trotz fehlender rechte kann user page-node erstellen - warum?

...ich habe die Rechte immer so verstanden, dass sie gewährt werden, nicht verweigert. Ist der betreffende Benutzer vielleicht noch in einer Rolle, die das Erstellen von Seiten erlaubt?

Die Darstellung im Admin-Menü hat ersteinmal nichts mit den Berechtigungen zu tun hat.

Wenn der entsprechende Benutzer keine Inhalte vom Typ page erstellen können soll, dann solle er das vor allem nicht können indem er index.php?q=node/add/page in seinem Browser aufruft.

Ob jetzt ein Modul hingeht, und einen Link auf index.php?q=node/add/page anbietet ohne Berechtigungsprüfung durchzuführen, ist sicherheitstechnisch unproblematisch. Lediglich für den Benutzer ist es ärgerlich, einen 403 Forbidden zu bekommen.

--

jup, beides stimmt. aber wie bereits dargestellt, hat der user/die userrolle diese rechte nicht.
was das admin-menü betrifft habe ich schon ein entsprechendes issue erstellt.

mir geht es vorerst primär um die frage, warum der link node/add/page noch funktioniert...

Hat die Rolle "authenticated user" zufälligerweise das Recht, Inhalte zu erstellen?

das ist eine sehr gute frage.
aber leider muss ich sie verneinen.

Wie hast Du denn der Rolle "editor" das Erstellen/Editieren/Löschen des Inhaltstypen "page" verboten?

ich habe der rolle das erstellen/editieren/löschen des inhaltstyps "page" verboten, indem ich die häckchen bei "node module" entfernt habe (create page content, delete any page content, delete own page content, edit any page content, edit own page content).

Magst Du mal einen Screenshot des entsprechenden Teils posten (ich glaub Dir, dass Du das für die Rolle entfernt hast! Will nur sehen, wie die anderen Rollen aussehen.).

der einzige user, der dafür rechte besitzt, ist der admin.
ansonsten gibts da keine häckchen...

Hm, seltsam seltsam.
Ich hab bei mir schnell mal einen kleinen Test gemacht.
* Drupal 6.9 installiert
* neue Rolle "editor" angelegt
* neuen Nutzer "edith" angelegt (Rolle "editor")
* "create page content" für "authenticated user" und "editor" entfernt
(* "create story content" für "authenticated user" gesetzt)
* als "edith" angemeldet
* node/add aufgerufen -> nur "Story" erscheint => ok
* node/add/page aufgerufen -> "Access denied" => ok

Hast Du denn noch irgendwelche Modul zur Zugriffsverwaltung aktiv?

bei mir ist das admin_menu und devel installiert, wobei devel nicht aktiviert ist.

und, konntest du es nachvollziehen?

Nö. Ich habs mit unterschiedlichen Kombinationen versucht... wenn anonyme Nutzer (oder auch eine Rolle) das Recht haben, admin_menu zu verwenden, werden dort auch nur die Links angezeigt, die der Nutzer sehen darf. Und direkte Aufrufe von node/add/xxx bringen "Access denied". So wie es sein soll.

 Stefan

hm.
schade.
aber danke fürs probieren!!

Hilft zwar nicht weiter, aber ich habe das gleiche Problem und auch nur nur mit dem Page-Element. Alles andere funktioniert so wie es soll. Ich werde heute abend noch mal nachschauen, woran es liegen könnte. Oder besteht eventuell die Möglichkeit, dass dies ein Bug ist in der aktuellen, deutschen Drupalcenter-Version?

hm, kann es sein, das sich irgend eine andere permission freigegeben habe, die die page-permission überschreibt?

hilft schon mal - zumindest weiß ich nun, dass ich nicht irre oder dämlich bin.
ich habe die englische version, an der deutschen kann es also nicht liegen.
hast du auch das admin_menu und das devel modul installiert?

by the way: wenn ich über das admin_menu das devel modul ausschalte wird immer auch das views UI und image cache UI ausgeschaltet. auch eigenartig...

Ist bei "administer nodes" / "Inhalt verwalten" bzw. "administer content types" / "Inhaltstypen verwalten" ein Häkchen?

Wenn ja dann liegt es daran da jemand der "(alle) Inhalte verwalten" darf darf natürlich auch Inhalte erstellen.

Admin Menu dürfte da nichts mit zu tun haben.

naja, aber wenn ich das wegnehme kann die nutzerrolle gar keine inhalte mehr verwalten/erstellen...

Öh Moment. Du hast den Nutzern "administer nodes" gegeben? Dann ist es natürlich kein Wunder. Damit haben sie alle Rechte auf Nodes; auch Erstellen.
Du kannst für jeden Inhaltstyp einzeln die Rechte zum Erstellen und Ändern vergeben.

 Stefan

wenn ich "administer nodes" raus nehme, ist die liste des schon erstellten contents weg (content->list bzw. /admin/content/node).

Bei mir ist übrigens doch alles in Ordnung. Fehler lag bei mir. Ich hatte bei den Benutzer-Rollen ein Häkchen zuviel drin.

Erstelle dafür einfach einen View http://drupal.org/project/views und views_bulk_operations http://drupal.org/project/views_bulk_operations Damit kannst Du eine bessere Oberfläche für deine Benutzer bauen.

hm, ist natürlich eine option.
ich würde das aber trotzdem ganz gern mit den bordmitteln lösen. das muss doch gehen. dafür ist drupal doch eigentlich konzipiert.
das kann doch nicht so schwers ein. ich stell mich doch nur glatt an...

Es ist wie es ist. Es wäre nett wenn es anders wäre, aber Views braucht man eh immer und damit lässt sich in 5 Minuten ein besseres Interface zusammen klicken.

