И все-таки задам вопрос...
Мне необходимо предоставить такие права, группе "Операторы", чтобы они могли добавлять и удалять пользователей, менять их пароли, подразделения, и группу прав с Guests на Обычного пользователя.
В настройках группы, в разделе "Список пользователей" есть чекбоксы " Добавить, "удалить", Изменить группы прав", "Изменить пароль" и т.п.
Но ведь при включенных этих опциях, Оператор может создать нового администратора, удалить старого, или сменить ему пароль (группу прав). Это, наверное неправильно, если так и есть?
Как с этим быть?

У вас нет необходимых прав для просмотра вложений в этом сообщении.

[Алексей Пикуров]

Это ни правильно, ни неправильно. Права бинарные, либо они есть, либо нет.

Если есть волнения по поводу того, что ваш юзер сможет сделать себя админом или сменить пароль администратору — не давайте ему таких прав.

Как сделать такое ограничение, чтобы кому-то можно было менять пароли, а кому-то нет, я не знаю.

Предлагайте, обсудим.

Учтите, что в MyChat нет понятия администратор, root или что-то подобное. Есть просто группа прав, где есть набор бинарных правил, "да/нет", и всё.

Team lead
Чат со мной

Волнений никаких нет. Есть грабли, на которые кто-нибудь, когда-нибудь, не раз наступал и еще наступит.
Зачем нужен Оператор, если ему нельзя делегировать ежедневный функционал, без предоставления, по сути, полных администраторских прав на всю систему. А пароли забывают каждый день, по 5 штук... Текучка кадров (по-умолчанию пользователь создается в группе Guests)... Подмены в подразделениях (а значит неразбериха в списках контактов)... Оператор должен все это решать, а некоторых, назначенных, я в глаза не видел - организация в трех областях России, работает 14 часов в день, без выходных... Права дать надо, а "ЗОД" (тем более от ПЫТЛИВОГО и пакостливого "Д") тут нет.
Предлагаю:
Группы прав выстроить в иерархию.
Разрешить каждой группе управлять (создавать, удалять, менять пароли и делегировать права) только пользователям свой группы, и группам ниже по иерархии.

У вас нет необходимых прав для просмотра вложений в этом сообщении.

[Алексей Пикуров]

Вы говорите только про функционал админки, который нужен лично вам (пароли/права/создание и удаление учёток).

Реально функционала в админке на два порядка больше. Что делать с ним? Это первое. Чтобы это сделать, надо перебрать весь функционал админки. Адова работа, много времени. Только под заказ.

Второе. Окей, допустим уровни доступа, по иерархии. Иерархия не решает проблему управления не соседними группами. Представим, что "Продвинутым" можно управлять только "Обычными" и "Guests". Но не "Заблокированными" и "WEB Guests".

Такая схема не сработает.

Team lead
Чат со мной

Как это ЛИЧНО МНЕ? Разве только у меня ситуация, когда администратор системы, разнесенной по географии и времени работы, просто не знаком со всеми коллегами, которые должны выполнять в этой системе, повторюсь, ежедневный, рутинный функционал?
Я говорю Вам про уязвимость. И поэтому не понимаю, почему "под заказ"?
Решение предложил, исходя из своей практики. У меня никто никого не блокирует - все должны быть в доступе, на протяжении всего рабочего места. И Веб-гостей тоже нет... Если Вы, например, сделаете фиксированную группу "Администраторы" и назначите ей отдельные права, независимые от всех остальных, свободно создаваемых и копируемых, это тоже будет решением проблемы...

[Алексей Пикуров]

Ещё раз. Это не уязвимость, админка MyChat работает, как и было задумано. В ней нельзя сделать того, что вы хотите, это верно.

"Лично вам" — потому что никто к нам с такой просьбой не обращался, а пользователей у нас очень много, можете мне поверить.

Специальных групп администраторов в MyChat не будет, я уже писал об этом выше. Все группы равны, отличия только в наборе прав.

Поймите, я не пытаюсь вам отказать Я реально хочу сделать, чтобы было можно то, о чём вы говорите, но не знаю, как. Полумеры делать мы не будем, думаю, вы это понимаете.

Team lead
Чат со мной

[Алексей Пикуров]

Мы когда-то планировали сделать инструмент областей видимости пользователей.

Есть группы, в которых находятся пользователи. Они видят только соседей, в тех группах, в которых находятся они сами. Всех остальных — не видят.

Это можно распространить на админку, на чат, канбан, форум и т.п.

Убираете из области видимости ваших операторов админов и тех, кого они не должны трогать, и операторы не смогут их "поломать". Они их даже видеть не будут в интерфейсе.

Но это всё равно не решает вопрос назначения себе админских привилегий путём смены группы прав.

Team lead
Чат со мной

[Андрей Раков]

Добрый день.

Мы обсудили данный вопрос и придумали следующее:
- добавляем новый инструмент "Уровень доступа" в "Управлении правами";
- в новом инструменте настраивается два списка: группы прав кто управляет и список групп, кем управляют, а также под списком, кем управляют, какие функции доступны.

Таким образом, выбрать группу "отдел кадров", которой назначить список других групп, которым они смогут менять информацию в профиле, кроме пароля и настройки "Группы прав" или сделать мини-админов, которым назначить создавать пользователей и назначать "Группу прав", но тут важный момент — список групп, который этот "админ" может назначить формируется на основе тех групп, которые будут указаны в этом новом инструменте.

Все эти права касаются админки и не влияют на список инструментов, видимых слева в списке (он управляется в "Группах прав", раздел "Доступ к функциям управления сервером").

Пример:

Код: Выделить всё

|Список1   |   Список2  |
|----------+------------|
|подаван   | Guests     | - Создавать, 
|          | WebGuests  | - устанавливать пароль,
|          | Об.Юзера   | - менять группу (Guests, WebGuests, Об.Юзера)
|----------|------------| -------------------------------------------------------
|Кадровики | Об.Юзера   | - Менять информацию в профиле (кроме пароля, группы...)
|          | подаван    | для групп Об.Юзера и подаван  
|----------|------------| -------------------------------------------------------
|Guests    |            | (нет прав)
|----------|------------| -------------------------------------------------------
|WebGuests |            | (нет прав)
|-----------------------| -------------------------------------------------------

"Подаваны" могут создавать учетки, но менять группу прав могут только на те, что указаны у них справа, т.е. Guests, WebGuests, Об.Юзера, другую группу прав они не смогут установить и не будут иметь права менять группу прав у пользователей, которые не входят в этот список.
Соответственно "Кадровики" могут только редактировать текстовые поля профилей для Об.Юзера и подаван, но не для других групп.

Я доступно объяснил? Если есть предложения или замечания — пишите сейчас, чтобы потом не переделывать.

Live Chat со мной

Насколько я понял, это решит проблему. Спасибо.

[Алексей Пикуров]

Ок, заложим на будущие версии.

Team lead
Чат со мной