Em vez de ter apenas um grupo atribuído, novos usuários estão recebendo todos os grupos existentes — mesmo sendo grupos fechados. Isso acabou permitindo que eles lessem todas as mensagens/notificações enviadas a qualquer pessoa.
Se eu verificar o perfil deles usando as opções de administrador, diz que eles têm apenas um grupo atribuído e apenas as permissões Trust0 e Trust1. PS: O grupo Beta não possui nenhuma permissão que possa estar fazendo com que vejam isso.
Em resumo: como posso fazer com que os usuários tenham apenas um grupo específico, em vez do que está acontecendo agora?
Tenho quase certeza de que foi um bug na minha instalação. Foi a primeira vez que fiz isso — talvez tenha mexido no app.yml e em outras coisas que não deveria. Desculpe por ter criado esse tópico antes de tentar tudo o que pude.
Excluí as imagens do Docker e reinstalei; agora está funcionando perfeitamente!
