Ein Kunde wollte einen Administrator haben, der nur und ausschließlich im Backend die Benutzer bearbeiten kann und sonst keinerlei Befugnisse haben sollte. Da auf der Website die Benutzer sich nicht selbstständig registrieren konnten, sondern dieses ausschließlich per Administrator gemacht wird, sollte eine entsprechende Benutzergruppe geschaffen werden, die eben dieses machen konnte, aber sonst keinerlei Rechte im Backend besitzen sollte.
Zunächst muss eine neue Benutzergruppe angelegt werden. Ich nenne sie in meinem Beispiel Benutzer-Administrator. Legen Sie diese neue Gruppe unterhalb des Managers an, da es sonst nicht einwandfrei funktioniert!
Anschließend wechseln Sie in die Konfiguration und dort in den Tab Berechtigungen. Sie können hier alles auf "vererbt" stehen lassen, bis auf die Berechtigung Administratorzugriff. Diese Berechtigung müssen Sie explizit auf "Erlaubt" setzen. Damit setzen Sie das generelle Recht im Backend an Komponenten zu arbeiten. Und da die Benutzerverwaltung eine Komponente ist, muss das hier entsprechend erlaubt sein.
Die unteren fünf Berechtigungen (Erstellen bis Eigene Inhalte bearbeiten) beziehen sich ausschließlich auf die Beiträge. Möchten Sie nicht, dass diese Benutzergruppe eigene und oder fremde Beiträge bearbeiten, veröffentlichen oder löschen darf, dann setzen Sie hier die Rechte auf "Nicht erlaubt".
Unglücklicherweise bedeutet diese Einstellung aber auch, dass damit auf alle Komponenten im Backend zugegriffen werden kann. Auch auf die verschiedenen Übersichten, wie der Modul-, Template- und Sprachenmanager. Also kann diese Benutzergruppe eigentlich fast alles im Backend machen.
Damit das nicht so ist, müssen Sie nun in jeder Komponente den Zugriff sperren. Dazu über das Komponentenmenü jede einzelne Komponente aufrufen und oben rechts auf das große Icon Optionen (manche Komponenten benennen das Icon Einstellungen) klicken und in den Tab Berechtigungen wechseln.
In diesen Komponenten-Optionen müssen Sie nun die Berechtigung Administrationszugriff wieder entziehen, in dem Sie diese Berechtigung explizit auf "Verweigert" setzen.
Mit der Aktion Konfigurieren, welches standardmäßig auf "nicht erlaubt" stehen sollte, sind im übrigen exakt diese Optionen gemeint. Es wäre also kontraproduktiv, diese auf "Erlaubt" zu setzen, da dann die Berechtigungen in jeder Komponente frei einstellbar wäre, obwohl wir ja genau dieses vermeiden wollen.
Diese Prozedur müssen Sie nun in allen Komponente und in den Übersichten (Module, Sprache, Templates) wiederholen. Ausser bei den Benutzern. Den Administrationszugriff müssen Sie hier explizit erlauben. Möchten Sie darüber hinaus, dass diese Benutzergruppe auch neue Benutzergruppen und oder Zugriffsebenen anlegen oder löschen oder ändern dürfen soll, müssen Sie die Aktion Konfigurieren auf "Erlaubt" setzen. Andernfalls hat diese Benutzergruppe nur Zugriff auf bestehende Benutzer und kann diese aber natürlich vorhandenen Benutzergruppen zuordnen und auch neue Benutzer anlegen.
Leider lässt es sich nicht anders bewerkstelligen. Der Administratorzugriff muss global gesetzt werden. Setzen Sie den nicht global auf "Erlaubt", sondern schalten den aus ("Nicht erlaubt"), um dann explizit den Benutzerzugriff zu erlauben, weil das in der Tat ja wesentlich angenehmer wäre, generell alles zu sperren und nur zu erlauben, was die Gruppe dürfen soll, erhalten Sie einen Konflikt angezeigt:
Leider ist es also etwas umständlich, zumal sich einige Komponenten auch nicht explizit "unsichtbar" schalten lassen. Was allerdings nicht die Standardkomponenten von Joomla betrifft, sondern meist externe Komponenten. Dennoch können Sie so das Backend weitgehendst frei gestalten und sich somit verschiedene Administratorengruppen anlegen. Was jedoch nicht geht, ist eine Differenzierung innerhalb einzelner Komponenten. Was also nicht funktioniert, ist die explizite Erlaubnis in einzelnen Kategorien schreiben zu dürfen und in anderen nicht. Das können Sie über das Frontend realisieren (siehe dazu mein Fallbeispiel für ein Redaktionssystem), nicht jedoch über das Backend.
Wenn Sie die Einstellungen testen möchten, legen Sie sich einen Testuser an, weisen diesen der Benutzergruppe "Benutzer-Administrator" zu und loggen sich mit diesem ein. Sie sehen dann ein sehr spartanisches Menü im Backend.
Ich benutze für so etwas meist einen zweiten Browser. So kann ich jederzeit was ändern und anpassen, ohne dass ich mich jedesmal ausloggen und neu einloggen muss.