Beim Vergeben von Rechten gilt in teamspace ein einfacher Sicherheits-Grundsatz: Du darfst nur die Rechte weitergeben, die du selbst hast. Das verhindert, dass sich jemand ein Hintertürchen baut und sich selbst Rechte zuschanzt, die er nie eingestellt bekommen hat. Sinnvoll – aber mit einer Falle: Du kannst dich damit selbst aussperren.
Die Falle: sich selbst kleinkonfigurieren
Stell dir vor, du hast über die Berechtigungen gesteuert, dass z. B. der Arbeitsplatz in deinem eigenen Hauptmenü gar nicht aktiv ist. Weil du dieses Recht selbst nicht mehr trägst, kannst du es hinterher auch nicht mehr vergeben – an niemanden, auch nicht an dich selbst. Wer seinen eigenen Zugang radikal zurückbaut, kann sich Rechte abnehmen, die er anschließend nicht wiederherstellen kann.
⚠ Aussperr-Risiko. Wer den eigenen Zugang einschränkt und gleichzeitig nicht Mandant-Admin ist, kann sich Rechte nehmen, die er hinterher nicht selbst zurückholen kann.
Die Hintertür: Mandant-Admin
Dafür gibt es im Reiter Berechtigungen den Punkt Mandant-Admin. Wer diesen Haken hat, darf alle Rechte vergeben – auch solche, die er selbst gar nicht trägt. Ein Mandant-Admin kann das System also auch dann wieder vollständig aufbauen, wenn es jemand „ganz klein zusammengeschrumpft” hat.
Die Regel: mindestens eine Person ist Mandant-Admin
Mache es zur festen Regel: Mindestens eine Person im Mandanten ist Mandant-Admin – damit jemand die Rechte auch nach einem radikalen Rückbau wieder vollständig vergeben kann. In der Praxis trägt das Recht eine sehr kleine, vertrauenswürdige Gruppe (z. B. die Administratoren). Es ist die Lebensversicherung deines Berechtigungsmodells.
Zusammenspiel mit dem Mitarbeiterwechsel
Mandant-Admin und der gruppenspezifische Vorgang In den Benutzerzugang eines Kollegen wechseln sind zwei verschiedene Dinge, ergänzen sich beim Einrichten aber gut: Mit dem Mandant-Admin baust du das Modell auf, mit dem Mitarbeiterwechsel prüfst du gefahrlos, wie es beim Tester aussieht. Details zum Wechsel stehen in Gruppenspezifische Berechtigungen einrichten.
Typische Fragen & Anforderungen
| Du möchtest … | So geht’s |
|---|---|
| Sicherstellen, dass sich niemand komplett aussperrt | Mindestens eine Person als Mandant-Admin im Reiter Berechtigungen markieren. |
| Verstehen, warum du ein Recht nicht vergeben kannst | Du trägst es selbst nicht – nur Mandant-Admins vergeben Rechte, die sie nicht haben. |
| Ein stark eingeschränktes Profil testen, ohne dich zu sperren | Nicht den eigenen Zugang beschneiden, sondern per Mitarbeiterwechsel in einen Testnutzer wechseln. |
| Das System nach einem Fehlkonfig wieder aufbauen | Als Mandant-Admin alle Rechte neu vergeben. |
Verwandte Themen
- Benutzergruppen anlegen und verwalten (mit Video) Berechtigungen Konfiguration
- Gruppenspezifische Berechtigungen einrichten (mit Video) Berechtigungen Konfiguration
- Berechtigungskonzept planen Berechtigungen Konzept