Frage
Warum darf der Benutzeradministrator jemanden zu der Administratorgruppe hinzufügen und wie kann dieses Verhalten verhindert werden?
Antwort, Auflösung
Die Benutzer-Administratoren (jedes Benutzer-Mitglied der Gruppe Benutzer-Administratoren) können Benutzer und Gruppen erstellen und die Gruppen-Mitgliedschaft verwalten (das heißt, sie haben die Berechtigung Verändern und Erstellen für alle Benutzer und Gruppen).
Standardmäßig haben die Benutzer-Administratoren keine Berechtigung zum Schreiben von ACLs, sie können also die ACL einer Ressource nicht bearbeiten und sind daher nicht berechtigt, die für die Benutzer oder Gruppen erteilten Berechtigungen zu ändern.
Da die Benutzer-Administratoren standardmäßig jeden Benutzer und jede Gruppe zu jeder Gruppe hinzufügen können, ist es möglich, dass die Benutzer-Administratoren einen Benutzer oder eine Gruppe (auch sich selbst) zu einer Gruppe hinzufügen können, die zusätzliche Berechtigungen erhält.
Wenn die Benutzer-Administratoren nicht in der Lage sein sollten, Benutzer oder Gruppen zu bestimmten Gruppen hinzuzufügen, die mächtiger sind als die Benutzer-Administratoren selbst, sind die Administratoren dafür verantwortlich, die Berechtigungen entsprechend anzupassen.
Die Administratoren (Administratorbenutzer und jedes Benutzermitglied der Administratorengruppe) können dies tun, indem sie den Schreibzugriff auf den Knoten verweigern, welcher der Gruppe mit mehr Privilegien entspricht (d.h. die Administratorgruppe), und zwar für alle außer denen mit der wirklichen Erlaubnis (d.h. die Administratoren).
Dies verhindert (in unserem Beispiel), dass die Benutzer-Administratoren die Mitglieder der Administratoren-Gruppe ändern.
Hinweis: Dies gilt nicht nur für die Administratorengruppe, sondern kann für jede projektspezifische Gruppe erforderlich sein, die als mächtiger als die Benutzer-Administratoren angesehen wird.
Beispiel: Für die Administratorengruppe (die einzige Gruppe mit mehr Berechtigungen als die Benutzer-Administratoren in der Ersteinrichtung).
- Melden Sie sich als Administrator (Administratorbenutzer oder Benutzermitglied der Administratorgruppe) beim CRX-System an. Wechseln Sie den Arbeitsbereich zu „crx.system“.
- Öffnen Sie den CRX-Browser und wechseln Sie zum Knoten der Administratorengruppe - /rep:security/rep:principals/rep:groups/administrators.
- Wählen Sie den Knoten
Administratoren
und wählen Sie im oberen Menü Sicherheit -> ACL-Editor. - Wechseln Sie auf die Registerkarte
ACL
und fügen Sie eine neue Berechtigung hinzu mitprincipal=user-administrators
und verweigern Sie den Zugriff auf Verändern (set_property). Sie können auch jeglichen Zugriff verweigern. Mit dem Verweigern des Lesezugriffs können die Benutzer-Administratoren die Administratorengruppe in der GUI nicht mehr sehen. Dies verhindert die Auswahl der Administratorgruppe für eine Mitgliedschaftsmanipulation (die sowieso nicht funktioniert, da der Verändern-Zugriff verweigert wird). - Melden Sie sich jetzt mit einem Testbenutzer an, der Mitglied der Gruppe Benutzer-Administratoren ist. Sie können der Administratorengruppe keine Benutzer oder Gruppen mehr hinzufügen oder die Administratorengruppe sehen, wenn Sie auch den Lesezugriff verweigert haben.
Übersicht:
Ein Administrator (oder jeder andere Benutzer, der Mitglied einer Gruppe ist, welche die Erlaubnis hat eine ACL in irgendeine Ressource zu schreiben), der die Berechtigungen von Gruppen ändert, muss wissen, dass die Benutzer-Administratoren Mitglieder zu dieser Gruppe hinzufügen dürfen. Daher kann es erforderlich sein, die Berechtigungen der Benutzer-Administratoren für die Änderung der entsprechenden Gruppenmitglieder einzuschränken.
Dies gilt auch für andere Benutzer/Gruppen, die eine Gruppenmitgliedschaft schreiben dürfen.
Gilt für
CQ5.2.0, CQ5.2.1.