No funciona cuando no hay sesión iniciada:
https://meta.discourse.org/u?exclude_groups=admins&order=likes_received
Sin iniciar sesión:
Con sesión iniciada:
Me topé con esto porque noté que, al no tener sesión iniciada en mis propios foros, ya no se me excluía de los usuarios ordenados por «me gusta» recibidos.
¿Es esto intencional para exponer a los miembros del grupo de administradores incluso cuando está establecido /u?exclude_groups=admins?
Creo que esto podría ocurrir porque los miembros de los grupos de administración no están disponibles para los usuarios que no han iniciado sesión de forma predeterminada. Puedes probarlo, por ejemplo, con el grupo de administración de Meta: https://meta.discourse.org/g/admins.
Puedes configurarlo en la configuración del grupo, lo que debería resolver tu problema (no lo he probado).
Si pudieras filtrar el directorio de usuarios por un grupo del que no tienes conocimiento o en el que no tienes permiso para ver sus miembros, eso filtraría información. Esto podría no ser tan relevante para el grupo de administración, pero imagina que pudieras filtrar el directorio de usuarios por los grupos ocultos de clientes empresariales en Meta.
Antes de publicar, visité https://meta.discourse.org/g/admins, que está oculto para los usuarios que no han iniciado sesión. Por eso inicié este tema. /g/admins está oculto para los usuarios no registrados, pero aún pueden ver a los miembros del grupo de administradores al visitar /u?exclude_groups=admins, lo cual parece, al menos, extraño.
Ahora estoy confundido. Según el título, esperaba que tanto /g/admins como /u?exclude_groups=admins funcionaran para los usuarios con sesión iniciada, mientras que no funcionan para los usuarios sin sesión iniciada.
Quizás estamos hablando de diferentes estados de «oculto» en la página de grupos:
Con «oculto», me refería a algo como privado: visitar /g/admins lleva a los usuarios sin sesión iniciada a la página de error. Creo que podrías estar pensando en el hecho de que la mayoría de los usuarios no ven los grupos predeterminados en la página de grupos (excepto los moderadores) porque algún código adicional los oculta. Pero aunque los grupos no se muestren en la página de grupos, es posible ver la página del grupo para los usuarios que hacen clic en un enlace.
El ocultamiento privado es lo que hace que el grupo sea secreto y es la razón por la que creo que tiene sentido que el filtro del directorio de usuarios no funcione. Revelaría información. El grupo que simplemente no se muestra no es secreto.
Entonces, limitas el acceso solo a los usuarios que han iniciado sesión. Si deseas que los visitantes tengan acceso al grupo, ¿por qué limitas la visibilidad y el acceso a los miembros en lugar de elegir «todos»?
Sesión cerrada, y la URL = /u?exclude_groups=admins:
Perdona si lo estoy entendiendo mal. Pensé que /u?exclude_groups=admins significaba que los administradores no estaban incluidos en la lista. ¿No es así?
Actualmente, solo se excluyen cuando se está conectado, pero cuando se está desconectado, se incluyen.
Sería ideal que /u?exclude_groups=admins funcionara tanto para visitantes registrados como para no registrados.
¿Puedes ampliar qué quieres decirme con esa captura de pantalla?
Veo que limitas el acceso al grupo a usuarios registrados. También limitas el acceso a los miembros del grupo a usuarios registrados.
Luego me muestras que un usuario que no ha iniciado sesión no puede acceder a los datos de los miembros del grupo. Para mí, eso tiene sentido. Solo esperaría que funcione si hubieras seleccionado “todos” en ambas configuraciones.
Da la sensación de que estás diciendo: “Quiero ocultar los datos sobre quiénes están en el grupo de administradores a los visitantes”. Pero al mismo tiempo, te quejas de que los datos no están disponibles para filtrar el directorio de usuarios.
No puedes excluir a los miembros de un grupo cuando no se te permite saber quiénes están en él.
Solo repito lo que dijo @Moin aquí. Si hiciéramos que exclude_groups=admins funcionara, alguien podría deducir los miembros del grupo de administradores, aunque no deberían tener acceso.
Por lo tanto, temo que esto sea intencional y poco probable que cambie. Si deseas que las personas puedan averiguar los miembros del grupo de administradores, necesitarás hacerlo visible para todos.
La misma lógica se aplica a cualquier persona que simplemente se registra. Si un usuario completamente nuevo se registra y utiliza exclude_groups=admins, los administradores quedan ocultos de su lista, por lo que ya pueden deducir la membresía comparando las listas filtrada y sin filtrar.
La barrera para “descubrirlo” es simplemente crear una cuenta gratuita, algo que cualquiera puede hacer en segundos. Entonces, ¿cuál es la verdadera diferencia entre un visitante sin iniciar sesión y una cuenta creada hace un minuto?
