Wenn sich ein neuer Benutzer über einen Einladungslink anmeldet, muss ich den Benutzer derzeit auch genehmigen.
Dies untergräbt den gesamten Sinn einer Einladung; ich könnte ihnen genauso gut den Link zum Forum schicken.
Ich habe dies für eine Vielzahl von Situationen (neuer Link, alter Link, Einzelperson, mehrere) auf mehr als einer Instanz ausprobiert, und es ist dasselbe.
Ich habe /admin/site_settings/category/all_results?filter=must_approve_users für diese Instanzen auf TRUE gesetzt. Es scheint, als würde es das ein wenig zu wörtlich nehmen! Ich möchte nur diejenigen genehmigen müssen, die ohne Einladung beitreten, so wie es früher war.
Wenn Sie Benutzer müssen genehmigt werden festlegen, haben Sie sich ausdrücklich dafür entschieden, dass jeder Benutzer ausdrücklich genehmigt werden muss.
Wir mussten dies aus Sicherheitsgründen für Discourse-Benutzer ändern.
Ich schlage vor, das Forum auf „nur Einladung“, „Login erforderlich“ zu ändern? Beschränken Sie dann die Personen, die einladen dürfen.
Ich dachte, eine Einladung vom Personal sei eine ausdrückliche Genehmigung – insbesondere wenn sie die E-Mail-Adresse des Benutzers enthält!
Bei einer offenen Einladung gibt es natürlich viele Möglichkeiten, den Link zu missbrauchen. Aber der Mitarbeiter muss den Link absichtlich so einrichten, dass dies möglich ist, und kann dieses Risiko recht einfach übernehmen (und begrenzen).
Das bedeutet auch, dass Leute, die zufällig auf meine Seite stoßen, ihr nicht beitreten können und ausgeschlossen werden, es sei denn, sie finden jemanden, der sie einlädt. Das ist Mist.
Vorschlag
Wie wäre es, wenn Sie zwei Optionen zu /admin/site_settings/category/all_results?filter=must_approve_users hinzufügen?
Mitarbeiter müssen ALLE Benutzer genehmigen
Sofern nicht vom Personal eingeladen, müssen Benutzer genehmigt werden
Nur öffentliche Registrierungen erfordern die Genehmigung durch das Personal
Gerne füge ich dies dem Feature-Request-Bucket hinzu, leider haben wir im Moment keine Bandbreite, um hier an zusätzlicher Detailgenauigkeit zu arbeiten.
Das war sie, das Verhalten wurde jedoch vor etwa einem Monat geändert:
Wir haben eine Instanz, die von einer Wohltätigkeitsorganisation/Gewerkschaft für Kompetenztraining genutzt wird und die ähnlich betroffen ist.
Vor der Änderung luden Mitarbeiter Benutzer ein, die Genehmigung zu umgehen, jetzt müssen sie beides tun. Mit der Notwendigkeit, jede Genehmigung erneut zu überprüfen und mit den Mitgliedschaftslisten hat sich ihr administrativer Aufwand erheblich erhöht.
Ja … eine langfristige Lösung ist meiner Meinung nach, eine Website-Einstellung hinzuzufügen, die den entspannten Genehmigungsmodus ermöglicht, sozusagen als Opt-in.
Ich mache mir jedoch Sorgen, da es hier sehr, sehr schwierig ist, die Sicherheit richtig hinzubekommen. Je mehr Ausnahmefälle wir zulassen, desto mehr Komplexität und potenzielle Sicherheitslücken entstehen.
Ich frage mich, ob der wichtigste Sonderfall darin besteht, die Einstellung “Benutzer muss zustimmen” zuzulassen, wenn die Einladung eine bestimmte E-Mail-Adresse enthält, und die Einstellung “Benutzer muss zustimmen” für die anonymen Einladungslinks beizubehalten – aber es könnte auf dem Backend komplexer sein, als ich es mir vorstelle.
Das ergibt für mich Sinn, besonders wenn die Einladung an eine bestimmte E-Mail-Adresse gerichtet war UND vom Personal gesendet wurde. Ich stelle mir in diesem Szenario keine zweite Genehmigungsstufe vor.
Wie wäre es, wenn Administratoren nur ein Flag “automatisch genehmigen” setzen könnten und dies optional auf “unveränderte E-Mail” oder “auf eine beschränkt” oder Ähnliches beschränken? In meinem Fall wäre ich sogar mit einem Kommandozeilen-Einlader zufrieden, der diese speziellen vorab genehmigten Einladungen erstellen kann. Gibt es so etwas?
