Spaces, Benutzer & Rollen

Dieses Kapitel macht dich zum qualifizierten Prilog-Admin. Du lernst, wie Benutzer, Spaces und Rollen zusammenspielen, und wie du eine Schule Schritt für Schritt einrichtest.

Überblick: Die drei Säulen

Prilog basiert auf drei zentralen Konzepten, die zusammen die gesamte Organisations- und Berechtigungsstruktur bilden:

┌─────────────────────────────────────────────────────────┐
│                    Prilog-Instanz                        │
│                                                         │
│   Benutzer          Spaces           Rollen             │
│   ┌──────────┐      ┌──────────┐     ┌──────────────┐  │
│   │ Lehrkraft│──────>│Kollegium │     │Verwaltungs-  │  │
│   │ Schüler │──────>│Klasse 7a │     │   ebene      │  │
│   │ Eltern   │──────>│AG Musik  │     │ Benutzertyp  │  │
│   │          │      │          │     │ Space-Rolle  │  │
│   └──────────┘      └──────────┘     └──────────────┘  │
│                                                         │
└─────────────────────────────────────────────────────────┘

Konzept	Frage	Beispiel
Benutzertyp	Wer ist diese Person?	Lehrkraft, Schüler, Elternteil
Verwaltungsebene	Wieviel darf sie im Portal verwalten?	Schulleitung, Lehrkraft, Schüler
Space-Rolle	Was darf sie in einem bestimmten Space?	Owner, Member, Gast

Wichtig zu verstehen

Die Verwaltungsebene ergibt sich normalerweise automatisch aus dem Benutzertyp. Beim Anlegen eines Benutzertyps ("Lehrer", "Schüler", "Schulleitung" …) legt der Tenant-Admin einmalig fest, welche Verwaltungsebene Mitglieder dieses Typs bekommen sollen. Jeder neue Benutzer erbt die Ebene dann automatisch vom zugewiesenen Typ. Nur im Ausnahmefall (z. B. ein IT-beauftragter Lehrer, der zusätzliche Admin-Rechte braucht) weicht man davon ab.

---

Teil 1: Benutzer verstehen

Benutzertypen

Ein Benutzertyp beschreibt die funktionale Rolle einer Person in der Organisation. Er legt fest, wer jemand ist — nicht, was er darf.

Typische Benutzertypen an einer Schule:

Benutzertyp	Beschreibung
Lehrkraft	Unterrichtet, betreut Klassen und AGs
Schüler/in	Nimmt am Unterricht teil
Elternteil	Erhält Informationen, kommuniziert mit Lehrkräften
Verwaltung	Büro, Sekretariat, Schulleitung
Extern	Gastreferenten, Kooperationspartner

Wichtig: Der Benutzertyp allein vergibt keine Berechtigungen. Er wird aber für Space-Regeln verwendet (siehe Teil 3).

Benutzertypen verwalten

1. Öffne das Portal
2. Gehe zu Benutzer > Benutzerkonten > Benutzertypen
3. Erstelle die Typen, die zu deiner Organisation passen
4. Weise jedem Benutzerkonto einen Typ zu

Verwaltungsebene

Die Verwaltungsebene bestimmt, wieviel ein Benutzer im Portal verwalten darf — also globale Rechte wie "Benutzer anlegen", "Rechnungen einsehen" oder "Module konfigurieren". Sie ist hierarchisch aufgebaut und hat fünf Stufen:

Stufe	Verwaltungsebene	Schul-Äquivalent	Portal-Berechtigungen
0	Gast	Schüler, Eltern	Portal ansehen, Support-Anfrage, Spaces und Benutzer sehen
1	Mitglied	Standardnutzer	+ eigene Kontaktdaten ändern
2	Manager	Lehrkraft, Fachleitung	+ Benutzer und Spaces verwalten
3	Administrator	Schulleitung	+ Rechnungen einsehen, Benutzertypen, Module und Server-Einstellungen verwalten
4	Inhaber	Schulträger, Geschäftsführung	+ Portal-Accounts verwalten (höchste Stufe)

Faustregel: Die Schulleitung bekommt Administrator, Lehrkräfte bekommen Manager, Schüler und Eltern bleiben Gast. Der Schulträger bzw. die Geschäftsführung wird Inhaber — nur diese Ebene (und die Schulleitung) darf Rechnungen einsehen.

