trotz fehlender rechte kann user page-node erstellen - warum?
Eingetragen von headkit (514)
am 20.01.2009 - 18:06 Uhr in
am 20.01.2009 - 18:06 Uhr in
hi leute!
obwohl ich für eine user-role "editor" das erstellen/editieren/löschen der inhaltstypen "page" verboten habe, kann ein user dieser nutzergruppe trotzdem über node/add/page eine page-node erstellen.
die option zur erstellung wird zwar auf node/add nicht aufgelistet, doch im admin_menu.module-Menü wird sie angeboten.
da verstehe ich nicht ganz, warum ich hierfür bei den permissions häckchen machen darf...
weiß jemand rat?
danke!
- Anmelden oder Registrieren um Kommentare zu schreiben
...ich habe die Rechte immer
am 20.01.2009 - 18:32 Uhr
...ich habe die Rechte immer so verstanden, dass sie gewährt werden, nicht verweigert. Ist der betreffende Benutzer vielleicht noch in einer Rolle, die das Erstellen von Seiten erlaubt?
Die Darstellung im
am 20.01.2009 - 18:54 Uhr
Die Darstellung im Admin-Menü hat ersteinmal nichts mit den Berechtigungen zu tun hat.
Wenn der entsprechende Benutzer keine Inhalte vom Typ page erstellen können soll, dann solle er das vor allem nicht können indem er
index.php?q=node/add/page
in seinem Browser aufruft.Ob jetzt ein Modul hingeht, und einen Link auf
index.php?q=node/add/page
anbietet ohne Berechtigungsprüfung durchzuführen, ist sicherheitstechnisch unproblematisch. Lediglich für den Benutzer ist es ärgerlich, einen403 Forbidden
zu bekommen.--
jup, beides stimmt. aber wie
am 26.01.2009 - 13:13 Uhr
jup, beides stimmt. aber wie bereits dargestellt, hat der user/die userrolle diese rechte nicht.
was das admin-menü betrifft habe ich schon ein entsprechendes issue erstellt.
mir geht es vorerst primär um die frage, warum der link node/add/page noch funktioniert...
authenticated
am 26.01.2009 - 13:21 Uhr
Hat die Rolle "authenticated user" zufälligerweise das Recht, Inhalte zu erstellen?
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
das ist eine sehr gute
am 26.01.2009 - 14:08 Uhr
das ist eine sehr gute frage.
aber leider muss ich sie verneinen.
Berechtigungen
am 26.01.2009 - 14:18 Uhr
Wie hast Du denn der Rolle "editor" das Erstellen/Editieren/Löschen des Inhaltstypen "page" verboten?
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
ich habe der rolle das
am 26.01.2009 - 14:27 Uhr
ich habe der rolle das erstellen/editieren/löschen des inhaltstyps "page" verboten, indem ich die häckchen bei "node module" entfernt habe (create page content, delete any page content, delete own page content, edit any page content, edit own page content).
screenshot
am 26.01.2009 - 14:50 Uhr
Magst Du mal einen Screenshot des entsprechenden Teils posten (ich glaub Dir, dass Du das für die Rolle entfernt hast! Will nur sehen, wie die anderen Rollen aussehen.).
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
der einzige user, der dafür
am 26.01.2009 - 15:04 Uhr
der einzige user, der dafür rechte besitzt, ist der admin.
ansonsten gibts da keine häckchen...
Berechtigungen
am 26.01.2009 - 15:13 Uhr
Hm, seltsam seltsam.
Ich hab bei mir schnell mal einen kleinen Test gemacht.
* Drupal 6.9 installiert
* neue Rolle "editor" angelegt
* neuen Nutzer "edith" angelegt (Rolle "editor")
* "create page content" für "authenticated user" und "editor" entfernt
(* "create story content" für "authenticated user" gesetzt)
* als "edith" angemeldet
* node/add aufgerufen -> nur "Story" erscheint => ok
* node/add/page aufgerufen -> "Access denied" => ok
Hast Du denn noch irgendwelche Modul zur Zugriffsverwaltung aktiv?