Wenn Du denkst, dass das aktuelle Verhalten geändert werden sollte dann suche ob es auf drupal.org bereits einen issue dazu gibt und schreibe, dass Du auch denkst, dass es _so_ sein sollte. Ansonsten öffne einen neuen issue oder noch besser - sollte es einen "Views in Core" sprint geben, spende hier, denn damit wäre eine verbesserung dieser Oberfläche leicht möglich.

Im übrigen kann ich Dir sagen hier lange zu suchen ist verlorene Liebesmüh...

na wenn das heisst, dass es gar nicht anders geht, dann hab ich kein problem, mir was selber zu basteln. nur finde ich macht so das ganze rechte-konzept wenig sinn.

nuja, views hab ich eh immer installiert.
danke für die tips - ich hoffe trotzdem, noch auf ne zweite meinung...
;-)

anyone?!

Wenn du die Vorteile der Bordmittel verwenden möchtest, dann musst du auch die Nachteile der Bordmittel in Kauf nehmen. Drupal muss da eine sehr schwierige Balance zwischen einfacher Bedienbarkeit (für Anfänger), Funktionsumfang (für Fortgeschrittene) und Erweiterbarkeit (für Entwickler) hinbekommen. Es ist klar, das dabei nicht alle Anforderungen sofort erschlagen werden. Aber sie können mit Zusatzmodulen (selbst entwickelt oder auf drupal.org bereitgestellt) umgtesetzt werden.

Außerdem: Views wird (genau wie CCK) so häufig eingesetzt, das man es fast schon zu den Bordmitteln zählen kann.

Es macht Sinn, es ist nur schlecht dokumentiert.

--

no offense - drupal ist super - bin sehr zufrieden damit.
und ja, cck/views sollte in den core.

aber man wird ja noch kritik üben dürfen...
:-)

nur muss es doch eine möglichkeit geben, einzelne inhaltstypen von verschiedenen nutzergruppen ansehen/erstellen/editieren/löschen und per /admin/content/node verwalten zu lassen.
ich übersehe da wohl irgendwas...

Ich verstehe nicht was daran keinen Sinn mach.

Ja der Fehler tritt häufig bei Drupal-Neulingen auf bis sie das System begriffen haben - das ist nicht abwertend gemeint sondern ist ein Hinweis darauf, dass wir hier noche etwas verbessern können.
Erwartest Du dass wenn Du jemand alle Administrations-Rechte gibst bis auf das Recht neue Seiten anzulegen, dass der user das nicht kann? Welchen Sinn würde das denn machen?

Vlt. sollten wir die Deutsche Übersetzung ändern von "Ihalte verwalten" zu "Inhalte admininistrieren" dadurch würde evtl. eher klar werden, dass hier einiges an Rechten vergeben wird?

hm, vermute hier ein missverständnis.
ich benutze nebenbei bemerkt auch gar nicht die deutsche version.

None taken.

Das ist wieder eine Frage der Balance.

Bei CCK sieht das so aus, das für Drupal 7 Teile vom CCK in den Core wandern (a.k.a. "Fields in Core") andere Teile bleiben wohl nur als Contrib-Modul verfügbar (speziell die Benutzeroberfläche). Auch mit Drupal 5 sind Teile vom CCK in den Core gewandert, nämlich die Möglichkeit für Benutzer, eigene Inhaltstypen anzulegen. Was CCK aktuell darüber hinaus noch bietet, ist die Möglichkeit, eigene Felder in diesen Inhaltstypen unterzubringen.

Bei Views ist mir keine derartige Anstrengung bekannt, aber merlinofchaos scheint fit genug zu sein, sein Modul so zu konstruieren,das mit Simple Views eine Benutzeroberfläche bereitsteht, die einfacher zu handhaben ist.

Es gibt kein Drupal ohne Kritik. Ohne Kritik gibt es nämlich keinen Fortschritt. Und ohne Fortschritt währen wir noch bei Drupal 0.1.

verwalten heißt mehr als ansehen/erstellen/editieren/löschen. verwalten heißt auch

• bestimmen, wer als Autor des Inhalts aufgeführt wird
• bestimmen, was als Erstellungsdatum des Inhalt aufgeführt wird
• bestimmen, ob beim Ändern automatisch Revisionen erzeugt werden
• und anderes

Das sind Sachen, die weit darüber hinaus gehen, was ich einem Redakteur in die Hand geben möchte.

--

Übrigens: bei Drupal 6 werden Zugriffsrechte wie folgt definiert:

Bei Drupal 7 sieht es so aus:

Die Beschreibung ("Users with that ...") wird in der Benutzeroberfläche angezeigt, so daß es hoffentlich zu weniger Problemen kommen wird.
--

dann fasse ich mal zusammen: eine eingeschränkte administration von nodes bestimmter inhaltstypen ist von sich aus in D6 nicht ohne weitere module möglich.

richtig?

wen es interessiert:
hier gehts weiter...
http://drupal.org/node/361579

und hier ist noch ein passendes issue:
http://drupal.org/node/296693

ich habe das problem vorerst (wie mir oben nahe gelegt wurde - besten dank!) mit dem modul Views Bulk Operations und einen zusätzlichen kleinen hack erledigt: damit man trotzdem im admin_menu einen link zur administrationsseite der inhalte erhält, habe ich der funktion admin_menu_admin_menu() in der datei admin_menu.inc folgenden code ab zeile 126 hinzugefügt:

damit erscheint dann der entsprechende link im admin_menu.
bis zum nächsten update reicht das ja erstmal.
wäre auch ein schöner patch für dieses modul...

Es zeigt sich dass ich Dich doch ein stückweit missverstanden habe und hier wirklich ein bug gibt - mea culpa

danke.
no problemo!
:-)