Zum Administrator werden

Problemstellung

1. Administratoren können versehentlich auf vertrauliche Bereiche des Forums zugreifen.
2. Solche unerwünschten Zugriffe werden nicht protokolliert.
3. Administratoren können Fehlkonfigurationen übersehen, da ihre Superkräfte die normale Benutzererfahrung für sie verbergen.

Funktionsbeschreibung

Ähnlich wie bei der Funktion Impersonating a user sollte ein Benutzer mit Administratorrechten die Möglichkeit haben, sich nur dann zum Administrator zu “befördern”, wenn dies unbedingt erforderlich ist, um Verwaltungsaufgaben durchzuführen.

Im Gegensatz zur Funktion “Anonymisierung” erfordert diese Funktion kein Ausloggen, um zu den normalen Benutzerprivilegien zurückzukehren.

Diese Funktion würde:

1. Administratoren erlauben, die Website als normaler Benutzer zu durchsuchen und die tägliche Erfahrung anderer Benutzer zu teilen.
2. Verhindern, dass Administratoren versehentlich auf private Bereiche des Forums zugreifen.
3. Unbefugten Zugriff auf solche privaten Bereiche durch eine tatsächliche Protokollierung des Administratorzugriffs absichern.

Der erste Punkt ist nützlich, da die Administratorerfahrung sich stark von der Benutzererfahrung unterscheidet und Administratoren möglicherweise Benutzerprobleme nicht erkennen können (z. B. in Bezug auf falsch gesetzte Berechtigungen für Kategorien oder Gruppen usw.).

Der zweite Punkt kann in Fällen kritisch sein, in denen eine Gruppe Vertraulichkeit erfordert: Das Klicken auf einen Link könnte den Administrator versehentlich zu einem Verstoß gegen die Vertraulichkeit verleiten.

Der dritte Punkt würde es Administratoren ermöglichen, für unbefugten Zugriff auf vertrauliche Bereiche des Forums zur Rechenschaft gezogen zu werden, während sie dies derzeit überhaupt nicht sind.

Wie könnte es funktionieren?

• Die Privilegieneskalation sollte nur für tatsächliche Admin-Konten verfügbar sein.
• “Admin” könnte als zusätzliche Vertrauensstufe betrachtet werden (z. B. Stufe 5 ^[1]).
• Die Rückkehr in den “normalen” Modus würde einfach zur vorherigen Vertrauensstufe (TL) zurückschalten.

Anstatt eine völlig neue “Admin-Perspektive” zu bieten, könnte der Admin-Modus eine zusätzliche Benutzeroberfläche hinzufügen:

• Hervorheben von Links, die nur funktionieren, weil Sie ein Admin sind.
• Hervorheben von Kategorien, auf die Sie nur weil Sie ein Admin sind, Zugriff haben.
• Hervorheben von Gruppenzugehörigkeiten, die Sie weil Sie ein Admin sind, sehen können (z. B. wenn Sie Mitglied der Gruppe mit eingeschränktem Zugriff auf die Gruppenmitgliedschaft sind, würde die Hervorhebung nicht angewendet).
• Hervorheben von Informationen, die nur Administratoren sehen können.

1. Ein Verweis auf Chris Markers Film Level 5, in dem ein Programmierer versucht, das Videospiel ihres verstorbenen Mannes über die Schlacht von Okinawa zu beenden, um Trauer zu überwinden. ↩︎

Ich denke, das ist ähnlich wie

Ich kann sehen, wie es ähnlich ist, aber es gibt Probleme in der anderen Diskussion, die sich auf das hier beziehen:

Außer, dass man als Administrator keine Möglichkeit hat zu sehen, dass ein Link zu einem vertraulichen Gespräch, zu dem man normalerweise keinen Zugang hätte, tatsächlich tabu ist. Dies ist nur ein Fall (der uns gestern passiert ist und mich dazu veranlasste, dieses Thema zu starten), in dem die Nicht-Trennung von Administrator und Teilnehmer problematisch sein kann.

