WBB3 Berechtigungen verstehen

  • Hallo,
    Jonathan hat mich auf die Idee gebracht, dies hier hoch zu laden. Ich habe ein paar Zeichnungen zum Berechtigungs-Workflow vom WBB3 erstellt. Die Idee dahinter ist, zu verstehen wann/wieso ein User eine Berechtigung xy bekommt oder eben nicht.
    Ich habe das ganze mit Reverse Engineering versucht herauszufinden. Wenn jemand einen Fehler findet, soll er ihn nicht behalten, sondern hier kundtun, was nicht stimmt :D


    Allgemeines:
    Berechtigungen eines Benutzers werden anhand zweier Mechanismen gesteuert. Jede Gruppe verfügt über seine eigenen Rechte, wie z.B. 'kann Foren sehen', 'kann Dateien anhängen', 'darf PM's brauchen' usw. Hier sprechen wir von Gruppen Berechtigungen. Eingestellt werden diese Berechtigungen auf der Gruppe selbst.
    Als zweiter Mechanismus gibt es die Foren Berechtigungen. Jedes Forum kann mit beliebig vielen Gruppen belegt werden. Jeder Gruppe kann man wieder beliebige Rechte verteilen. Eingestellt werden diese Rechte direkt auf einem Forum.


    Berechtigungs Regeln:

    • Eine zugelassene Berechtigung gewinnt IMMER gegen eine Berechtigungs Verweigerung.
    • Bei zwei wiedersprüchlichen Rechten (z.B. erlaubt ein Recht eine Upload Grösse von 20k, eine andere Berechtigung erlaubt eine Upload Grösse von 50k), gewinnt immer der bessere Wert (hier 50k).
    • Eine Foren Berechtigung gewinnt IMMER gegenüber einer Gruppen Berechtigung. In diesem Fall kommen die Regeln 1 und 2 nicht zur Anwendung!
    • Wurde nur eine Gruppen Berechtigung gesetzt aber keine Foren Berechtigung, dann erbt das Forum die Gruppen Berechtigung.
    • Wurde auf ein Subforum keine Foren Berechtigungen gesetzt, erbt das Subforum die Rechte seines übergeordneten Forums.
    • Wurden mehrere Gruppen auf ein Forum berechtigt, kommt wieder Regel 1 zur Anwendung.
    • Ein übergeordnetes Forum, bei welchem dem Benutzer das Recht entzogen wurde, wird IMMER auf das darunter liegende Forum vererbt, ausser dem Benutzer wird mit Hilfe einer Gruppe in einem Unterforum explizit wieder ein Recht zugeteilt (was in der Praxis eigentlich keinen Sinn macht, da man auf diese Art ein verstecktes Forum erzeugen würde).

    Zu beachten ist, dass es deutlich weniger Foren Berechtigungen gibt, als Gruppen Berechtigungen. Somit gibt es immer noch viele Berechtigungen, welche nur auf Gruppen Ebene eingestellt werden können.

  • Beispiel "Kann Forum sehen":
    In diesem Beispiel gehen wir von einem Gast aus, der auf eine gildeninterne Seite zugreiffen will.
    Als erstes kommt die Gruppe "Jeder" zur Anwendung. Auf dieser Gruppe ist eingestellt, dass der Benutzer die Foren sehen darf.
    Als nächstes kommt die "Gäste" Gruppe zur Anwendung, da es sich um einen nicht angemeldeten Benutzer handelt. Diese Gruppe verweigert das Recht, Foren zu sehen. Dieses Recht wird aber von der „Jeder“ Gruppe übersteuert (Regel 1).
    Wir gehen in diesem Beispiel davon aus, dass es übergeordnete Foren gibt. Allerdings wurde auf die übergeordneten Foren keine Rechte gesetzt. Dadurch werden einfach die Gruppen Berechtigungen vererbt (Regel 4).
    Auf dem gildeninternen Forum wurde der „Jeder“ Gruppe das Recht entzogen. Da die Foren Berechtigung immer Vorrang gegenüber einem Gruppen Recht hat, wird dem Gast der Zutritt verwährt. (Regel 3)

  • Beispiel "Maximale Dateianhanggrösse:
    In diesem Beispiel gehen wir von einem Gilden Mitglied aus.
    Als erstes kommt die Gruppe "Jeder" zur Anwendung. Auf dieser Gruppe ist eingestellt, dass keine Dateianhänge erlaubt sind.
    Als nächstes kommt die Gruppe "registrierte Benutzer" zur Anwendung, da es sich um einen angemeldeten Benutzer handelt. Diese Gruppe erlaubt auch keine Datei Anhänge.
    Jetzt kommen alle weiteren Gruppen zur Anwendung, zu denen das Mitglied gehört (beliebig weitere Gruppen). Die "Uinet Mitglieder" Gruppe erlaubt eine maximale Dateianhang Grösse von 20k. Eine "Closed Usergruppe" erlaubt für ein spezielles Projekt einen Dateianhang von max. 50k.
    Das „bessere“ Recht (50k) gewinnt gegenüber dem „schlechteren“ (20k) (Regel 2).
    Eine zugelassene Berechtigung (20k u. 50k) gewinnt immer gegenüber einer verwehrten Berechtigung („Jeder“ und „registrierte Benutzer“) (Regel 1).
    Das Recht "Maximale Dateianhangsgrösse" gibt es nicht bei den Foren Rechten. Somit ist der Berechtigungsprozess bereits abgeschlossen und der Benutzer darf eine maximale Dateianhang Grösse von 50k hochladen.
    (Anmerkung: damit wurde erst die maximale Upload Grösse von 50k geregelt. Dies erlaubt dem Benutzer aber noch nicht, dass er überhaupt etwas hochladen darf!)

  • Beispiel "Kann an Umfragen teilnehmen":
    In diesem Beispiel gehen wir von einem Gilden Mitglied aus, der auf eine Subforum eines internen Forums zugreiffen will.
    Als erstes kommt die Gruppe "Jeder" zur Anwendung. Auf dieser Gruppe ist eingestellt, dass der Benutzer an keinen Umfragen teilnehmen darf.
    Als nächstes kommt die "registrierte Benutzer" Gruppe zur Anwendung, da es sich um einen angemeldeten Benutzer handelt. Auch diese Gruppe erlaubt es nicht, dass der Benutzer eine Umfrage starten darf.
    Nun kommt die Gruppe „Uinet Mitglieder“ zur Anwendung, da der Benutzer Mitglied dieser Gruppe ist. Die „Uinet Mitglieder“ Gruppe erlaubt die Teilnahme an Umfragen und übersteuert die Verweigerung von den Gruppen „Jeder“ und „registrierte Benutzer“ (Regel 1).
    Wir gehen in diesem Beispiel davon aus, dass es ein übergeordnetes gildeninternes Forum gibt.
    Auf der „Jeder“ Gruppe wurde wurde das Recht an Umfragen teilzunehmen verwehrt. Allerdings gewährt uns die Gruppe „Uinet Mitglieder“ wiederum die Teilnahme an Umfragen. Somit wird das Recht von „Jeder“ wieder übersteuert (Regel 6).
    Auf dem Unterforum wurden keine weiteren Rechte gesetzt. Somit wird das Recht weitervererbt. (Regel 5)