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
bei mir ist das admin_menu
am 26.01.2009 - 16:58 Uhr
bei mir ist das admin_menu und devel installiert, wobei devel nicht aktiviert ist.
und, konntest du es
am 28.01.2009 - 12:40 Uhr
und, konntest du es nachvollziehen?
Berechtigungen
am 28.01.2009 - 13:18 Uhr
Nö. Ich habs mit unterschiedlichen Kombinationen versucht... wenn anonyme Nutzer (oder auch eine Rolle) das Recht haben, admin_menu zu verwenden, werden dort auch nur die Links angezeigt, die der Nutzer sehen darf. Und direkte Aufrufe von node/add/xxx bringen "Access denied". So wie es sein soll.
Stefan
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
hm. schade. aber danke fürs
am 28.01.2009 - 13:35 Uhr
hm.
schade.
aber danke fürs probieren!!
Hilft zwar nicht weiter,
am 28.01.2009 - 14:33 Uhr
Hilft zwar nicht weiter, aber ich habe das gleiche Problem und auch nur nur mit dem Page-Element. Alles andere funktioniert so wie es soll. Ich werde heute abend noch mal nachschauen, woran es liegen könnte. Oder besteht eventuell die Möglichkeit, dass dies ein Bug ist in der aktuellen, deutschen Drupalcenter-Version?
hm, kann es sein, das sich
am 28.01.2009 - 14:37 Uhr
hm, kann es sein, das sich irgend eine andere permission freigegeben habe, die die page-permission überschreibt?
BlackoutOL schrieb Hilft
am 28.01.2009 - 14:46 Uhr
Hilft zwar nicht weiter, aber ich habe das gleiche Problem und auch nur nur mit dem Page-Element. Alles andere funktioniert so wie es soll. Ich werde heute abend noch mal nachschauen, woran es liegen könnte. Oder besteht eventuell die Möglichkeit, dass dies ein Bug ist in der aktuellen, deutschen Drupalcenter-Version?
hilft schon mal - zumindest weiß ich nun, dass ich nicht irre oder dämlich bin.
ich habe die englische version, an der deutschen kann es also nicht liegen.
hast du auch das admin_menu und das devel modul installiert?
by the way: wenn ich über das admin_menu das devel modul ausschalte wird immer auch das views UI und image cache UI ausgeschaltet. auch eigenartig...
Ist bei "administer nodes" /
am 28.01.2009 - 14:59 Uhr
Ist bei "administer nodes" / "Inhalt verwalten" bzw. "administer content types" / "Inhaltstypen verwalten" ein Häkchen?
Wenn ja dann liegt es daran da jemand der "(alle) Inhalte verwalten" darf darf natürlich auch Inhalte erstellen.
Admin Menu dürfte da nichts mit zu tun haben.
naja, aber wenn ich das
am 28.01.2009 - 16:17 Uhr
naja, aber wenn ich das wegnehme kann die nutzerrolle gar keine inhalte mehr verwalten/erstellen...
administer content
am 28.01.2009 - 16:29 Uhr
Öh Moment. Du hast den Nutzern "administer nodes" gegeben? Dann ist es natürlich kein Wunder. Damit haben sie alle Rechte auf Nodes; auch Erstellen.
Du kannst für jeden Inhaltstyp einzeln die Rechte zum Erstellen und Ändern vergeben.
Stefan
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
wenn ich "administer nodes"
am 28.01.2009 - 16:55 Uhr
wenn ich "administer nodes" raus nehme, ist die liste des schon erstellten contents weg (content->list bzw. /admin/content/node).
Bei mir ist übrigens doch
am 28.01.2009 - 18:49 Uhr
Bei mir ist übrigens doch alles in Ordnung. Fehler lag bei mir. Ich hatte bei den Benutzer-Rollen ein Häkchen zuviel drin.
