Berechtigungsmatrix • Benutzerverwaltung
Dieser Artikel fasst in Form einer Berechtigungsmatrix zusammen, welche Aktionen je nach Benutzerrolle in den Registerkarten Benutzerverwaltung und Organisation erlaubt sind oder nicht. So wissen Sie für jede Rolle, welche Vorgänge für Benutzer und Organisationen möglich sind.
Glossar der Rollen
Bevor Sie die Matrix lesen, sollten Sie die verschiedenen Rollen kennen:
- Super-Admin: Administrator der Mutterorganisation, verantwortlich für die Aktivierung der Lizenz.
- Administrator der Organisation: Administrator der aktuellen Organisation (Organisation N).
- Administrator einer übergeordneten Organisation: Administrator einer hierarchisch über der aktuellen liegenden Organisation (Organisation N+1 bis N+∞).
- Moderator der Organisation: Moderator der aktuellen Organisation (Organisation N).
- Moderator einer übergeordneten Organisation: Moderator einer hierarchisch über der aktuellen liegenden Organisation (Organisation N+1 bis N+∞).
- Einfacher Benutzer: einfacher Benutzer der Organisation. Er erscheint nicht als Spalte in der Matrix, da einfache Benutzer keinen Zugriff auf die Registerkarte Benutzerverwaltung haben.
- User: Oberbegriff für alle Benutzertypen (Administrator, Moderator oder einfacher Benutzer).
Die „blinden“ Rollen
Ein blinder Benutzer (Administrator oder Moderator) besitzt dieselben Rechte in der Benutzerverwaltung wie die entsprechende nicht-blinde Rolle. Der einzige Unterschied betrifft LockPass: Ein blinder Benutzer hat keinerlei Rechte an Passwörtern.
Deshalb enthält die Matrix keine eigene Spalte für blinde Rollen: Der Unterschied bei den Rechten betrifft ausschließlich die Passwortverwaltung und nicht die Benutzerverwaltung in Benutzerverwaltung.
Hinweis: In allen folgenden Tabellen betrachten wir die Situation aus Sicht der Organisation N (der aktuellen Organisation).
Aktionen an Benutzern
| Aktion | Super-Admin | Admin Org. N | Admin übergeordnete Org. | Moderator Org. N | Moderator übergeordnete Org. |
|---|---|---|---|---|---|
| Einen einfachen Benutzer erstellen | ✅ | ✅ | ✅ | ✅ | ✅ |
| Einen einfachen Benutzer löschen | ✅ | ✅ | ✅ | ✅ | ✅ |
| Einen einfachen Benutzer verschieben | ✅ | ✅ | ✅ | ✅ | ✅ |
| Einen Benutzer zu einer Gruppe hinzufügen | ✅ | ✅ | ✅ | ✅ | ✅ |
| Einen einfachen Benutzer sperren | ✅ | ✅ | ✅ | ✅ | ✅ |
| Einen Moderator sperren | ✅ | ✅ | ✅ | ❌ | ❌ |
| Die Administration der Organisation ändern | ✅ | ✅ | ✅ | ❌ | ❌ |
| Einen Benutzer der Org. N ➝ Moderator der Org. N machen | ✅ | ✅ | ❌ | ❌ | ❌ |
| Einen Moderator der Org. N ➝ Benutzer der Org. N machen | ✅ | ✅ | ❌ | ❌ | ❌ |
| Den Super-Admin blind machen 1 | ✅ | ❌ | ❌ | ❌ | ❌ |
| Den Admin der Org. N blind machen 2 | ✅ | ❌ | ✅ | ❌ | ❌ |
| Den Moderator der Org. N blind machen 3 | ✅ | ✅ | ✅ | ❌ | ✅ |
| Die MFA eines Benutzers deaktivieren | ✅ | ✅ | ✅ | ✅ | ✅ |
| Das lokale Passwort eines Benutzers ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Den Dienstleisterstatus eines Benutzers ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Das Ablaufdatum eines einfachen Benutzers ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Das Ablaufdatum eines Moderators ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Den Rechtebericht eines Benutzers herunterladen | ✅ | ✅ | ✅ | ✅ | ✅ |
| Die MFA eines Administrators deaktivieren | ✅ | ✅ | ✅ | ✅ | ✅ |
| Die MFA eines Moderators deaktivieren | ✅ | ✅ | ✅ | ✅ | ✅ |
Verwaltung von Benutzergruppen
| Aktion | Super-Admin | Admin Org. N | Admin übergeordnete Org. | Moderator Org. N | Moderator übergeordnete Org. |
|---|---|---|---|---|---|
| Eine Benutzergruppe in Org. N erstellen | ❌ | ✅ | ❌ | ✅ | ❌ |
| Den Namen einer Gruppe der Org. N ändern | ❌ | ✅ | ❌ | ✅ | ❌ |
| Eine Benutzergruppe der Org. N löschen | ❌ | ✅ | ❌ | ✅ | ❌ |
| Einen oder mehrere Benutzer zu einer Gruppe der Org. N hinzufügen | ❌ | ✅ | ❌ | ✅ | ❌ |
| Einen oder mehrere Benutzer aus einer Gruppe der Org. N entfernen | ❌ | ✅ | ❌ | ✅ | ❌ |
Verwaltung lokaler Passwörter und der MFA
| Aktion | Super-Admin | Admin Org. N | Admin übergeordnete Org. | Moderator Org. N | Moderator übergeordnete Org. |
|---|---|---|---|---|---|
| Das lokale Passwort des Moderators der Org. N ändern 4 | ✅ | ✅ | ✅ | ❌ | ✅ |
| Das lokale Passwort der anderen Moderatoren der Org. N ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Das lokale Passwort eines einfachen Benutzers ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
Für alle Rollen unmögliche Aktionen
Bestimmte Aktionen an Benutzern sind unabhängig von der Rolle unmöglich:
- Einen Administrator löschen
- Einen Moderator löschen
- Einen Administrator verschieben
- Einen Moderator verschieben
- Einen Administrator sperren
- Das Ablaufdatum eines Administrators ändern
Aktionen an Organisationen
| Aktion | Super-Admin | Admin Org. N | Admin übergeordnete Org. | Moderator Org. N | Moderator übergeordnete Org. |
|---|---|---|---|---|---|
| Eine Organisation auf Ebene der Org. N erstellen | ✅ | ❌ | ✅ | ❌ | ❌ |
| Eine Unterorganisation innerhalb der Org. N erstellen | ✅ | ✅ | ✅ | ❌ | ❌ |
| Den Namen der Organisation N ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Den Namen einer Unterorganisation der Org. N ändern | ✅ | ✅ | ✅ | ✅ | ✅ |
| Die Organisation N löschen, wenn sie keine Unterorganisation hat | ✅ | ❌ | ✅ | ❌ | ❌ |
Unmögliche Aktionen an Organisationen
Die folgenden Aktionen sind unabhängig von der Rolle unmöglich:
- Die Organisation N löschen, wenn sie Unterorganisationen enthält
- Die Mutterorganisation löschen
Anmerkungen
- Ein Super-Admin kann nur sich selbst blind machen.
- Ein Administrator der Org. N kann sich nicht selbst blind machen (das käme einer Selbstbeschränkung gleich). Ein Administrator einer übergeordneten Organisation kann dies tun.
- Ein Moderator der Org. N kann sich nicht selbst blind machen. Ein Moderator einer übergeordneten Organisation kann dies tun.
- Derzeit kann ein Moderator sein eigenes lokales Passwort nicht selbst ändern; diese Aktion muss von einer anderen berechtigten Rolle durchgeführt werden.
Aktualisiert