Chris,<br><br>We don't like to give out permissions very generously and since we have so many Queues, we let the Managers of a Queue decide what access they want others to have. Consequently, we give a few basic rights out Globally, but save the heavy stuff on a Queue by Queue basis. This is what we grant <i><b>Globally:</b></i><br>
<br><i>System/Everyone</i>: nada<br><i>System/Unprivileged</i>: nada<br><i>System/Privileged</i>: AdminOwnPersonalGroups, CreateOwnDashboard, CreateSavedSearch, DeleteOwnDashboard, EditSavedSearch, ForwardMessage, LoadSavedSearch, ModifyOwnDashboard, ModifySelf, SeeDashboard, SeeOwnDashboard, ShowSavedSearches, SubscribeDashboard - we feel these rights to be basic to all of our privileged users. They should be able to see any system dashboards, certainly their own and also any Searches. Since the ability to save a Search for a group is based on that groups membership, that part basically takes care of itself.<br>
<br><i>Roles/Owner</i>: ModifyTicket - we don't let anyone but an owner modify Ticket metadata. CF's and Comments  and email are a Queue by Queue thing.<br><i>Roles/AdminCc</i>: AdminGroupMembersdhip, AdminUsers, AssignCustomField, ModifyOwnMembership, SeeCustomField, SeeGroup, ShowConfigTab, ShowScrips, ShowTemplate,  WatchAsAdminCc - We use the <b><i>AdminCc role</i></b> as the <b><i>Queue Manager</i></b>, therefor we give them certain rights we don't give to others.<br>
<i>Roles/Cc</i>: ReplyToTicket, SeeQueue, ShowTicket, Watch - If you are designated as a Queue watcher, then you should at least have these rights, since they all interest you. We let the Queue manager grant other rights at the Queue level.<br>
<i>Roles/Requestor</i>: ReplyToTicket, SeeQueue, ShowTicket, Watch - If you made the request, you should at least have these rights. We let 
the Queue manager grant other rights at the Queue level.<br><br>Basic Rights granted at the <i><b>Queue level:</b></i><br><br><i>System/Everyone:</i> nada<br><i>System/unprivi8leged:</i> nada<br><i>System/Privileged:</i> CreateTickets - for some Queues. These are usually Queues that support all the other Queues and therefore could get tickets from almost any group. For Queues with specific users, this right is granted only to those groups.<br>
<i><br>Roles/Owner: nada - </i>Already has the ModifyTicket right because of Global rights. Since the owner is already a member of some support group, all the other rights they get from being a member of that group.<i><br>
Roles/AdminCc:</i> DeleteTicket, ModifyACL, ModifyQueueWatchers, ModifyTicket, ShowACL, StealTicket. Since this person <b>IS</b> the boss for this Queue, this person has control over who gets what tickets, who can see the Queue and certain rights, etc.<br>
<i>Roles/Cc: </i>CommentOnTicket, ShowOutgoingEmail, ShowTicketComments - in case, the Queue Manager is allowing Cc Watchers to see and make comments and see any email.<i><br>Roles/Requestor:</i> nada - this person has all the rights their gonna get Globally. For us, we see Requestors as Customers so we don't want them to have much control. Seeing their ticket and correspondence is about it.<br>
<i><br>User-Defined Groups:</i> usually there are at least two groups for each Queue, sometimes  a couple more if they have some interest;<br><i>The User group</i>, which basically makes a request for work. So they get to see the Queue and create tickets, etc. Maybe (like  for QA work) modify a Custom Field.<br>
<i>The SupportGroup</i>; These are the support team that have these rights; CommentOnTIcket, CreateTicket, OwnTicket, ReplyToTicket, SeeQueue, ShowOutgoingEmail, ShowTicket, ShowTicketComments, TakeTicket, and Watch. Sometimes a Queue manager will let the StealTickets as well.<br>
<br>Also, we set up our RT_SiteConfig.pm file to turn off StrictACL, which gives Ticket Owners and AdminCcs (the only ones who can ModifyTicket) the right to set up links to tickets in other Queues.<br><br>Anyway, that the way we do it. I'm sure your situation is different. Hope this helps.<br>
<br>Kenn<br>LBNL<br><br><br><b><br></b><br><br><div class="gmail_quote">On Fri, Apr 23, 2010 at 9:14 AM, Chris Hall <span dir="ltr"><<a href="mailto:hiro24@gmail.com">hiro24@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
thanks for the speedy reply.<br><br>That's actually how I have it set now, and it works, but like I said, at the top it gives a faulty "permission denied".<br><br>This is set on the Corp. Support queue for permissions for the "Helpdesk" queue, and the error above occurs when someone in the helpdesk group moves a ticket to the Corp. Support queue.  Is there something somewhere else I need to set?  when root moves a ticket, no permission denied errors are displayed.<div>
<div></div><div class="h5"><br>
<br><div class="gmail_quote">On Fri, Apr 23, 2010 at 12:10 PM, Jerrad Pierce <span dir="ltr"><<a href="mailto:jpierce@cambridgeenergyalliance.org" target="_blank">jpierce@cambridgeenergyalliance.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div>On Fri, Apr 23, 2010 at 12:06, Chris Hall <<a href="mailto:hiro24@gmail.com" target="_blank">hiro24@gmail.com</a>> wrote:<br>
> Hello all,<br>
><br>
> I'm very new to RT, and after shifting around permissions on groups and<br>
> queues for a few hours, I'm ready to ask for some help.. btw, documentation<br>
> seems very widespread and unfocused, unless I'm looking in the wrong places.<br>
</div>Read the book. It's the best place to get a grasp of the fundamentals.<br>
The wiki, POD and list archives tend to be for more esoteric issues<br>
and customization.<br>
<div><br>
> Basically, let's say I have 2 groups w/ a queue each... Helpdesk with a<br>
> "Helpdesk queue" and Corp. Support with a "Corp. Support" queue.  I don't<br>
> want them to see each other's queues.  However, I would like them to be able<br>
> to forward tickets on to the other's queues. What permissions would I need<br>
> to set up to make this happen?  I've got it most of the way, to where it<br>
> actually works, but when I forward a ticket, at the top in the yellow status<br>
> bar it says permission was denied.. though the ticket still seems to<br>
> transfer.<br>
</div>SeeQueue but not ShowTicket.<br>
<br>
Although forward is not really the correct term here, one moves ticets<br>
between queues.<br>
</blockquote></div><br><div style="display: inline;"></div>
</div></div><br><br>
Discover RT's hidden secrets with RT Essentials from O'Reilly Media.<br>
Buy a copy at <a href="http://rtbook.bestpractical.com" target="_blank">http://rtbook.bestpractical.com</a><br></blockquote></div><br>