Darüber hinaus sehe ich, dass das Discourse-Team dazu neigt, alles Administratoren zu sein, was eine horizontale Supermacht darstellt und als Kultur nicht hilft, zwischen normaler Nutzung und privilegierter Nutzung zu unterscheiden. Nicht alle Communities sind horizontal, manchmal sollte den Technikern, die Administratorrechte haben, nicht alles im Forum anvertraut werden, und das ist kein Ausnahmefall: Seit Anbeginn der Computer-Systeme ist es so, dass root alles sehen und tun kann. Privilegien bringen sicherlich Verantwortung mit sich, aber manchmal reicht Wohlwollen nicht aus, besonders wenn man nicht zwischen in Ordnung und tabu unterscheiden kann.

Obwohl die Lösung “einen anderen Browser-Profil verwenden”, um ein normales und ein Admin-Konto zu verwalten, nicht sehr praktisch ist, besonders da wir uns alle daran gewöhnen, die Werkzeuge zur Hand zu haben. Jedes Mal, wenn eine Admin-Funktion benötigt wird, einen neuen Browser zu starten, kann sehr ärgerlich sein (nicht jeder mag oder kann es sich leisten, ungenutzte Ressourcen auf seinem Computer zu beanspruchen). Es verhindert auch nicht die Situation des neugierigen Blicks eines privilegierten [abbr title=“Bastard Operator From Hell”]BOFH[/abbr].

Die Zeiten ändern sich. Hier haben wir einen Administrator, der versehentlich auf vertrauliche Informationen zugegriffen hat, die das Leben anderer Menschen beeinträchtigt haben, und er hätte das nicht tun dürfen. Das ist ein Datenschutzverstoß. Es ist ein Sicherheitsproblem.

Ich verstehe die potenzielle Komplexität, aber das Kernproblem bleibt bestehen und sollte wahrscheinlich auf die eine oder andere Weise gelöst werden. Meiner Meinung nach wäre es nützlich, die Frage jetzt, da die Codebasis ausgereift ist, erneut zu prüfen und zu bewerten, ob der vorgeschlagene Ansatz machbar wäre.

Ja! Warnungen und Schutz vor solchen (Hausfriedensbruch-)Problemen wären nützlich.

Zu bestehenden Plugins:

• GitHub - discourse/discourse-anonymous-moderators könnte nützlich sein, aber eine kürzliche Änderung bei der E-Mail-Behandlung (Enabling e-mail normalization by default) könnte das ändern – das Verlassen auf keine Standardeinstellungen könnte sich als problematisch erweisen.
• GitHub - discourse/discourse-staff-alias: Allow staff users to post under an alias ist nur auf das Posten beschränkt.

Ich hätte lieber eine wirklich saubere Trennung zwischen Teilnehmer und Administrator nach der klassischen und bekannten sudo-Metapher, aus allen oben genannten Gründen.

Ich stimme zu, dass der sudo-Mechanismus – unter Windows der Dialog zur Benutzerkontensteuerung – eine gute Möglichkeit ist, damit ein Konto das Potenzial hat, als Administrator zu agieren, aber nicht immer die Fähigkeit dazu hat.

In einem meiner Foren verwende ich den Ansatz, ein Admin-Login zu haben, aber normalerweise immer als normales Konto angemeldet zu sein (Impersonate User). Wenn ich als Administrator handeln muss, melde ich mich ab und wieder an. Das bedeutet zwei Konten.

Ein Vorteil von zwei Konten ist, dass ich, wenn ich mit meinem normalen Konto poste oder kommentiere, nicht als mächtige, wichtige Person erscheine. (Manchmal wird das Kommentieren als Administrator als eine Erklärung oder eine polizeiliche Maßnahme aufgefasst. Es hängt von der Kultur und den Erwartungen des Lesers ab.)