Gast heisst nicht "nur lesen"

Die Verwaltungsebene "Gast" beschraenkt nur die Portal-Verwaltung — also ob jemand Benutzer anlegen, Spaces erstellen oder Module konfigurieren darf. Innerhalb eines Spaces, in dem ein Gast Mitglied ist, kann er voll teilnehmen: chatten, Dateien hochladen, auf Briefe antworten und Aufgaben einsehen. Details zu den Space-Rechten finden Sie unter Space-Rollen.

Detaillierte Berechtigungsmatrix

Die folgende Tabelle zeigt, welche einzelne Berechtigung mit welcher Verwaltungsebene verbunden ist. Berechtigungen vererben sich von oben nach unten — wer Administrator ist, hat automatisch alles, was auch Manager, Mitglied und Gast können.

Berechtigung	Bedeutung	Gast	Mitglied	Manager	Administrator	Inhaber
Portal ansehen	Sich am Portal anmelden und die Startseite öffnen	✅	✅	✅	✅	✅
Support-Anfrage stellen	Ticket ans Prilog-Team schicken	✅	✅	✅	✅	✅
Spaces sehen	Eigene Spaces und deren Mitglieder einsehen	✅	✅	✅	✅	✅
Benutzer sehen	Kontakte sehen (gefiltert nach Sichtbarkeits-Regeln)	✅	✅	✅	✅	✅
Eigene Kontaktdaten aendern	Telefonnummer, Adresse, Avatar fuer sich selbst pflegen	—	✅	✅	✅	✅
Benutzer verwalten	Konten anlegen, bearbeiten, deaktivieren, DSGVO-Loeschen	—	—	✅	✅	✅
Spaces verwalten	Spaces erstellen, umbenennen, archivieren	—	—	✅	✅	✅
Rechnungen einsehen	Abrechnungen und Kontingente pruefen	—	—	—	✅	✅
Benutzertypen verwalten	Schueler-/Lehrer-/Eltern-Typen definieren	—	—	—	✅	✅
Module verwalten	Funktionsmodule aktivieren und konfigurieren	—	—	—	✅	✅
Server-Einstellungen verwalten	Laufzeit-Einstellungen, Integrationen, Infrastruktur	—	—	—	✅	✅
Portal-Accounts verwalten	Inhaber-Accounts anlegen und entziehen	—	—	—	—	✅

Datenschutzhinweis

Schueler, Eltern und andere Nutzer mit niedrigerer Verwaltungsebene sehen bewusst nicht die gesamte Benutzerliste der Schule. Wer welche Kontakte sehen darf, wird ueber den Benutzertyp und dessen Kontakt-Sichtbarkeit gesteuert (siehe Benutzertypen). Eltern sehen typischerweise nur Personen aus gemeinsamen Spaces — also z.B. die Lehrkraefte der Klasse ihres Kindes.

Wie bekommt ein Benutzer seine Verwaltungsebene?

Die Verwaltungsebene wird im Regelfall automatisch aus dem Benutzertyp abgeleitet. Das funktioniert so:

1. Du legst einen Benutzertyp an (z. B. "Lehrer", "Schüler", "Schulleitung").
2. Im Benutzertyp-Editor setzt du einmalig das Feld Verwaltungsebene auf den gewünschten Standardwert (Lehrer → Manager, Schüler → Mitglied, Schulleitung → Administrator …).
3. Jeder neue Benutzer, der diesen Typ bekommt, erbt die Ebene automatisch.

Du musst also bei 95 % deiner Benutzer gar nichts mehr entscheiden: Benutzertyp setzen — fertig. Das Portal zeigt dir im Benutzer-Editor den abgeleiteten Wert als Info-Zeile.

Ausnahmen: abweichende Verwaltungsebene setzen

Es gibt Sonderfälle, in denen ein einzelner Benutzer eine höhere oder niedrigere Ebene braucht als sein Benutzertyp vorgibt:

• Ein IT-beauftragter Lehrer, der zusätzlich Admin-Rechte im Portal braucht (Benutzertyp = "Lehrer", abweichende Ebene = "Administrator").
• Eine Sekretariats-Kraft mit erweiterten Verwaltungsrechten (Benutzertyp = "Verwaltung", abweichende Ebene = "Administrator").

