<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Carlos,<br>

<br>

    I'm with Jo on this one. We are on 3.6.4 and I have over 100 users

and the majority of them do <i><b>NOT</b></i> have the "ShowConfigTab"

right yet they <i><b>ALL</b></i> can modify their "RT at a Glance"

settings.<br>

<br>

<br>

Kenn<br>

LBNL<br>

<br>

On 6/5/2009 3:13 AM, Jo Rhett wrote:

<blockquote

 cite="mid:84DB29AC-801C-43A5-AF5A-8115180638A3@netconsonance.com"

 type="cite">Are you sure it's the global RT At a Glance?   It seems

everyone can modify it for themselves...

  <br>

  <br>

On Jun 5, 2009, at 12:55 AM, Carlos Garcia Montoro wrote:

  <br>

  <blockquote type="cite">Hi Kenn, hi everybody,

    <br>

    <br>

Thank you for your answer. I was expecting the same behaviour as you.

But for my unpleasant surprise, a user who only has

    <br>

- "ShowConfigTab" global right for himself.

    <br>

- "ShowAprovalsTab" global right for Privileged users. And

    <br>

- "CreateTicket" and "SeeQueue" in some queues as Everyone's rights in

those queues.

    <br>

can do nothing harmful with the single exception of modifying the

global RT at a glance.

    <br>

    <br>

This behaviour has surprised me probably as much as you. Because of it,

I want that someone else checks this configuration in order to see

whether it is my fault (I am doing something wrong) or it is a RT bug

(this happens to everybody, but it shouldn't).

    <br>

    <br>

Greetings,

    <br>

Carlos

    <br>

    <br>

PS: I found somewhere a RT installation for testing purposes, but

users   grants, including root, where so restricted, that I couldn't

reproduce the configuration I wanted.

    <br>

    <br>

Ken Crocker wrote:

    <br>

    <blockquote type="cite">Carlos,

      <br>

   I may be mistaken, butI think the "ShowConfigTab" merely allows the

user to see that tab and the functions under it. The user still needs

to have other rights (like "ShowTemplate" and "ModifyTemplate") in

order to see/modify templates and I'm sure the same situation exists

for other objects to be modified.

      <br>

Kenn

      <br>

LBNL

      <br>

On 6/4/2009 2:54 AM, Carlos Garcia Montoro wrote:

      <br>

      <blockquote type="cite">Sorry for posting this twice, but I'm

trying to make it shorter.

        <br>

        <br>

Please, can anyone confirm me that a user who only has the global right

"ShowConfigTab" is able to modify the global RT at a glance?

        <br>

        <br>

I'm using RT 3.8.2 and I would like to know if either I'm doing

something wrong or this is the expected behaviour. If this were the

second case, should this be considered a bug?

        <br>

        <br>

For a longer explanation, attached you can find my previous message.

        <br>

        <br>

Thanking you in advance,

        <br>

Carlos

        <br>

        <br>

------------------------------------------------------------------------

        <br>

        <br>

Subject:

        <br>

[rt-users] Rights issue on Configuration -> Global -> RT at a

glance on RT 3.8.2

        <br>

From:

        <br>

Carlos Garcia Montoro <a class="moz-txt-link-rfc2396E" href="mailto:cgarcia@ific.uv.es"><cgarcia@ific.uv.es></a>

        <br>

Date:

        <br>

Fri, 29 May 2009 12:18:06 +0200

        <br>

To:

        <br>

<a class="moz-txt-link-abbreviated" href="mailto:rt-users@lists.bestpractical.com">rt-users@lists.bestpractical.com</a>

        <br>

        <br>

To:

        <br>

<a class="moz-txt-link-abbreviated" href="mailto:rt-users@lists.bestpractical.com">rt-users@lists.bestpractical.com</a>

        <br>

        <br>

        <br>

Hello,

        <br>

        <br>

I've a question/request about RT that I have been neither able to

resolve from myself, nor have I found it at the RT wiki or googling

this mailing list.

        <br>

        <br>

I'm newbie using RT. I'm installing an organizational RT (ver. 3.8.2).

We have some departments that are autonomous of each other. Thus, I

want to grant some privileges for every admin group of each department.

I want to allow them to handle their own queues, groups, etc. But I

also want not to allow them to modify others space. I have achieved

this configuration, i.e. admins are only able to see their groups,

admins can see all queues but they are only allowed to modify some

properties (Cc, AdminCc,...)  of their own queues but not other queues.

In order to do that I have granted them the global right

"ShowConfigTab". Otherwise they had rights but they couldn't use them

(they couldn't modify group membership of their groups,...).