Erstelle dafür einfach
am 28.01.2009 - 22:58 Uhr
Erstelle dafür einfach einen View http://drupal.org/project/views und views_bulk_operations http://drupal.org/project/views_bulk_operations Damit kannst Du eine bessere Oberfläche für deine Benutzer bauen.
hm, ist natürlich eine
am 29.01.2009 - 11:42 Uhr
hm, ist natürlich eine option.
ich würde das aber trotzdem ganz gern mit den bordmitteln lösen. das muss doch gehen. dafür ist drupal doch eigentlich konzipiert.
das kann doch nicht so schwers ein. ich stell mich doch nur glatt an...
Es ist wie es ist. Es wäre
am 29.01.2009 - 17:00 Uhr
Es ist wie es ist. Es wäre nett wenn es anders wäre, aber Views braucht man eh immer und damit lässt sich in 5 Minuten ein besseres Interface zusammen klicken.
Wenn Du denkst, dass das aktuelle Verhalten geändert werden sollte dann suche ob es auf drupal.org bereits einen issue dazu gibt und schreibe, dass Du auch denkst, dass es _so_ sein sollte. Ansonsten öffne einen neuen issue oder noch besser - sollte es einen "Views in Core" sprint geben, spende hier, denn damit wäre eine verbesserung dieser Oberfläche leicht möglich.
Im übrigen kann ich Dir sagen hier lange zu suchen ist verlorene Liebesmüh...
na wenn das heisst, dass es
am 29.01.2009 - 17:26 Uhr
na wenn das heisst, dass es gar nicht anders geht, dann hab ich kein problem, mir was selber zu basteln. nur finde ich macht so das ganze rechte-konzept wenig sinn.
nuja, views hab ich eh immer installiert.
danke für die tips - ich hoffe trotzdem, noch auf ne zweite meinung...
;-)
anyone?!
Re: hm, ist natürlich eine
am 29.01.2009 - 17:42 Uhr
ich würde das aber trotzdem ganz gern mit den bordmitteln lösen.
Wenn du die Vorteile der Bordmittel verwenden möchtest, dann musst du auch die Nachteile der Bordmittel in Kauf nehmen. Drupal muss da eine sehr schwierige Balance zwischen einfacher Bedienbarkeit (für Anfänger), Funktionsumfang (für Fortgeschrittene) und Erweiterbarkeit (für Entwickler) hinbekommen. Es ist klar, das dabei nicht alle Anforderungen sofort erschlagen werden. Aber sie können mit Zusatzmodulen (selbst entwickelt oder auf drupal.org bereitgestellt) umgtesetzt werden.
Außerdem: Views wird (genau wie CCK) so häufig eingesetzt, das man es fast schon zu den Bordmitteln zählen kann.
nur finde ich macht so das ganze rechte-konzept wenig sinn.
Es macht Sinn, es ist nur schlecht dokumentiert.
--
no offense - drupal ist
am 29.01.2009 - 18:10 Uhr
no offense - drupal ist super - bin sehr zufrieden damit.
und ja, cck/views sollte in den core.
aber man wird ja noch kritik üben dürfen...
:-)
nur muss es doch eine möglichkeit geben, einzelne inhaltstypen von verschiedenen nutzergruppen ansehen/erstellen/editieren/löschen und per /admin/content/node verwalten zu lassen.
ich übersehe da wohl irgendwas...
Ich verstehe nicht was daran
am 29.01.2009 - 18:14 Uhr
Ich verstehe nicht was daran keinen Sinn mach.
Ja der Fehler tritt häufig bei Drupal-Neulingen auf bis sie das System begriffen haben - das ist nicht abwertend gemeint sondern ist ein Hinweis darauf, dass wir hier noche etwas verbessern können.
Erwartest Du dass wenn Du jemand alle Administrations-Rechte gibst bis auf das Recht neue Seiten anzulegen, dass der user das nicht kann? Welchen Sinn würde das denn machen?
Vlt. sollten wir die Deutsche Übersetzung ändern von "Ihalte verwalten" zu "Inhalte admininistrieren" dadurch würde evtl. eher klar werden, dass hier einiges an Rechten vergeben wird?
hm, vermute hier ein
am 29.01.2009 - 19:05 Uhr
hm, vermute hier ein missverständnis.
ich benutze nebenbei bemerkt auch gar nicht die deutsche version.
headkit schrieb no
am 29.01.2009 - 19:54 Uhr
no offense
None taken.
und ja, cck/views sollte in den core.