Das setzt du so:

1. Gehe zu Benutzer > Benutzerkonten
2. Wähle den Benutzer aus
3. Im Bearbeitungsbereich siehst du unter dem Benutzertyp eine kleine Info-Zeile mit der aktuellen Verwaltungsebene
4. Klicke auf "Abweichend setzen", wähle die gewünschte Ebene und speichere

Die Ebene ist jetzt an diesem Benutzer "eingefroren" und folgt nicht mehr automatisch dem Benutzertyp. Wenn du die Abweichung wieder aufheben willst, klickst du im selben Feld auf "Auf Standard des Benutzertyps zurücksetzen".

Tipp

Die Verwaltungsebene bestimmt, was ein Benutzer im Portal sehen und tun kann. Für die Berechtigungen innerhalb eines Spaces zählt die Space-Rolle (siehe Teil 3).

---

Teil 2: Spaces verstehen

Was ist ein Space?

Ein Space ist ein organisatorischer Container — vergleichbar mit einem Raum in der Schule. Er bündelt Chat, Dateien, Aufgaben und Kalender für eine bestimmte Gruppe.

Beispiele:

Space	Mitglieder	Zweck
Kollegium	Alle Lehrkräfte	Interne Kommunikation
Klasse 7a	Lehrkräfte + Schüler der 7a	Unterricht, Aufgaben, Dateien
AG Informatik	AG-Leitung + Teilnehmer	Projektarbeit
Elternbeirat	Elternvertreter + Schulleitung	Austausch, Termine
Schulleitung	Nur Schulleitung	Vertrauliche Themen

Space-Hierarchie

Spaces können verschachtelt werden:

Schule (Root)
├── Kollegium
├── Fachbereiche
│   ├── Mathe
│   ├── Deutsch
│   └── Physik
├── Klassen
│   ├── Klasse 7a
│   ├── Klasse 7b
│   └── Klasse 8a
└── AGs
    ├── AG Informatik
    └── AG Musik

Zugang zum Space: zwei unabhängige Achsen

Prilog trennt bewusst zwei Fragen, die sonst gern vermischt werden:

1. Beitritts-Modus (Wie kommt man rein?)
2. Erlaubte Benutzertypen (Wer darf überhaupt rein?)

Beide Einstellungen ergänzen sich — sie ersetzen sich nicht.

Beitritts-Modus (ehemals „Sichtbarkeit")

Modus	Bedeutung
Privat	Nur per Einladung oder Admin-Hinzufügen. Wer nicht eingeladen wurde, sieht den Space gar nicht.
Öffentlich	Tenant-Mitglieder können sich selbst einem Space beitreten, ohne Einladung. Nützlich für grosse offene Gruppen wie „Info für alle Eltern" oder „Schwarzes Brett".

Änderungen am Beitritts-Modus werden automatisch an den Matrix-Raum propagiert (m.room.join_rules).

Erlaubte Benutzertypen (Gate)

Zusätzlich zum Beitritts-Modus kontrollieren die Erlaubte Benutzertypen-Regeln, welche Benutzertypen im Space überhaupt akzeptiert werden. Das Backend prüft bei jedem Eintrittspunkt (Admin-Hinzufügen, Einladung, Zugangs-Antrag), ob der Benutzertyp erlaubt ist — und blockiert ihn mit einer klaren Fehlermeldung, wenn nicht.

Kombination der beiden Achsen:

Beitritts-Modus	Typ in Regel?	Was passiert?
Öffentlich	ja	Benutzer joint selbst, bekommt die Default-Rolle aus der Regel
Öffentlich	nein	Benutzer kommt nicht rein — Gate blockiert, egal ob er versucht selbst zu joinen
Privat	ja	Admin oder Einladung fügt ihn hinzu, er bekommt die Default-Rolle
Privat	nein	Gate blockiert auch die Einladung. Klare Fehlermeldung mit Hinweis auf das Panel „Erlaubte Benutzertypen".

Liegt keine einzige Regel in der Policy vor (weder am Space selbst noch in der Parent-Kette), gilt kein Gate — alle Typen sind erlaubt. Das erhält die Rückwärts-Kompatibilität für Spaces, die vor der Regel-Einführung angelegt wurden.