Als krude Notlösung habe ich getan, was Sam vorgeschlagen hat:
Ich habe ziemlich großzügig Einladungen zu unserem Forum verteilt, und das funktioniert gut.
Das Problem sind die „Laufkundschaft“, die über eine Google-Suche oder Ähnliches auf die Seite stoßen. Sie müssen per E-Mail nach einem Beitrittslink fragen, was für den Administrator eine echte Qual ist.
Armans Vorschlag ist ziemlich einfach und ich glaube nicht, dass er zu schwer zu implementieren (oder undicht) wäre:
Derzeit ist dies einfach nicht der Fall, wenn must_approve_users auf TRUE gesetzt ist:
Jedes Mal, wenn wir eine Gruppe von Leuten zum Einladen haben, müssen wir entweder viel Reibung in Kauf nehmen (der Genehmigungsschritt) oder die Website vorübergehend neu konfigurieren (und sie für öffentliche Registrierungen schließen), was ziemlich schmerzhaft ist.
Gibt es Gedanken dazu, ob dies eines Tages geschehen wird?
Hallo, ich möchte auch beantragen, dass es eine Funktion für Mitarbeitereinladungen gibt, die den Genehmigungsschritt umgehen kann, vielleicht durch einen optionalen booleschen Wert im Dialog zur Einladungsgenerierung.
Derzeit trifft die Aussage „Teile diesen Link, um sofort Zugriff auf die Website zu erhalten“ für Websites, die must_approve_users verwenden, überhaupt nicht zu.
Zusammenfassend lässt sich sagen, dass diese Anfrage dazu dient, dass Mitarbeiter auf einer must_approve_users-Website einen Einladungslink erstellen können, der den Genehmigungsschritt umgeht. Obwohl die von mir betriebene Website eine Genehmigung erfordert, möchten wir manchmal Benutzern über einen Einladungslink, von dem wir wissen, dass er privat an vertrauenswürdige Personen weitergegeben wird, oder wenn wir den Link auf einer physischen Veranstaltung teilen, die mit der Forum-Community verbunden ist, „vorab genehmigen“ können. (Wir kennen nicht unbedingt die bevorzugten E-Mail-Adressen solcher Eingeladenen, daher können wir keine Masseneinladung verwenden)
Bei unseren recht großen must_approve_users-Sites ist dies bei physischen Veranstaltungen immer noch ein ziemlicher Krampf.
Das Problem ist, dass wir den Leuten keinen schönen QR-Code, keine Einladung oder keinen Link geben können, um direkt auf unsere Instanz zu springen. Zumindest nicht ohne eine etwas unschöne Übergangslösung.
Die Übergangslösung und ihre Probleme
must_approve_users auszuschalten und die Site zu invite_only zu machen, ist nicht wirklich zufriedenstellend, da:
Viele Leute scheinen den Einladungsprozess zu vermasseln und versuchen, durch die (jetzt gesperrte) „Vordertür“ zu kommen.
Das durch die Veranstaltung erzeugte Interesse schwappt im Allgemeinen auch auf Nicht-Eingeladene über – aber diese können sich auch nicht bewerben.
Der aktuelle Zustand seit der Änderung hat die Dinge definitiv viel schwieriger gemacht. Die gemeinnützige Organisation für Kompetenztraining, mit der ich zusammengearbeitet habe und die am stärksten betroffen war, entschied sich einige Wochen später, ihre Gemeinschaft zu schließen.
Es ist einfach zu viel zusätzlicher Verwaltungsaufwand, wenn Hunderte von Menschen jede Woche kommen und gehen.
Danke, dass Sie das noch einmal ansprechen. Ich denke, wir sind hier bei der dritten Regel angelangt, dass eine Korrektur erforderlich ist, um die Einladung einfacher und reibungsloser zu gestalten. Das Einladungssystem hat sich als schwierig zu ändern erwiesen, da jeder es anders zu nutzen scheint. Wir wollen klare Anweisungen haben und versuchen, ihren Arbeitsablauf nicht zu stören.
Ich werde mich mit dem Team beraten und sehen, was wir schaffen können.
Das ist neu für mich, lassen Sie uns das separat betrachten.
Unsere Sorge ist, dass Websites auf viele verschiedene Arten eingerichtet werden können und dann auch erwarten, dass das Einladungssystem auf unterschiedliche Weise funktioniert. Sicherheit ist ein sehr reales Anliegen. Daher werden wir bei weiteren Änderungen am Einladungssystem vorsichtig vorgehen.
Mein persönliches Gefühl ist, dass der folgende Ansatz am besten wäre, da er nicht von einer Admin-Einstellung abhängt und das Verhalten direkt im Einladungsmodal kristallklar macht. Selbst für jemanden, der neu bei Discourse ist, wäre es schwierig, versehentlich einen Einladungslink zu erstellen und zu teilen, der etwas tut, was er nicht erwartet. Was meint ihr alle dazu?
