Berechtigungen der Rolle "System Admin"

[KixNewbie]

Hallo zusammen,


in der Standardeinstellung habe ich für Mitglieder der Gruppe "System Admin" folgendes Verhalten beobachtet:


- können sich selbst weiteren Rollen zuordnen (auch "Superuser" oder "Ticket Agent")
- können die Einstellungen bestehender Superuser verändern (auch "gültig")
- können die Berechtigungen der Rollen "Superuser" und "System Admin" ändern


Alle meine bisherigen Versuche, das zu ändern, waren leider nur teilweise erfolgreich.


Zusätzliche Berechtigungen der Rolle "System Admin":


Resource | /tickets | ----X
Object | /system/users/*{User.UserID EQ 1} | ----X
Object | /system/roles/*{Role.Name EQ "Superuser"} | ----X


Bis dahin greifen die Einschränkungen wie geplant, allerdings ist der initiale Adminaccount noch nicht geschützt und auch Änderungen an der Rolle "System Admin" und damit eine Erhöhung der eigenen Zugriffsrechte sind noch möglich.


Erster Versuch - ODER-Verknüpfung:


Resource | /tickets | ----X
Object | /system/users/*{User.UserID EQ 1} | ----X
Object | /system/users/*{User.UserID EQ 2} | ----X
Object | /system/roles/*{Role.Name EQ "Superuser"} | ----X
Object | /system/roles/*{Role.ID EQ 2} | ----X


Jeweils eines der beiden Objekte ist sichtbar und kann deshalb anderen Rollen zugeordnet werden (z.B. auch einer "Deny ALL" Gruppe) oder sogar direkt editierbar.


Zweiter Versuch - andere logische Operatoren


Resource | /tickets | ----X
Object | /system/users/*{User.UserID LTE 2} | ----X
Object | /system/roles/*{Role.ID LTE 2} | ----X


Jetzt sieht der Nutzer gar keine Nutzer und Rollen mehr.


Auch meine Versuche mit $CurrentUser sind ins Leere gelaufen und ich habe leider keine Idee mehr, was ich noch probieren könnte... 


Hat jemand eine Idee, was ich grundlegend falsch mache oder ist das so gewollt?


Aktuell habe ich die 18.16 onPrem, an dem Lösungsversuch bastele ich aber schon seit der 18.13.


Viele Grüße


Oli

[Beatrice Müller]

Hallo,

vorab Entschuldigung für die späte Rückmeldung. Das Thema scheint uns durch die Lappen gegangen zu sein.
Ich habe versucht die Anforderung nachzuvollziehen (V22 Build 3892.1566)

Wenn ich das richtig verstanden habe, sollen User der Rolle "System Admin" keine erweiterten Berechtigungen vergeben können.
Die Ansätze aus dem ersten Versuch sind bereits korrekt.

Object | /system/users/*{User.UserID EQ 1} | ----X
-> bewirkt ausblenden des "admin"-Users

Object | /system/roles/*{Role.Name EQ "Superuser"} | ----X
-> bewirkt ausblenden der Rolle "Superuser"

Es würde an der Stelle bereits ausreichen die Rolle "System Admin" ebenfalls zu "sperren":
Object | /system/roles/*{Role.Name EQ "System Admin"} | ----X

Somit können die User ihre Rechte nicht erweitern. Allerdings können sie nach wie vor neue Rollen anlegen und sich somit auch wieder auf alles berechtigen.

Vielleicht wäre es daher sinnvoller die komplette Rollenverwaltung zu "sperren":
Ressource | /system/roles/* | ----X

Dann könnten diese User aber auch keine anderen Nutzer mehr auf Rollen berechtigen.

Ich hoffe das hilft etwas weiter.

Viele Grüße
Beatrice