Faustregel

Setze den Beitritts-Modus meistens auf Privat. Das ist die sicherere Default-Wahl — niemand kann unabsichtlich in einen Space rutschen, den er nicht kennt. Öffentlich ist nur sinnvoll für wirklich offene Räume (Elternbrett, schulweite Ankündigungen). Unabhängig davon: pflege die Erlaubte Benutzertypen-Liste, damit der Admin auf einen Blick sieht, wer fachlich in den Space gehört — und damit niemand versehentlich per Einladung an den falschen Space weitergereicht wird.

Space erstellen und aktivieren

Der Weg vom neuen Space bis zum funktionierenden Chat-Raum ist auf das Nötigste reduziert:

1. Anlegen  ──>  2. Mitglieder zuweisen
(DB + Matrix      (jede Aenderung wird
 in einem          sofort nach Matrix
 Schritt)          gepusht)

Mehr Schritte gibt es nicht. Alles, was früher „Initialisieren" und „Space-Sync" waren, läuft jetzt automatisch im Hintergrund.

Schritt 1: Space anlegen

1. Gehe zu Benutzer > Spaces
2. Fülle das Formular "Neuen Space anlegen" aus:
   • Space-ID: Eindeutiger Bezeichner (z.B. kollegium, klasse-7a)
   • Name: Anzeigename (z.B. "Kollegium", "Klasse 7a")
   • Beitritts-Modus: Privat oder Öffentlich (siehe Abschnitt „Zugang zum Space")
3. Klicke auf das + Symbol

Prilog erstellt automatisch den dazugehörigen Matrix-Raum und verknüpft ihn. Es ist kein zweiter Klick mehr nötig — der Space ist nach dem Anlegen direkt einsatzbereit.

Falls die Matrix-Verknüpfung fehlschlägt

Wenn Synapse kurz nicht erreichbar ist oder ein Rate-Limit greift, legt Prilog den Space trotzdem in der Datenbank an und markiert den Matrix-Teil als „fehlgeschlagen". Im Space-Editor erscheint dann ein gelber Button „Matrix-Raum nachinitialisieren", mit dem du die Verknüpfung nachholen kannst. Im Normalfall siehst du diesen Button nie.

Schritt 2: Mitglieder zuweisen

Siehe Teil 3 — über die Benutzertyp-Regeln am Parent-Space geht das oft sogar vollständig automatisch. Beim direkten Hinzufügen eines Mitglieds, beim Rollen-Wechsel, beim Deaktivieren und beim Entfernen pusht Prilog die Änderung sofort nach Matrix. Der Benutzer sieht den neuen Raum in seinem Client innerhalb weniger Sekunden.

Im Space-Editor siehst du oben neben dem Speichern-Knopf einen grünen Status-Indikator „Synchron mit Matrix". Solange der grün bleibt, ist nichts zu tun.

Auto-Sync im Detail

Jede Mitgliedschaftsänderung im Portal — Mitglied hinzufügen, Rolle ändern, Status ändern, Mitglied entfernen, Einladung akzeptieren, Zugangs-Antrag genehmigen, Verantwortliche wechseln — löst unmittelbar einen Matrix-Sync für diese eine Mitgliedschaft aus. Das passiert unsichtbar im Hintergrund, innerhalb desselben HTTP-Requests. Kein Klick, kein Warten, kein „hoffentlich hat es geklappt".

Wenn doch etwas aus dem Tritt gerät

Sollte der Auto-Sync mal scheitern (Synapse war kurz down, Matrix-Raum-ID fehlt, anderer seltener Fehler), erkennst du das auf zwei Arten:

1. Im Space-Editor wird der grüne Badge „Synchron mit Matrix" zu einem gelben Aktions-Button „Matrix-Sync nachholen". Ein Klick darauf lässt Prilog alle Mitgliedschaften des Space erneut gegen Matrix abgleichen.
2. Im Menüpunkt „Wartung" (Benutzer > Wartung) erscheint der Space in einer Liste aller aktuell nicht synchronen Spaces. Dort gibt es pro Zeile einen „Reparieren"-Button.

In der Subnavigation zeigt der Link „Wartung" zusätzlich einen gelben Warnbadge mit der Anzahl betroffener Spaces, sobald etwas Aufmerksamkeit braucht. Im Normalbetrieb ist dieser Badge unsichtbar.

