Benutzer kann "persönliche Daten" immer ändern? Ist das ein Bug?

**Webbaumeister** · 17.08.2012, 10:37

(Contao v. 2.11.3)

Ich möchte die Rechte eines Benutzers so weit zurechtstutzen, dass der Benutzer seine persönlichen Daten nicht ändern kann.

Die Rechte der Benutzergruppe sind:
- Backend-Module/Inhalte/Events
- tl_calendar_events: gewisse Rechte
- alle anderen Rechte sind nicht gegeben, auch für die Tabelle tl_user hat der Benutzer keine Rechte

Der Benutzer ist nur dieser Gruppe zugeordnet und die Rechtevererbung ist auf "Nur Gruppenrechte verwenden". Trotzdem kann der Benutzer seine persönlichen Daten ändern (Namen, E-Mail-Adresse, Passwort etc.).

Ist das ein Bug oder habe ich ein Verständnisproblem?

Herzlichen Dank für eure Antworten.

--------------

Behelfsmässig habe ich das Problem wie folgt gelöst.
Aber das ist natürlich keine schöne Lösung, da der Menüpunkt "Persönliche Daten" nach wie vor angezeigt wird.

PHP-Code:


//dcaconfig.php

if($this->User->isMemberOf(14))

{

    unset($GLOBALS['TL_DCA']['tl_user']['fields']);

}

**the_scrat** · 18.08.2012, 17:39

Zitat von Webbaumeister

Ist das ein Bug oder habe ich ein Verständnisproblem?

Hi,

ich glaub in dem Fall hast du ein Verständnisproblem. Warum willst du einem Benutzer nicht die Möglichkeit geben seinen Namen bzw. Passwort oder E-Mailadresse zu ändern? Das hat schon seine Berechtigung. Wenn man so wenig Vertrauen zu einem Backendbenutzer hat, dass man ihm nichtmal seine eigenen Daten bearbeiten lassen möchte oder ein neues Passwort setzen möchte, sollte man sich ernsthaft überlegen ob man überhaupt einen oder mehrere Backendbenutzer anlegt.

**tril** · 19.08.2012, 10:14

Zitat von Webbaumeister

Ist das ein Bug oder habe ich ein Verständnisproblem?

Seine persönlichen Daten kann ein Benutzer immer ändern und das lässt sich nicht abschalten (wäre auch schwachsinnig, das nötige dazu hat the_scrat bereits gesagt).
Die Berechtigungen auf tl_user beschränken sich auf das "Benutzer" Modul.

**JamesdK** · 14.10.2012, 11:57

Ich muss das Thema jetzt doch nochmal aufnehmen.
Solange es nur Name, E-Mail und Passwort ist, stehe ich da voll hinter euch – das soll der Benutzer ruhig bearbeiten können. Aber warum bekommt er dazu auch noch die unter "Backend-Einstellungen" zusammengefassten Möglichkeiten, z. B. den TinyMCE oder den Code-Editor zu verwenden? Es gibt nun mal Redakteure, denen ich keine HTML-Ansicht eines CE Text zumuten möchte. Trotzdem dürfen sie hier "eingreifen" und das aktiv ändern. Oder habe ich bisher übersehen, wo man das abschalten kann?

**the_scrat** · 14.10.2012, 12:04

Dafür und auch für das, was eigentlich gefordert wurde, gibt es die Benutzergruppen. In diesen kann man unter "Erlaubte Felder" in der Tabelle tl_user alles ausblenden/erlauben was der User braucht.
Das klappt natürlich nur, falls der Backenduser in einer Benutzergruppe ist. Damit kann so gut wie jedes Feld ein- bzw. ausgeblendet werden.

**JamesdK** · 14.10.2012, 12:48

Vielelicht haben wir uns falsch verstanden. Der von dir beschriebene Weg funktioniert, wenn ich dem User die Userverwaltung freischalte. Allerdings darf er dann bei allen Usern rumpfuschen.
Aber in seinen persönlichen Daten, die man entweder unten links bzw. über "Benutzer xy" oben neben der Frontendvorschau erreicht, hat das keinerlei Auswirkungen.

**the_scrat** · 14.10.2012, 12:54

Oh, stimmt, doch, hatte schon das richtige im Kopf, aber du hast natürlich vollkommen recht tl_user ist natürlich für den Benutzerbereich und hat nichts mit den Persönlichen Daten zu tun.

**planepix** · 14.10.2012, 13:00

Um speziell den TINYMCE anzupassen bzw. die Rechte der Benutzer kann man sicher mit dem Tiny Customizer von PSI weiter kommen.

https://github.com/psi-4ward/TinyMCE_Customizer

**JamesdK** · 14.10.2012, 13:01

Und nu? Dafür gibt es keine "einfache" Lösung, oder? Ist das vielleicht einen Bug Report wert?