Wenn die Admin-Einstellung Benutzer müssen genehmigt werden aktiviert ist
Ein Schalter wird dem Personal im Einladungsmodal angezeigt, um eine Einladung zu erstellen, die die Genehmigungsanforderung umgeht. z. B. [ ] Keine Genehmigung durch das Personal erforderlich
Einladungen, die eingelöst werden, wenn der Schalter in (2) ausgewählt ist, lassen den Benutzer ohne Genehmigung auf die Website.
Die Annahme ist, dass nur das Personal Zugriff auf diesen Schalter haben sollte, da die Absicht der Einstellung Benutzer müssen genehmigt werden darin besteht, dem Personal die Kontrolle darüber zu geben, wer der Community beitreten darf.
Wenn die Nachfrage ausreicht, könnten wir später erwägen, eine Admin-Einstellung hinzuzufügen, um festzulegen, wer Zugriff auf diese Funktion nach Gruppe hat.
Sam ging sogar so weit, die Änderung als überraschend komplex zu bezeichnen. Ich bezweifle ihn nicht.
Die Gesamtanstrengung der ursprünglichen Änderung und dieser zusätzlichen Maßnahme wird offensichtlich größer sein, als wenn dies von Anfang an berücksichtigt worden wäre. Wir stellten damals fest, dass, während eine Community den aktuellen Standard als anstößig empfand, es mehrere Communities gab, die auf diesem Verhalten beruhten. Zum Beispiel traf die Union, die ihre auf Discourse basierende Schulungswebsite aufgab, die Entscheidung nicht leichtfertig, aber es war für sie unpraktisch, fortzufahren, sobald von Mitarbeitern eingeladene Auszubildende im allgemeinen Genehmigungspool verloren gingen.
Wenn das Problem hier ein Mangel an explizitem Verständnis war, dann muss es wahrscheinlich einen Zwischenschritt zwischen Benutzer müssen genehmigt werden und dem Einladungsmodal geben, der die Option bietet, dass Mitarbeitereinladungen die Genehmigung umgehen können, sonst könnte die ursprüngliche Beschwerde, die zu dieser Änderung führte, immer noch auftreten.
Also eher so:
Wenn die Admin-Einstellung Benutzer müssen genehmigt werden aktiviert ist und eine neue Einstellung Mitarbeitereinladungen umgehen die Genehmigung von ihrem Standardwert nie geändert wird:
Wenn immer, dann würde das alte Verhalten greifen
Wenn optional, dann wird der Schalter im Modal angezeigt, um die Option zum Umgehen der anschließenden Genehmigung zu geben
Ohne das Intermediat sind sich Administratoren der Auswirkungen von “müssen genehmigen” nicht vollständig bewusst, und ein wenig Granularität wird das andere Problem lösen, wenn vergessen wird, den Schalter zu benutzen.
[quote=“Tobias Eigen, post:21, topic:231300, username:tobiaseigen”]
Was meint ihr dazu?
Wenn die Admin-Einstellung Benutzer müssen genehmigt werden aktiviert ist
Ein Schalter wird dem Personal im Einladungsmodal angezeigt, um eine Einladung zu erstellen, die die Genehmigungsanforderung umgeht. z. B. [ ] Keine Genehmigung durch Personal erforderlich
Einladungen, die eingelöst werden, wenn der Schalter in (2) ausgewählt ist, lassen den Benutzer auf die Website, ohne dass eine Genehmigung erforderlich ist.
Die Annahme ist, dass nur Personal Zugriff auf diesen Schalter haben sollte, da die Absicht der Einstellung Benutzer müssen genehmigt werden darin besteht, dem Personal die Kontrolle darüber zu geben, wer der Community beitreten darf.
[/quote]Ich glaube, das würde sehr gut funktionieren (vielleicht auch mit @Stephens Anpassung) - und ich liebe, dass es ein personenorientierter Ansatz ist, der nichts kaputt machen sollte, da er die Standardmechanismen vollständig intakt lassen würde.
Ein für mich äußerst wichtiger Sonderfall wären jedoch automatische E-Mail-Einladungen im Zusammenhang mit Gruppeneinladungen. Dies ermöglicht es, Personen zu einer Gruppe hinzuzufügen ODER ihnen eine Einladung zu senden, je nachdem, ob sie bereits registriert sind, und das mit einer einzigen Admin-Aktion. Persönlich bräuchte ich das auch irgendwie abgedeckt.
