Auswertung der Benutzerrechte
Die Auswertung der Benutzerrechte (rechter Bereich) in Verbindung mit der Gruppenhierarchie (linker Bereich) ist nicht trivial und soll daher anhand eines Beispiels ausführlicher erläutert werden:
Grundsätzlich ist der Zugriff für alle verboten „ doku“. D. h. dies ist der Standardwert für alle Gruppen für die nichts weiter definiert ist (z. B. „ Group 3“) – sollte also eine neue Gruppe auf oberster Ebene hinzukommen, so gilt „verboten“.
Für „Group 1“ erfolgt über „ Group 1“ eine explizite Erlaubnis, die sich standardmäßig auch auf die Untergruppen 1.1 und 1.2 auswirkt. Kommt eine neue Gruppe auf dieser Ebene hinzu, so ist der Zugriff standardmäßig erlaubt.
Bei „Group 2“ erfolgt ebenfalls eine Konfiguration – in diesem Fall auf „ alles verboten“. Dies wirkt sich standardmäßig auf 2.1 aus und wird in 2.2 explizit wieder „ erlaubt“. Die Erlaubnis in 2.2 wirkt sich implizit auf 2.2.1 aus. Somit sind alle Mitglieder aus 2.2 zugelassen. Im Knoten 2.1 wird der Zugriff noch weiter differenziert: Hier wird „Group 2.1.1“ explizit erlaubt während „Group 2.1.3“ explizit verboten wird. Für „ Group 2.1.2“ wird keine Festlegung getroffen, der Wert richtet sich also nach dem ersten explizit konfigurierten Vater (hier „Group 2“).
Wird also „Group 2“ von auf umkonfiguriert, so ändert sich „ Group 2.1.2“ in „ Group 2.1.2“ (Anmerkung: dies gilt natürlich auch für „Group 2.1“ aber nicht für „Group 2.1.1“ und „Group 2.1.3“). Effektiv führt diese Konfiguration dazu, dass Personen, die nur in „Group 2“ sind keinen Zugriff haben, Personen, die in 2.2 oder einer ihrer Untergruppen oder in 2.2.1 sind Zugriff erhalten. Personen in den Gruppen 2.1.2 und 2.1.3 bleibt der Zugriff verwehrt. Denen in 2.1.3 sogar dann noch, wenn 2 auf umkonfiguriert wurde.
Die Auswertung der Berechtigungskonfiguration wird auf der rechten Seite der Eingabekomponente angezeigt. Die Berechnung erfolgt, indem der komplette Gruppenbaum durchlaufen wird und für jeden Knoten, die Auswertung in eine „erlaubt“ oder „verboten“-Liste eingefügt wird. Voraussetzung dafür ist, dass auf dem Wurzel-Element (also „doku“) eine Standard-Zuordnung erfolgt.
Generell wird unterschieden zwischen Knoten, auf denen explizit Rechte definiert wurden und Knoten auf denen keine Rechte definiert wurden. Sind auf einem Knoten keine Rechte definiert, so gelten die Rechte des Vaterknotens. Hat auch der Vaterknoten keine definierten Rechte, so werden die Rechte des ersten übergeordneten Knotens übernommen auf dem explizit Rechte definiert wurden. Sind in keinem Knoten Rechte definiert, wird standardmäßig für alle Knoten der Wert verwendet.