**JamesdK** · 14.10.2012, 13:06

@planepix Danke, den kenne ich schon. Ist aber leider nicht die Lösung für das Problem.

Es geht hier allein um die Möglichkeiten, die ein Benutzer in seinen Persönlichen Einstellungen tätigen kann. Name, Passwort, E-Mail ist vollkommen OK. Aber ändern des Backend-Themes, Ausschalten des TinyMCE oder Wegblenden der Erklärungstexte? Das geht mir dann doch teilweise viel zu weit. Für Admins bzw. fortgeschrittene Nutzer könnte ich das noch gelten lassen. Aber gerade die vollkommen unbedarften Benutzer, die ausschließlich z.B. News schreiben sollen, bekommen so durch einen unbedachten Klick auf einmal eine Eingabemaske für News, mit der sie wahrscheinlich nicht umgehen können. Dann doch lieber verstecken und gut ist.

**the_scrat** · 14.10.2012, 13:18

Ein Bug ist es ja - meiner Meinung - nicht. Dann schreib doch einfach in die dcaconfig.php unter /system/config einfach

unset($GLOBALS['TL_DCA']['tl_user']['fields']['useRTE']);

und schon ist das Problem gelöst

**JamesdK** · 14.10.2012, 14:02

OK, damit kann ich was anfangen. Ich hab es noch auf die Nichtadministratoren eingeschränkt:

PHP-Code:


if (!$this->User->isAdmin){

unset($GLOBALS['TL_DCA']['tl_user']['fields']['useRTE']);

}

Danke!

Unabhängig von dieser Lösung fände ich aber eine Steuerung über die tl_user Berechtigungen bei den Benutzergruppen irgendwie logischer.

**the_scrat** · 14.10.2012, 17:20

Hi nochmal,

ich widerspreche mir ja ziemlich ungern, aber wie ich gerade gesehen habe ist sehr wohl die tl_user in den Benutzergruppen dafür verantwortlich ob diese Felder gezeigt werden oder nicht. Dort werden ja auch die Punkte aufgelistet wie
- Code-Editor verwenden
- Backendmotiv

usw. von daher "könnte" man über diese Benutzergruppen diese Felder auch ausblenden. Und da wären wir beim 2. widersprechen, denn wie es aussieht, handelt es sich tatsächlich um einen Bug, der nicht unter persönliche Daten zieht, denn laut den Standardeinstellungen sollten alle Felder nicht sichtbar sein. Und viele Erweiterungen die sich unter persönliche Daten platzieren z.B. Easy_Themes lassen sich damit nicht ausblenden obwohl "exclude => true" ist.

**JamesdK** · 15.10.2012, 07:13

Ich habe dazu jetzt mal einen Bug Report erstellt. Mal schauen, ob wir das logischer hinbekommen ;-)
https://github.com/contao/core/issues/4929

**Webbaumeister** · 14.11.2012, 11:25

Zitat von the_scrat

Hi,

ich glaub in dem Fall hast du ein Verständnisproblem. Warum willst du einem Benutzer nicht die Möglichkeit geben seinen Namen bzw. Passwort oder E-Mailadresse zu ändern?

Der Anwendungsfall war folgender:

Der Kunde wollte nur einen Login pro Benutzergruppe (jedes Team hat einen Login). Da macht es natürlich wenig Sinn wenn einzelne Mitglieder der Arbeitsgruppen das Passwort ändern können.

Das Optimum wäre natürlich den Kunden von "ein Login pro Person" zu überzeugen - aber das wäre nur Zusatzaufwand gewesen den der Kunde sich gar nicht leisten konnte. Zudem wird pro Team ein paar Mal jährlich etwas auf die Website geschrieben. Da macht es (aus praktischen Gründen) durchaus Sinn, dass jedes Teammitglied Login und Passwort irgendwo notiert hat und das Passwort über längere Zeit dasselbe bleibt.

**Kahmoon** · 24.01.2013, 15:38

Servus,

gibts hier inzwischen eigentlich ne Lösung? Finde es aktuell auch sehr unschön das der User bei "Persönlichen Daten" zu viele Felder sieht. Ein "Dummy" muss nicht Funktionen wie Cache leeren, Backendmotiv oder RTE sehen. Mal abgesehen davon das er es vermutlich nicht versteht

. Die Einstellung in tl_user greifen hier ja leider nicht :/

Kann ich das vielleicht irgendwie über eine Config deaktivieren?

greetz

**ptra** · 18.02.2013, 08:19

Moinmoin,
Stehe auch vor dem Problem, dass der User sein Passwort nicht eigenständig ändern darf (Vorgabe vom Kunden). Da sollten dann "Persönlichen Daten" eigentlich ganz aus dem BE-Modul verschwinden. Wäre in diesem Fall für alle einfacher. Für einen Tipp wäre ich dankbar.
Gruß. Petra ;-)