Berechtigungen regeln: der empfohlene Ansatz
Berechtigungen und Benutzergruppen einzustellen fühlt sich für viele Kunden kompliziert oder sogar einschüchternd an. Das muss es nicht sein. Mit ein paar Entscheidungen vorab und einer festen Vorgehensweise behalten Sie es übersichtlich én sicher. Diese Seite beschreibt den empfohlenen Ansatz.
Schritt 1 — Bestimmen Sie, was der Benutzer tun soll
Beginnen Sie mit der Frage: Was für eine Art Benutzer erstellen Sie? Grob gesagt gibt es zwei Profile:
- Operativer Administrator — arbeitet täglich mit Reservierungen, Kunden, Rechnungen und Planung. Benötigt vor allem Berechtigungen, um Daten zu betrachten und bearbeiten, nicht um die Konfiguration zu ändern.
- Konfigurationsadministrator — richtet die Umgebung ein: Produkte/Objekte, Vorlagen und Einstellungen. Benötigt Berechtigungen für die Konfigurationsbildschirme, muss aber nicht unbedingt den täglichen Betrieb durchführen.
Indem Sie zuerst diese Unterscheidung treffen, wissen Sie, welche Seite der Berechtigungsübersicht Sie benötigen — und verhindern, dass eine Gruppe 'alles' erhält.
Schritt 2 — Wählen Sie einen straffen oder großzügigen Aufbau
Bestimmen Sie bewusst, wie großzügig Sie eine Gruppe gestalten:
- Strikt (empfohlen) — nur die Berechtigungen, die wirklich nötig sind. Sicherer und übersichtlicher.
- Großzügig — mehr Berechtigungen als strikt nötig. Am Anfang einfacher, aber schwerer zu überblicken und riskanter.
Wählen Sie im Zweifel strikt. Sie können jederzeit eine fehlende Berechtigung hinzufügen (siehe Schritt 4).
Schritt 3 — Erstellen Sie eigene Gruppen mit einem erkennbaren Präfix
Passen Sie die Standardgruppen (wie Admin und Demo) nicht an. Erstellen Sie stattdessen neue Gruppen mit einem Präfix Ihrer eigenen Umgebung, beispielsweise DEMO_admin oder DEMO_employee. Vorteile:
- Auf einen Blick sehen Sie, dass es Ihre eigenen Gruppen sind.
- Sie behalten die volle Kontrolle über den Inhalt, unabhängig von künftigen Änderungen an den Standardgruppen.
- Es verhindert Verwirrung für andere Administratoren und für den Support.
Füllen Sie diese Gruppen mit Sätzen von:
menu_*-Berechtigungen — bestimmen, welche Bildschirme und Menüs sichtbar sind (beispielsweisemenu_booking,menu_customer).entity_*-Berechtigungen — bestimmen, was ein Benutzer mit den Daten darf:entity_*_read(betrachten),entity_*_create,entity_*_updateundentity_*_delete. Für einen operativen Administrator genügt oft read + update; delete lassen Sie bewusst weg.
Eine neue Gruppe anlegen und Berechtigungen zuweisen ist beschrieben in Wie lege ich eine neue Benutzergruppe an? und Wie füge ich Berechtigungen zu einer Benutzergruppe hinzu?
Schritt 4 — Klein anfangen und erweitern
Beginnen Sie mit einem kleinen Satz von Berechtigungen und fügen Sie hinzu, was Benutzer in der Praxis vermissen. Machen Sie es nicht umgekehrt (groß anfangen und danach reduzieren): zu viele Berechtigungen wieder wegzunehmen ist fehleranfällig, Sie vergessen schnell, was weg muss, und in der Zwischenzeit hat jemand mehr Macht als nötig.
Der Ausgangspunkt: least privilege
Der rote Faden in allen Schritten oben ist das Sicherheitsprinzip least privilege: Geben Sie jedem Benutzer und jeder Gruppe genau die Berechtigungen, die für die Aufgabe nötig sind — nicht mehr. So begrenzen Sie die Auswirkungen von Versehen und Missbrauch. Lesen Sie mehr: Principle of least privilege.
Arbeiten Sie nach dem Prinzip ‘least privilege’: Vergeben Sie nur Berechtigungen, die wirklich benötigt werden. Sicherer und übersichtlicher.
Beginnen Sie klein und fügen Sie fehlende Berechtigungen hinzu — skalieren Sie nicht von ‘allem’ herunter.