Da diese Funktion, falls sie irgendwann implementiert wird (vergessen Sie nicht, dafür zu stimmen!), Zeit brauchen wird, bis sie umgesetzt ist, evaluieren wir die Nutzung von zwei Konten. Das bedeutet: Konvertierung bestehender Konten in normale Konten. Hier ist, was dies beinhalten sollte (ich werde versuchen, diesen Beitrag zu bearbeiten oder ihn zu einer Wiki zu machen, damit wir eine aktuelle Dokumentation mit Hinweisen pflegen können)…

Noch nicht getestet: Dies ist alles theoretisch, aus dem Stegreif.

Konvertierung eines bestehenden Discourse-Admin-Kontos in ein normales Benutzerkonto

Da wir die Historie und die “Foren-Erfahrung” des ursprünglichen Kontos nicht verlieren möchten, müssen wir vorsichtig vorgehen, bevor wir die Admin-Berechtigung entziehen.

Gegeben sei der Benutzer ich mit der E-Mail-Adresse original-ich@email.example.

Erster Fall: Admin-Konto in DISCOURSE_DEVELOPER_EMAILS

Wenn die E-Mail-Adresse des Admin-Kontos Teil von DISCOURSE_DEVELOPER_EMAILS ist, kann es nicht zu einem normalen Konto herabgestuft werden.

1. Erstellen Sie ein neues Konto, das zum Admin wird, z. B. ich2 mit der E-Mail-Adresse original-ich+admin@email.example.
2. Gewähren Sie vom ich-Konto aus dem neuen Konto ich2 die Administratorberechtigung.
3. Bearbeiten Sie app.yml (oder web_only.yml, wenn Sie das Dual-Container-Setup verwenden), um original-ich@email.example durch original-ich+admin@email.example zu ersetzen und den Container neu zu erstellen.
4. Stufen Sie vom ich2-Konto aus das ursprüngliche ich-Konto herab.

Sie haben nun ein normales Benutzerkonto mit Ihrer gesamten Erfahrung (ich) und ein neues Admin-Konto (ich2): Gehen Sie zu “Nachwirkungen”.

Zweiter Fall: Vom normalen Benutzer befördertes Admin-Konto

Dies ist einfacher, da Sie diesen Benutzer herabstufen können, ohne den Container neu erstellen zu müssen.

1. Erstellen Sie ein neues Konto, das zum Admin wird, z. B. ich2 mit der E-Mail-Adresse original-ich+admin@email.example.
2. Gewähren Sie vom ich-Konto aus dem neuen Konto ich2 die Administratorberechtigung.
3. Stufen Sie vom ich2-Konto aus das ich-Originalkonto herab.

Sie haben nun ein normales Benutzerkonto mit Ihrer gesamten Erfahrung (ich) und ein neues Admin-Konto (ich2): Gehen Sie zu “Nachwirkungen”.

Nachwirkungen

Zuvor hatten Sie ein einziges Benutzerkonto mit Admin-Berechtigung: Sie erhielten Benachrichtigungen über System-Upgrades, überprüften Flags und konnten auf alle Bereiche zugreifen, einschließlich derjenigen, die Sie nicht sehen sollten (z. B. private Benutzernachrichten, wenn sie nicht verschlüsselt sind) oder Kategorien, die für Gruppen eingeschränkt sind, denen Sie nicht angehören. All das ist weg! Jetzt müssen Sie sich regelmäßig mit Ihrem Admin-Konto anmelden, um alles zu tun, was Sie von Ihrem einzigen Benutzer-/Admin-Konto gewohnt waren (was ein weiterer Grund ist, warum die vorgeschlagene Funktion nützlich ist). Sie müssen diese Disziplin aufbauen, um die beiden Konten gleichzeitig zu öffnen, wenn Sie Live-Admin-Benachrichtigungen wünschen (z. B. über einen privaten Tab in Firefox oder ein Äquivalent für andere Webbrowser).

Hinweise

Sie sollten Ihr Admin-Konto nicht für etwas anderes als die Administration verwenden.

Surfen Sie nicht in Diskussionen, während Sie Admin sind! Diese Zeit geht für Ihren eigenen Vertrauensstufenfortschritt verloren, und Sie wissen nie, wann Sie auf einen Link klicken, der für Sie als Person tabu ist.