        <br>

        <br>

The problem I'm suffering is this: When I grant the "ShowConfigTab"

right to a user or group, I'm also granting privileges to modify the

global RT at a glance. Let me show an example: Let me create a user foo

who can be granted rights ("Let this user be granted rights" is

checked). This new user isn't a member of any group, so he has no right

rather than "Everyone" and "Privileged". At this moment, global rights

for these groups are the default (no global right for "Everyone", and

only "ShowApprovalsTab" for "Privileged"). In some queues "Everyone"

has two rights "CreateTicket" and "SeeQueue", but as far as I know they

only grant privileges for creating a new ticket in these queues. Let

this user be granted the global "ShowConfigTab" right ( "Configuration"

-> "Global" -> "User Rights", and there foo is granted to

"ShowConfigTab"). Now let foo log in. This user can see the

configuration tab, but he can't modify anything since he is not allowed

to. If he tries to modify anything RT won't allow it and foo will read

a permission denied message. But if foo goes to "Configuration" ->

"Global" -> "RT at a glance" and there he deletes "QuickCreate", RT

allows it saying "Global portlet body saved.". Now let the privileged

user bar log in. The RT at a glance of bar has no longer the

"QuickCreate" frame when it previously had it. Hence, I don't want to

grant foo the right of modifying the global RT at a glance!

        <br>

        <br>

Is it the expected behaviour? Am I missing anything or doing something

wrong?

        <br>

        <br>

Thank you,

        <br>

Carlos

        <br>

        <br>

_______________________________________________

        <br>

<a class="moz-txt-link-freetext" href="http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users">http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users</a>

        <br>

        <br>

Community help: <a class="moz-txt-link-freetext" href="http://wiki.bestpractical.com">http://wiki.bestpractical.com</a>

        <br>

Commercial support: <a class="moz-txt-link-abbreviated" href="mailto:sales@bestpractical.com">sales@bestpractical.com</a>

        <br>

        <br>

        <br>

Discover RT's hidden secrets with RT Essentials from O'Reilly Media.

Buy a copy at <a class="moz-txt-link-freetext" href="http://rtbook.bestpractical.com">http://rtbook.bestpractical.com</a>

        <br>

 _______________________________________________

        <br>

<a class="moz-txt-link-freetext" href="http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users">http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users</a>

        <br>

        <br>

Community help: <a class="moz-txt-link-freetext" href="http://wiki.bestpractical.com">http://wiki.bestpractical.com</a>

        <br>

Commercial support: <a class="moz-txt-link-abbreviated" href="mailto:sales@bestpractical.com">sales@bestpractical.com</a>

        <br>

        <br>

        <br>

Discover RT's hidden secrets with RT Essentials from O'Reilly Media.

Buy a copy at <a class="moz-txt-link-freetext" href="http://rtbook.bestpractical.com">http://rtbook.bestpractical.com</a>

        <br>

        <br>

      </blockquote>

    </blockquote>

    <br>

-- <br>

_______ _______________________________________________________________

    <br>

| __ __ | Carlos García Montoro                    Ingeniero

Informático

    <br>

|_\_Y_/_| Instituto de Física Corpuscular         Centro Mixto CSIC -

UV

    <br>

|\_] [_/| Servicios Informáticos

    <br>

|  [_]  | Edificio Institutos de Investigación       

<a class="moz-txt-link-abbreviated" href="mailto:cgarcia@ific.uv.es">cgarcia@ific.uv.es</a>

    <br>

|C S I C| Apartado de Correos 22085 E-46071 Valencia  Tel: +34

963543706

    <br>

|_______| España / Spain                              Fax: +34

963543488

    <br>

<cgarcia.vcf>_______________________________________________

    <br>

<a class="moz-txt-link-freetext" href="http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users">http://lists.bestpractical.com/cgi-bin/mailman/listinfo/rt-users</a>

    <br>

    <br>

Community help: <a class="moz-txt-link-freetext" href="http://wiki.bestpractical.com">http://wiki.bestpractical.com</a>

    <br>

Commercial support: <a class="moz-txt-link-abbreviated" href="mailto:sales@bestpractical.com">sales@bestpractical.com</a>

    <br>

    <br>

    <br>

Discover RT's hidden secrets with RT Essentials from O'Reilly Media.

    <br>

Buy a copy at <a class="moz-txt-link-freetext" href="http://rtbook.bestpractical.com">http://rtbook.bestpractical.com</a>

    <br>

  </blockquote>

  <br>

</blockquote>

</body>

</html>