Joomla! Access-Control-List (ACL)

WWW = Wieso? Weshalb? Warum?

Bei der Installation einer Joomla!-Instanz wird in aller Regel auch gleich eine Basiskonfiguration für Zugriffsberechtigungen angelegt, die aus Benutzern (user), Benutzergruppen (user groups) und Berechtigungsstufen (access level) besteht. Es folgt ein kurzer Überblick.

Benutzer

Einzelnen Benutzern können in Joomla! keine eigenen Zugriffsberechtigungen zugewiesen werden. Sie dienen allein zur Authentisierung. Stattdessen kann man sie einer oder mehreren Benutzer-Gruppen zuweisen, für die entsprechende Zugriffsberechtigungen definiert wurden.

Benutzergruppen

Benutzergruppen sind hierarchisch organisiert. Die einem Eltern-Element zugeordneten Elemente erben automatisch all dessen Berechtigungen und erhalten darüber hinaus oft zusätzliche Rechte.

  • public (öffentlich)

    Die Basisgruppe, der - direkt oder indirekt - alle anderen Benutzergruppen zugeordnet sind.

    • guest (Besucher)

      Eine Pseudogruppe, der - implizit - alle nicht registrierten Besucher und auch alle nicht angemeldeten Benutzer zugeordnet werden. Sie erbt alle Berechtigungen der Gruppe "public".

    • registered (Benutzer)

      Die erste "echte" Benutzergruppe für registrierte und angemeldete Benutzer. Sie erbt alle Berechtigungen der Gruppe "public".

      Zu beachten ist hierbei, dass diese Benutzergruppe nicht die Berechtigungen der Gruppe "guest" erbt. Das heißt, dass die Gruppe der Besucher ("guest") Zugriff auf Inhalte haben kann, auf welche die Benutzer ("registered") keinen Zugriff mehr haben. Das wird meist genutzt, um (noch) nicht registrierten Besuchern z.B. eine Einladung zur Registrierung anzuzeigen - oder Werbung, die den registrierten Benutzern erspart werden soll.

      • author (Autoren)

        Eine Benutzergruppe, die auch selbst neue Inhalte erstellen darf. Sie erbt alle Berechtigungen der Gruppe "registered".

        Die früher implizit dafür notwendige Anmeldeberechtigung für den Administrationsbereich des Systems entfiel mit der Möglichkeit, Inhalte auch im Frontend der Seite erstellen zu können.

        • editor (Redakteure)

          Eine Benutzergruppe, die nicht nur eigene Inhalte überarbeiten dürfen, sondern auch die von anderen Autoren verfassten Inhalte redigieren können. Sie erbt alle Berechtigungen der Gruppe "author".

          • publisher (Chefredakteure)

            Eine Benutzergruppe mit der Berechtigung, Inhalte für die Veröffentlichung auf der Seite freizugeben. Sie erbt alle Berechtigungen der Gruppe "editor".

    • manager (Support)

      Die erste Benutzergruppe mit Anmeldeberechtigung für den Administrationsbereich des Systems. Dort können vor allem technische Probleme analysiert und behoben werden. Sie erbt alle Berechtigungen der Gruppe "public".

      Sie erbt nicht die Rechte der Benutzergruppe "publisher" zur Bearbeitung von Inhalten, bekommt diese Rechte aber direkt zugestanden. Im Gegensatz zur Benutzergruppe "publisher", die Inhalte nur von der Veröffentlichung zurückziehen kann, kann die Benutzergruppe "manager" Inhalte auch tatsächlich löschen.

      Darüber hinaus ist zu beachten, dass der Benutzergruppe "manager" mit der Zuordnung zur Benutzergruppe "public" die Leseberechtigungen der Benutzergruppe "registered" zunächst eigentlich fehlen würden. Deswegen wird ihr - genauso wie der Benutzergruppe "super user" - später explizit der Zugriff auf die Berechtigungsstufe "registered" gewährt.

      • administrator (Administratoren)

        Die Benutzergruppe mit erweiterten Zugriffsberechtigungen im Administrationsbereich des Systems um dort auch Konfigurationen einstellen zu können. Sie erbt alle Berechtigungen der Gruppe "manager".

    • super user (Systemadministratoren)

      Diese Benutzergruppe erbt alle Berechtigungen der Gruppe "public" - auch wenn sie diese gar nicht braucht, denn sie hat per Definition alle, und zwar wirklich alle Zugriffsberechtigungen. Aus Sicherheitsgründen empfiehlt es sich, mehr als einen Benutzer dieser Benutzergruppe zuzuordnen.

      Darüber hinaus ist zu beachten, dass ihr mit der Zuordnung zur Benutzergruppe "public" die Leseberechtigungen der Benutzergruppe "registered" zunächst eigentlich fehlen würden. Deswegen wird ihr - genauso wie der Benutzergruppe "manager" - später explizit der Zugriff auf die Berechtigungsstufe "registered" gewährt.

Berechtigungsstufen

Berechtigungsstufen werden definiert, indem man festlegt, welche Benutzergruppen Zugriff auf die Inhalte haben sollen, denen diese Berechtigungsstufe zugewiesen wurde. Die folgende Tabelle zeigt und erklärt die als Standard eingestellten Berechtigungsstufen einer Basiskonfiguration.

Berechtigungsstufe Berechtigte Benutzergruppe(n)
public public

Für Inhalte, die allen Besuchers angezeigt werden.

guest guest

Für Inhalte, die nur Besuchern angezeigt werden.

registered registered, manager, super user

Für Inhalte, die angemeldeten Benutzern angezeigt werden.

Da die Benutzergruppen "manager" und "super user" ihre Rechte nicht von der Benutzergruppe "registered", sondern von der Benutzergruppe "public" erben, muss ihnen hier der Zugriff auf die Berechtigungsstufe "registered" eigens gewährt werden.

special author, manager, super user

Für Inhalte, die Benutzern mit schreibendem Zugriff angezeigt werden.

super user super user

Für Inhalte, die nur Systemadministratoren angezeigt werden.