- 用户ID为1的帐户( uid1 )是能够在drupal网站做一切操作的账号。 Drupal权限控制将始终允许此帐户采取任何行动。 另一项特别的地方,就是uid1帐户是唯一可以执行更新脚本的帐户。 由于这些权限,有些人觉得使用此帐户为“每一天”的普通用途是不恰当的,原因如下:
- 如果您在不安全的计算机上或不安全的网络使用此帐户, 恶意的使用者可能会窃取您的登录名和得到您的网站的完全控制权限。 不过,如果您使用的另外一个 有“管理员用户”权限的用户访问,即使不是使用UID 1用户登陆这个问题仍然是存在。 因此,这里的意见是: 您肯定您的网络安全或以使用HTTPS的前提下才登录。 如果您不想购买https证书, openid系统可让您登录通过HTTPS登陆到您的openid服务器的同时,仍然获得您的drupal帐户的权限。
- 有一种可能性,某些模块有一采取某种行动的 XSRF 或 “GET” 网址。 如果您作为有权限采取此行动的账户登录,然后恶意用户利用这个在您的网站上的安全漏洞发送给您一个特别撰写的电子邮件或IM,您的网站可能受到损害(对于大多数人来说这个情况的可能性不大) 。
- 一些网站开发商可能在某个网站使用uid1帐户,然后当该网站推出时, 把给该帐户交给相对缺乏经验的网站管理员用户。 正确的做法是,一个缺乏经验的网站管理员/用户应给予一个新的帐户,该帐户具有用于该管理员专业知识水平的操作的适当的权限.
- 对一个社区网站,如果顶级管理员是使用帐户# 1做所有的东西,包括发表个人的在博客,论坛等的内容,后来管理工作移交给别人,以前的系统管理员的内容将归属在# 1号帐户, 会需要被移走,这是一个很琐碎的任务。
- 设置一些适当的角色(不要忘记,当你添加新的模块时要更新这些角色) 。 一些的建议角色名称如是'网站管理员' , '用户管理员 ' , '网站的内容作者' 。 您需要建立什么角色将取决于你所设计的该网站的类型。 请注意,任何人可以管理用户的账号可以自己授予额外权限。
- 往往在加入新的模块的同时增加了额外的权限选项。 当添加新的模块时请您检查访问清单并适当您的角色做调整。
译者: http://www.linuxchinesecom 日期: 20080528
英文源:Accounts and roles