-admin" geändert. Mit diesem Benutzer können die Berechtigungen rekursiv neu gesetzt werden. ====== Funktionsberechtigung ====== ===== In Kürze: Welche Berechtigung wofür? ===== * Dozierendenseite: Wer nur seine Dozierendenseite bearbeiten muss, erhält diese Rolle. (Todo: näher erklären) * Web-Editor: Dient der Pflege eines Teilbereichs der Seite ohne spezielle Funktionen, die speziell geschulten Personen vorbehalten sind. * Web-Poweruser: Dient der Pflege weiten Teilen der Seite mit Spezialfunktionen, die geschulten Personen vorbehalten sein sollen. * Web-Administrator: Die höchste Benutzer-Rolle, die der Abteilung oea vorbehalten ist. Ermöglicht die Administration von Benutzern und Zugriff auf Wartungs-Funktionen. ===== Detailübersicht ===== ^ ^ Bentzergruppe ^ erbt ^ (Zusätzliche) Module ^ Tabellen ^ Inhalte ^ Bemerkungen ^ |✔| Content | | Page, View | Pages, Content | Content:Text, Content:Text mit Bild, Content:Medien | Was jeder Benutzer innnerhalb seines Mounts machen darf | | | Galerien | | | | Plugin:Galerie | Galerie-Plugin | |✔| Dateiverwaltung | | Media, Filelist | Alle FAL/Media | | Grundrechte auf FAL/Media, ohne Mounts | |✔| Dateiverwaltung-Kategorien-Admin | Dateiverwaltung | | sys_category schreibend | | | | Dateiverwaltung-Admin | Dateiverwaltung: Kategorien-Admin | "Aufräum-Modul" | | | |✔| Datenbank: News-Editor | | News | News | | Grundfunktionalität, um News und Veranstaltungen zu erstellen und bearbeiten | |✔| Datenbank: News-Admin | News-Editor | | | Plugin:News | Bearbeiten von Newskategorien, Einfügen von News-Plugins | |✔| Datenbank: Veranstaltungs-Editor | | News | News | | Grundfunktionalität, um News und Veranstaltungen zu erstellen und bearbeiten | |✔| Datenbank: Veranstaltungs-Admin | Veranstaltungs-Editor | | | Plugin:News | Bearbeiten von Newskategorien, Einfügen von News-Plugins | | | Schnellnavigation | | List | Plugin:Quicknav | | | |✔| Publikationen | | List | Publikationen | | | |✔| Publikationen-Plugin | Publikationen | | Publikationen | Plugin:Publikationen | | |✔| Datenbank: Formular-Export | | Powermail | | | Anzeige/Export von Formulardaten | |✔| Datenbank: Formular-Plugin | Formular-Export | Powermail | |Plugin:Powermail | Einfügen von Formular-Plugins| |✔| Datenbank: Formular-Admin | Formular-Plugin | Powermail | Powermail | | Bearbeiten von Formularen | |✔| Frontend-Editing | | | | | Frontend-Editing mit Aloha | | | Benutzer-Admin | | Benutzerverwaltung | BeUsers | | Kann neue Benutzer (gleiche oder niedrigere Berechtiungen) anlegen | |✔| Workspaces | | Workspaces | | | Konfiguration von Workspaces | | | Dozierendenseite | Content, Dateiverwaltung, Publikationen, Frontend-Editing | | | | Standard-Gruppe für Dozierende | |✔| Web-Editor | Content, Dateiverwaltung, News/Veranstaltungen, Publikationen, Formulare, Workspaces | Vorlagenbasierte Seiten | | | Standard-Gruppe für Web-Editoren mit allen benötigten Grundfunktionalitäten | |✔| Web-Poweruser | Web-Editor, Galerien, Dateiverwaltung-Admin, Schnellnavigation, News/Veranstaltungen-Admin, Publikationen-Admin, Formular-Admin, Frontend-Editing | | | Insert records | + zusätzliche Felder im Bereich Content/Pages (z.B. RealURL-Pfad), die nicht allen Web-Editoren zustehen | |✔| Web-Administrator | Web-Poweruser, Benutzer-Admin | Eigentümer-Wechsel | | Content:HTML | + zusätzliche Felder im Bereich Content/Pages, die nicht allen Web-Editoren zustehen | ====== Spezialfälle ====== In grösseren Websites ist es jederzeit möglich, dass eine einzelne Person ausnahmsweise (und möglicherweise vorübergehend) Berechtigungen auf einzelne Seiten oder Seitenbereiche braucht. Für diese Spezialfälle wird die TYPO3-Extension be_acl verwendet, die es erlaubt, zusätzlich zum normalen Berechtigungskonzept (Rechte für Jeden, Benutzer, Gruppe) weitere Berechtigungen zu erteilen. Aus Performance-Gründen wird be_acl nur für diese Ausnahmefälle verwendet.