und
). Außerdem können BSCW-Administratoren alle
Ordner öffnen und bei allen Objekten die Aktion
ausführen. BSCW verwaltet Zugriffsrechte über die Rolle oder die Rollen, die ein Benutzer innehat. Eine Rolle wird durch einen Namen und eine Menge von Aktionen definiert, die für den Rolleninhaber erlaubt sind. Zugriffskontrolle über Rollen ist sehr einfach: Ein Benutzer darf immer dann eine Aktion auf ein bestimmtes Objekt anwenden, wenn diese Aktion in einer seiner Rollen hinsichtlich dieses Objekts enthalten ist. Es werden jeweils nur erlaubte Aktionen in den Menüs angeboten.
Wenn Benutzer mehrere Rollen innehaben, dürfen sie eine Aktion ausüben, wenn die Aktion in einer der Rollen erlaubt ist; Benutzern ist also die Vereinigungsmenge der Aktionen erlaubt, die sich aus ihren Rollen ergeben.
Als Beispiele für BSCW-Rollen sollen hier die vordefinierten Standardrollen dienen, die bei der Einladung neuer Mitglieder angeboten werden.
o Mitglied kann
o die Objekte eines Arbeitsbereichs lesen und kopieren, ausschneiden und entfernen,
o sich die Info-Seiten ansehen,
o neue Objekte erzeugen wie z.B. Dokumente hochladen, Objekte verändern (Name, Beschreibung usw.) und editieren, soweit das Objekt das zulässt,
o nach Objekten suchen, Versionskontrolle für Dokumente einführen,
o neue Mitglieder einladen und vorhandene entfernen.
o Manager kann
o alles, was ein Mitglied kann, und darüber hinaus
o die Zugriffsrechte in einem Arbeitsbereich verändern: Rollen zuweisen, Rollen verändern, neue Rollen definieren und öffentlichen Zugriff erlauben.
o Eingeschränktes Mitglied hat nur Leserechte, kann also Objekte öffnen, kopieren und sich die Info-Seite ansehen.
o Assoziiertes Mitglied hat Zugriffsrechte wie ein Mitglied, darf aber keine neuen Mitglieder einladen oder vorhandene entfernen.
Damit nicht bei jedem neu angelegtem Objekt eine ausdrückliche Zuordnung von Rollen notwendig wird, vererben sich Definitionen und Zuweisungen von Rollen entlang der Ordner-Hierarchie. Wenn ein Benutzer z.B. einen Unterordner in einem Ordner anlegt, erbt dieser Unterordner die Benutzergruppe des übergeordneten Ordners einschließlich aller Rollenzuweisungen.
Der Geltungsbereich einer Rolle ist das Objekt, für das der Benutzer eine Rolle innehat, und alles ‚unterhalb‘ dieses Objekts, und zwar so weit, bis dem Benutzer in der Objekthierarchie eine andere Rolle zugewiesen wird.
Hinweis: Wenngleich dieses Prinzip auch für spezielle Ordner wie die persönlichen Bereiche persönlicher Arbeitsbereich (‚home folder‘), Zwischenablage, Papierkorb gilt, so wird doch die Standardrolle, die der Benutzer in seinen persönlichen Bereichen innehat, nicht auf gemeinsame Arbeitsbereiche, die sich in diesen persönlichen Bereichen befinden, vererbt.
Sie sind standardmäßig Manager Ihres persönlichen Arbeitsbereichs und dadurch auch aller Ordner, die sich darin befinden. Die Rolle Manager wird auf den Geltungsbereich Ihres persönlichen Arbeitsbereichs vererbt.
Nehmen wir an, dass Sie nun eingeladen werden, in einem gemeinsamen Arbeitsbereich ‚Projektdokumentation‘ mitzuarbeiten. Der Manager dieses Ordners lädt Sie in der Rolle Eingeschränktes Mitglied ein, um Ihnen nur eingeschränkte Rechte, in diesem Fall nur Leserechte, zu gewähren. Damit haben Sie die Rechte eines Eingeschränkten Mitglieds im Ordner ‚Projektdokumentation‘ und in allen Unterordnern.
Andererseits befindet sich der Ordner ‚Projektdokumentation‘ in Ihrem persönlichen Arbeitsbereich, wo Sie Manager sind. Welche Rollen gelten nun für Sie in ‚Projektdokumentation‘? Wenn Sie die Manager-Rechte auch in ‚Projektdokumentation‘ erben würden, wären Sie dort gleichzeitig Eingeschränktes Mitglied und Manager. Das ginge zwar technisch, wäre aber sicher nicht im Sinne Ihres Gastgebers. Aus diesem Grund vererben die speziellen persönlichen Bereiche ihre Rollenzuweisungen nur auf private Ordner, nicht aber auf gemeinsame Arbeitsbereiche. Gemeinsame Arbeitsbereiche können Rollendefinitionen und -zuweisungen nur von anderen gemeinsamen Arbeitsbereichen erben.
BSCW-Administratoren dürfen unabhängig von ihrer aktuellen
Mitgliedschaft in allen Ordnern Rollen zuweisen und ändern (Aktionen
und
). Außerdem können BSCW-Administratoren alle
Ordner öffnen und bei allen Objekten die Aktion
ausführen.
Wegen der umfangreichen Rechte ist Administrator aus Sicherheitsgründen keine Rolle im eigentlichen Sinn des BSCW-Rollenkonzepts. Auf diese Weise wird vermieden, dass die besonderen Rechte des BSCW-Administrators über die Benutzerschnittstelle manipuliert werden können.