Wartung-Seite im Detail

Die Wartungs-Seite wird aus zwei Quellen gespeist:

• Fehlgeschlagene Auto-Sync-Versuche: Jede Mitgliedschaftsänderung triggert einen Matrix-Sync. Schlägt der fehl, wird der Space als failed oder pending markiert und erscheint hier.
• Nächtlicher Drift-Scan: Ein Cron-Job läuft jede Nacht um 02:30 Uhr über alle Spaces aller aktiven Tenants und prüft, ob der Matrix-Zustand noch mit der Prilog-DB übereinstimmt. Findet er Abweichungen, markiert er den Space als drifted und listet ihn hier auf.

Was tun, wenn die Wartungs-Liste nicht leer ist?

Im Regelfall reicht ein Klick auf „Reparieren" pro Space — das wiederholt die Sync-Operationen, die beim automatischen Versuch schiefgegangen sind. Wenn derselbe Space nach mehreren Reparatur-Versuchen wiederkehrt, schau in den pm2-Logs nach der Ursache: meistens ist es ein einzelner User, der keinen Eintrag im Verzeichnis hat, oder ein Space-Raum mit abweichenden Matrix-Permissions.

Wenn die Liste im Alltag dauerhaft nicht leer ist

… dann stimmt etwas Grundlegendes nicht. Das ist ein Fall für den Prilog-Support, nicht für wiederholtes Reparieren. Typische Ursachen: Synapse hat ein Problem mit dem Admin-User, ein Runtime ist halb provisioniert, oder ein Benutzer existiert in Prilog aber nicht auf dem Matrix-Server.

Diagnose (Space-Check)

Zusätzlich zur Wartungs-Seite gibt es im Space-Editor einen kleinen Link „Diagnose (Space-Check)". Das ist ein manuelles Einzeltool: es vergleicht Prilog-DB und Matrix für einen Space und meldet die genauen Abweichungen. Es verändert nichts — es dient nur zum Verstehen. Im Normalbetrieb brauchst du es nicht, und für Bulk-Wartung nutzt du stattdessen die Wartungs-Seite.

---

Teil 3: Rollen und Zuweisungen

Die drei Rollen-Ebenen

Prilog arbeitet mit drei voneinander unabhängigen Rollen-Ebenen:

┌─────────────────────────────────────────────────┐
│ Ebene 1: Benutzertyp                            │
│ WER ist die Person?                             │
│ Beispiel: Lehrkraft                             │
│ Wirkung: Steuert Space-Regeln & Defaults        │
├─────────────────────────────────────────────────┤
│ Ebene 2: Verwaltungsebene                       │
│ WIEVIEL darf sie im Portal verwalten?           │
│ Beispiel: Administrator                         │
│ Wirkung: Bestimmt globale Portal-Rechte         │
├─────────────────────────────────────────────────┤
│ Ebene 3: Space-Rolle                            │
│ WAS darf sie in DIESEM Space?                   │
│ Beispiel: Owner im Kollegium, Member in AG      │
│ Wirkung: Bestimmt Rechte im jeweiligen Space    │
└─────────────────────────────────────────────────┘

Space-Rollen im Detail

Rolle	Rechte im Space
Owner	Volle Kontrolle: Space loeschen, Einstellungen aendern, Mitglieder verwalten, Inhalte moderieren
Admin	Alles ausser Space loeschen: Mitglieder einladen/entfernen, Rollen aendern, Inhalte moderieren
Moderator	Nachrichten moderieren, Dateien verwalten, Mitglieder einladen/entfernen
Member	Chatten, Dateien hoch-/herunterladen, Aufgaben erstellen/bearbeiten, Kalender pflegen
Gast	Chatten, Dateien hoch-/herunterladen, eigene Nachrichten loeschen, Aufgaben und Kalender einsehen

Was koennen Gaeste im Space?

