Cet article était rédigé pour SPIP 2.1 : il peut y avoir des modifications mineures !
Grosso modo (en standard, sous réserve de modifications/ajouts apportés par des plugins, ou un define('_ID_WEBMESTRES' , '2');
dans mes_options ),
les règles sont les suivantes :
1) un administrateur webmestre :
peut *tout* faire.
2) un administrateur complet non webmestre :
?exec=admin_tech ("Maintenance" -> "Maintenance technique") interdite => pas de "Réparer la base de données", "Déclarer une autre base", "Effacer la base de données SPIP", "Effacer les statistiques"
?exec=job_queue ("Maintenance" -> "Liste des travaux") limitée => pas de "Purger la liste des travaux"
?exec=auteur_edit&id_auteur=xx ("Édition" -> "Auteurs") => pas de "Statut de cet auteur" si xx ’webmestre’ => pas de "Donner à cet administrateur les droits de webmestre"
Certaines opérations réservées au webmestre sont accessible à tout administrateur complet, sous réserve de disposer d’un accès FTP au site : en effet, SPIP affichera une demande de création d’un sous-répertoire temporaire dans le dossier ./tmp/
et controlera son existence (avant de le supprimer) pour valider l’autorisation exceptionnelle d’opérer...
3) un administrateur restreint :
?exec=navigation&menu=menu_squelette ("Squelettes") limitée => pas de "Boîte Multimédia"
?exec=navigation&menu=menu_administration ("Maintenance") limitée => pas de "Vider le cache", "Restaurer la base", "Maintenance technique", "Liste des travaux"
?exec=auteurs ("Édition" -> "Auteurs") => pas de "Créer un nouvel auteur"
?exec=auteur_edit&id_auteur=xx ("Édition" -> "Auteurs") => pas de "Modifier cet auteur" sauf si xx ’visiteur’ => pas de "Login (plus de 3 caractères)" sur sa propre page ?exec=navigation&menu=menu_configuration
("Configuration") limitée
=> pas de "Identité du site", "Langue principale du site",
"Multilinguisme", "Contenu du site", "Interactivité",
"Fonctions avancées", "Gestion des plugins", "Forum", "Révisions",
"Configurer les URLs"
?exec=groupe_mots_edit&new=oui ("Créer un nouveau groupe de mots") interdite ?exec=mot_edit&new=oui ("Créer un nouveau mot-clé") interdite
Donc, quand on propose de "Donner à cet administrateur les droits de webmestre" (ce qui peut se faire, soit en modifiant son profil, soit en le rajoutant dans la constante macro définie dans La Boucle AUTEURS et ses critères ou par l’intermédiaire du couteau Suisse, celui-ci peut désormais TOUT faire (y compris supprimer la base de données).
Evidemment, il est relativement facile de programmer des autorisations plus spécifiques,
Il existe néanmoins une solution sans programmation aucune, c’est de modifier le profil des Administrateurs (au sens "représentants habilités à la Responsabilité de publier" cf. administrateur) comme Administrateurs Restreints habilités sur toutes les rubriques...
Article publié le 24 décembre 2011, et actualisé en avril 2019 .
Répondre à cet article