Wenn Sie beim Surfen mit Ihrem Admin-Konto etwas lesen, das Sie zum Handeln veranlasst, wechseln Sie entweder zu Ihrem normalen Benutzer-Tab und navigieren Sie zur ursprünglichen URL oder, wenn Ihr normaler Benutzer keinen Zugriff auf diesen Bereich hat: Vergessen Sie es sofort (es sei denn, Sie sollten natürlich mit Ihrem Admin-Hut reagieren).

Sie sollten Ihr Admin-Konto so konfigurieren, dass es anders aussieht.

Ändern Sie Ihren Avatar, um sicherzustellen, dass Sie Ihr Admin-Konto und Ihr normales Benutzerkonto niemals verwechseln. Machen Sie Ihr Profil unsichtbar. Ändern Sie Ihr Hintergrundbild oder Ihr Thema, Ihren Namen, um “ADMIN” oder etwas wie “DIESES KONTO POSTET NICHT” usw. einzufügen. Stellen Sie einfach sicher, dass Sie nicht versucht sind, mit Ihrem Admin-Konto zu posten, jemals.

Sie sollten Ihr Admin-Konto so konfigurieren, dass Benachrichtigungen gefiltert werden.

TODO: diesen Abschnitt detaillieren

Sie sollten Ihr Admin-Konto so einrichten, dass alle Benachrichtigungen per E-Mail stummgeschaltet werden (es sei denn, Sie möchten solche Benachrichtigungen erhalten, z. B. um nicht ständig einen Admin-Tab offen halten zu müssen) UND Sie können klar unterscheiden, welche für Sie als Person und welche für Ihre Admin-Rolle bestimmt sind.

Sie möchten wahrscheinlich Desktop-Benachrichtigungen erhalten, um Flags und wichtige Nachrichten zu erfassen.

Was tun mit der Staff-Kategorie und Whispers?

Ja, Sie stoßen auf ein weiteres kompliziertes Problem bei der Verwendung von zwei separaten Konten für Admin- und normale Benutzerbeteiligung. Manchmal müssen Sie als Admin im Forum interagieren. Das ist wahrscheinlich unvermeidlich. Versuchen Sie, nicht schizophren zu werden, und versuchen Sie, Ihre Staff-Interventionen so weit wie möglich zu minimieren. Bitte berichten Sie von Ihren Taktiken im Umgang mit diesem mühsamen Problem und motivieren Sie das All-Admin-Discourse-Team, diese Funktion zu implementieren.

Vorteile der Zwei-Konto-Lösung

1. Saubere Trennung zwischen Teilnahme und Administration (irgendwie)
2. Sie können von Ihrem normalen Konto aus keine Fehler machen
3. Alle Ihre Admin-Aktionen werden ordnungsgemäß protokolliert
4. Als Benutzer erleben Sie das Forum wie jeder andere Benutzer, sodass Sie Berechtigungsprobleme leicht erkennen können
5. Wenn Sie versehentlich als admin posten, aber als sich selbst posten wollten, können Sie den Besitz auf Ihr anderes Konto übertragen (aber das untergräbt irgendwie die Existenz von zwei Konten).

Also werden Administratoren normale Benutzer oder TL4 sein, aber sie können den „Admin-Modus“ einschalten, um die speziellen Admin-Funktionen zu nutzen?
Wenn ja, was hindert die Administratoren daran, ihn immer eingeschaltet zu lassen?

Das ist eine interessante Anmerkung. Gibt es eine Möglichkeit, die Lücke zu schließen – einer Gruppe die Zustellung von Benachrichtigungen zu ermöglichen, ohne den Inhalt? „Es gibt markierte Beiträge“ „Es wartet eine Nachricht“ „Ihre Installation ist veraltet“

Hier ist eine Idee: Die Administratorrolle kann nicht in eine öffentliche Kategorie oder einen Thread posten, sie kann keine Beiträge mögen.

Das bedeutet auch, dass das Konto wie ein normaler Benutzer ignoriert werden könnte. Wir erhalten nur notwendige Updates vom Administrator, wenn wir sie ignorieren wollen.
Wirklich großartig