Die Space-Rolle "Gast" ist fuer Eltern und Schueler gedacht. Gaeste koennen innerhalb ihrer Spaces aktiv teilnehmen:

Aktion	Gast	Member
Nachrichten lesen und schreiben	✅	✅
Eigene Nachrichten loeschen	✅	✅
Dateien und Bilder hochladen	✅	✅
Dateien herunterladen	✅	✅
Eigene Dateien loeschen	✅	✅
Auf Elternbriefe und Umfragen antworten	✅	✅
Aufgaben einsehen	✅	✅
Aufgaben erstellen und bearbeiten	—	✅
Kalender einsehen	✅	✅
Kalender-Termine erstellen	—	✅
Mitgliederliste sehen	✅	✅
Mitglieder einladen oder entfernen	—	—
Space-Einstellungen aendern	—	—

Der Unterschied zwischen Gast und Member: Gaeste koennen keine Aufgaben erstellen, keine Kalender-Termine anlegen und keine Mitglieder verwalten. Kommunikation (Chat, Dateien, Briefe) funktioniert vollstaendig.

Verantwortliche (Space-Manager)

Zusätzlich zu den Space-Rollen gibt es Verantwortliche. Das sind Personen, die für einen Space organisatorisch zuständig sind:

Art	Bedeutung	Matrix-Effekt
Primär	Hauptverantwortlicher	Wird automatisch Raum-Admin in Matrix
Stellvertretend	Vertretung	Wird Moderator

Mitglieder einem Space zuweisen

1. Gehe zu Benutzer > Space-Mitglieder
2. Wähle links den gewünschten Space
3. In der Mitgliederliste siehst du alle Benutzer
4. Weise Benutzern eine Verantwortlichkeit zu (Primär/Stellvertretend)
5. Der Benutzer wird automatisch als Mitglied hinzugefügt

Tipp

Wenn ein Space bereits initialisiert ist, wird nach der Zuweisung automatisch ein Sync ausgelöst, der den Benutzer dem Matrix-Raum hinzufügt.

Benutzertyp-Regeln pro Space: Praxis

Das Konzept der zwei Achsen (Beitritts-Modus vs. Erlaubte Benutzertypen) ist oben unter „Zugang zum Space" erklärt. Hier geht es um die praktische Bedienung: wie du die Benutzertyp-Regeln im Portal setzt, wie Vererbung funktioniert, und wie du Ausnahmen einbaust.

So setzt du eine Regel

1. Gehe zu Benutzer > Spaces
2. Wähle einen Space
3. Scrolle zum Abschnitt Erlaubte Benutzertypen
4. Setze den Haken bei den gewünschten Typen und wähle rechts die Standardrolle

Änderungen werden sofort gespeichert — es gibt keinen "Speichern"-Button. Jede Anpassung landet direkt in der Datenbank, das Portal bestätigt dir das mit einem kurzen "Gespeichert."-Hinweis.

Vererbung: einmal setzen, überall wirken

Das Prinzip: Regeln, die du an einem Parent-Space setzt, werden automatisch an alle Unterspaces vererbt. Du musst sie nicht auf jedem Unterspace einzeln wiederholen.

Beispiel Schule mit vielen Klassen:

Klassen                ← hier EINMAL Regeln setzen:
├── Klasse 5a            - Lehrkraft → Admin
├── Klasse 5b            - Schüler  → Gast
├── Klasse 6a            - Eltern   → Gast
├── ...
└── Klasse 13

Sobald du am Space "Klassen" die Regel Lehrkraft → Admin, Schueler → Gast, Elternteil → Gast hinterlegst, gilt sie automatisch fuer alle Unterklassen. Ziehst du die Lehrkraft Frau Maier in Klasse 5a rein, wird sie automatisch Raum-Admin. Traegt sich ein Schueler in Klasse 11 ein, wird er automatisch Gast — er kann chatten und Dateien sehen, aber keine Aufgaben erstellen. Du hast nichts manuell tun muessen.

Im Unterspace siehst du die geerbten Einträge an einem farbigen Rahmen und einem Badge "geerbt von Klassen". So ist sofort klar, dass hier nichts lokal gesetzt ist — die Regel kommt vom Parent.

Ausnahmen: lokale Overrides

Manchmal soll ein bestimmter Space von der Regel abweichen. Zum Beispiel: "Im Projektspace der Abschlussklasse 13 sollen Schueler Member statt Gast sein, damit sie selbst Aufgaben erstellen koennen."