Das ist wieder eine Frage der Balance.
Bei CCK sieht das so aus, das für Drupal 7 Teile vom CCK in den Core wandern (a.k.a. "Fields in Core") andere Teile bleiben wohl nur als Contrib-Modul verfügbar (speziell die Benutzeroberfläche). Auch mit Drupal 5 sind Teile vom CCK in den Core gewandert, nämlich die Möglichkeit für Benutzer, eigene Inhaltstypen anzulegen. Was CCK aktuell darüber hinaus noch bietet, ist die Möglichkeit, eigene Felder in diesen Inhaltstypen unterzubringen.
Bei Views ist mir keine derartige Anstrengung bekannt, aber merlinofchaos scheint fit genug zu sein, sein Modul so zu konstruieren,das mit Simple Views eine Benutzeroberfläche bereitsteht, die einfacher zu handhaben ist.
aber man wird ja noch kritik üben dürfen...
Es gibt kein Drupal ohne Kritik. Ohne Kritik gibt es nämlich keinen Fortschritt. Und ohne Fortschritt währen wir noch bei Drupal 0.1.
... einzelne inhaltstypen von verschiedenen nutzergruppen ansehen/erstellen/editieren/löschen und per /admin/content/node verwalten zu lassen.
ich übersehe da wohl irgendwas...
verwalten heißt mehr als ansehen/erstellen/editieren/löschen. verwalten heißt auch
Das sind Sachen, die weit darüber hinaus gehen, was ich einem Redakteur in die Hand geben möchte.
--
Übrigens: bei Drupal 6
am 29.01.2009 - 20:38 Uhr
Übrigens: bei Drupal 6 werden Zugriffsrechte wie folgt definiert:
<?php
hook_perm() {
return array(
'administer nodes'
);
}
?>
Bei Drupal 7 sieht es so aus:
<?php
hook_perm() {
return array(
'administer nodes' => t('Users with that permission can edit all content.')
);
}
?>
Die Beschreibung ("Users with that ...") wird in der Benutzeroberfläche angezeigt, so daß es hoffentlich zu weniger Problemen kommen wird.
--
dann fasse ich mal zusammen:
am 30.01.2009 - 11:45 Uhr
dann fasse ich mal zusammen: eine eingeschränkte administration von nodes bestimmter inhaltstypen ist von sich aus in D6 nicht ohne weitere module möglich.
richtig?
wen es interessiert: hier
am 03.02.2009 - 11:48 Uhr
wen es interessiert:
hier gehts weiter...
http://drupal.org/node/361579
und hier ist noch ein
am 11.02.2009 - 12:57 Uhr
und hier ist noch ein passendes issue:
http://drupal.org/node/296693
ich habe das problem vorerst
am 11.02.2009 - 16:37 Uhr
ich habe das problem vorerst (wie mir oben nahe gelegt wurde - besten dank!) mit dem modul Views Bulk Operations und einen zusätzlichen kleinen hack erledigt: damit man trotzdem im admin_menu einen link zur administrationsseite der inhalte erhält, habe ich der funktion admin_menu_admin_menu() in der datei admin_menu.inc folgenden code ab zeile 126 hinzugefügt:
<?php
// Add link to administer content by views ad-on Views Bulk Operations link (admin/content/node2) *added by headkit 0209*
$links[] = array(
'title' => 'List all content',
'path' => 'admin/content/node2',
'weight' => -100,
'parent_path' => 'admin/content',
);
?>
damit erscheint dann der entsprechende link im admin_menu.
bis zum nächsten update reicht das ja erstmal.
wäre auch ein schöner patch für dieses modul...
Es zeigt sich dass ich Dich
am 11.02.2009 - 17:01 Uhr
Es zeigt sich dass ich Dich doch ein stückweit missverstanden habe und hier wirklich ein bug gibt - mea culpa
danke. no problemo! :-)
am 11.02.2009 - 17:10 Uhr
danke.
no problemo!
:-)