Para contextualizar, todo lo que realmente intento lograr es que, en el plugin de la barra lateral, donde hay un ranking, no se incluya el grupo de administradores en la lista de “más me gusta recibidos” ni en la de principales contribuyentes.
Eso depende de la configuración del sitio; muchos sitios no tienen registro abierto.
¿Entonces ajustar la visibilidad del grupo debería ser una buena solución alternativa? ¿O hay algún problema con eso?
¡Muchísimos lo hacen! La mayoría de los que visito
Sí, eso es ciertamente cierto. Pero cuando se trata de funciones de seguridad, tenemos que diseñar las cosas para que funcionen exactamente como se describen. Si alguien decide ocultar la pertenencia a un grupo, eso debe funcionar 100 % de manera confiable.
¿Por qué no cambias la visibilidad del grupo de administradores y sus miembros a “todos” para lograr eso? De esa manera, los datos estarían disponibles para los visitantes y el filtro debería funcionar. Especialmente cuando dices que cualquiera puede iniciar sesión y visitar /g/admins, no debería importar si los usuarios sin sesión iniciada también pueden hacerlo.
El problema es que ocultar la membresía no es realmente confiable aquí de todos modos. En muchos foros, incluido el mío, los administradores son algunos de los usuarios más activos. Por lo tanto, simplemente puedes ordenar el directorio por actividad y usualmente detectar a uno o dos administradores de inmediato.
La pertenencia al grupo de administradores se deduce fácilmente a partir de la actividad expuesta. Especialmente porque https://meta.discourse.org/u ya tiene como predeterminado ordenar por actividad:
Claro, también podrías ocultar todos los perfiles. Pero mi punto es que la ventaja de seguridad que se alega en la actual ignorancia de /u?exclude_groups=admins parece ser poca o ninguna, o como mucho superficial.
Así que registrarse realmente no añade seguridad en este caso. Ya sea que estés desconectado o simplemente crees una cuenta, puedes identificar a los administradores ordenando, porque sus niveles de actividad permanecen públicos incluso cuando intento mantenerlos fuera de la lista con /u?exclude_groups=admins.
Esa es precisamente la razón por la que lo reporté en primer lugar. Si ocultar a los administradores fuera una característica de seguridad deliberada, esperarías que priorizara evitar que los no usuarios lo descifren. Pero tal como está, es lo contrario: alguien desconectado puede averiguarlo más fácilmente simplemente visitando la mayoría de las páginas predeterminadas: /u.
Esa inversión es lo que me hizo pensar que quizás no estaba previsto.
Edición:
Para mí, volviendo al problema principal, ni siquiera se trata de seguridad. Ese es un punto que ustedes plantearon. Solo me gustaría que la actividad de los administradores no aparezca en los rankings para el plugin de la barra lateral y la página /u.
Entiendo tu punto, pero es importante considerar que el sistema de seguridad del grupo no es específico del grupo @admins. El mismo modelo de seguridad tendría que funcionar para el grupo @super-secret-lurkers, si un foro tuviera uno 
Poder determinar «no estar en un grupo» es, en última instancia, lo mismo que poder ver «estar en un grupo».
Sí, tiene sentido. ¿Te funcionaría actualizar el grupo de administradores para que sea visible para «todos»?
No, lo intenté antes de abrir el tema. Pensé que tal vez los no miembros debían poder ver el grupo para que la exclusión funcionara. 
Pero no, /u?exclude_groups=admins se ignora por completo para los visitantes no registrados.
No se trata de ocultar a los usuarios, sino de ocultar la información sobre quién es miembro de un grupo. Por eso puedes ver a los miembros de un grupo oculto en el directorio, pero no puedes ver la página del grupo. Sabes que el usuario existe, pero no sabes si pertenece a un grupo secreto.
Por ejemplo, tienes un grupo para el cliente A, pero no quieres que otros usuarios de tu foro sepan que este grupo existe. Entonces limitas la visibilidad del grupo, pero, por supuesto, los miembros son visibles en todas partes. Puedes verlos publicando y en el directorio de usuarios. Pero no sabes que están en el grupo del cliente A.
De la misma manera, limitas la visibilidad del grupo de administradores. Los visitantes no tienen permiso para saber quiénes están en el grupo. Pero sí tienen permiso para saber que estos usuarios utilizan el foro.
Ya se puede ver quién está en los administradores @Moin cuando no hay sesión iniciada. No a todos a la vez.
Sin iniciar sesión:
Pero ese no era mi problema aquí sobre el secreto o la seguridad:
No, solo activé la opción «¿Quién puede ver los miembros de este grupo?».
No quiero que esté activada la opción «¿Quién puede ver este grupo?», ya que eso permite el acceso público a /g/admins.
Pero puedo hacer una prueba para ver si se respeta /u?exclude_groups=admins.
Vuelvo enseguida.