So geht's:

1. Gehe in den Unterspace (z. B. Projektarbeit 13)
2. Das Panel zeigt die geerbten Eintraege mit Badge "geerbt von Klassen"
3. Klicke auf die Checkbox der Zeile "Schueler" — das erzeugt einen lokalen Override. Die geerbte Rolle (Gast) wird als Startwert uebernommen.
4. Aendere die Standardrolle auf Member — wird sofort gespeichert.
5. Der farbige Rahmen und das Badge verschwinden: dieser Eintrag ist jetzt lokal und haengt nicht mehr an Klassen.

Wenn du den Override wieder loswerden willst, klickst du auf den kleinen Link "Lokalen Override entfernen". Die Vererbung vom Parent ist dann wieder aktiv.

Faustregel

Setze Regeln möglichst weit oben in der Space-Hierarchie — idealerweise am Wurzel-Space ("Schule") oder an den grossen Gruppen ("Klassen", "Fachbereiche", "AGs"). Overrides setzt du nur, wenn ein einzelner Space tatsächlich abweichen muss. So hast du eine kleine, übersichtliche Menge an Regeln, die du jederzeit verstehst.

Wichtig

Die Regel wirkt nur auf neu hinzugefügte Mitglieder. Wer schon im Space ist, behält seine bisherige Rolle. Die Regel fügt auch keine Benutzer automatisch hinzu — sie bestimmt nur, welche Rolle sie beim Beitritt bekommen.

Beispiel-Konfiguration für eine typische Schule:

Space	Regel (Benutzertyp → Rolle)	Wirkt auf
Schule (Root)	Schulleitung → Owner	Alle Spaces
Klassen	Lehrkraft → Admin, Schueler → Gast, Elternteil → Gast	Alle Klassen (5a-13)
Fachbereiche	Lehrkraft → Member, Fachleitung → Admin	Alle Fachbereiche
Projektarbeit 13 (Override)	Schueler → Member	Nur dieser Space (Schueler erstellen eigene Aufgaben)

Diese vier Einträge reichen für eine ganze Schule mit 30+ Klassen und 15+ Fachbereichen aus — das ist der Punkt, an dem sich Vererbung praktisch auszahlt.

---

Teil 4: Praxis — Eine Schule einrichten

Schritt-für-Schritt-Anleitung

Folge dieser Reihenfolge für eine saubere Einrichtung:

Phase 1: Grundstruktur

1. Benutzertypen anlegen

   • Lehrkraft, Schüler, Elternteil, Verwaltung
   • Pro Typ die Verwaltungsebene setzen (Lehrer → Manager, Schüler → Mitglied, Schulleitung → Administrator)
   • Benutzer > Benutzerkonten > Benutzertypen

2. Benutzer anlegen

   • Für jede Person ein Konto erstellen und den Benutzertyp zuweisen
   • Die Verwaltungsebene ergibt sich automatisch aus dem Benutzertyp — nur im Sonderfall manuell abweichen
   • Benutzer > Benutzerkonten

Phase 2: Spaces

3. Spaces anlegen
   • Kollegium, Klassen, AGs, etc.
   • Benutzer > Spaces > „Neuen Space anlegen"

Klassen-Spaces schneller anlegen

Für Schul-Klassen gibt es den Ein-Klick-Dialog „Neue Klasse anlegen", der pro Klasse einen Container + zwei thematische Unter-Räume (Unterricht für Lehrer+Schüler, Eltern für Lehrer+Eltern) samt aller Benutzertyp-Regeln automatisch erstellt. Das ist der empfohlene Weg für Schulen — siehe das eigene Kapitel Schule einrichten: Klassen nach Muster B mit Details und Beispiel-Aufbau.

4. Benutzertyp-Regeln setzen

   • Welche Typen dürfen in welchen Space, mit welcher Standardrolle?
   • Im Space-Detailbereich im Panel „Erlaubte Benutzertypen"
   • Regeln möglichst weit oben in der Hierarchie setzen — Kinder erben automatisch
   • Für Klassen passiert das automatisch durch den „Neue Klasse anlegen"-Dialog

5. Verantwortliche zuweisen

   • Pro Space mindestens einen Primär-Verantwortlichen
   • Im Space-Detailbereich unter "Verantwortliche"

Phase 3: Mitglieder und Test

6. Mitglieder zuweisen
   • Benutzer > Space-Mitglieder
   • Benutzer den Spaces zuordnen — jede Zuweisung wird automatisch nach Matrix gepusht
7. Im Web-Client testen — als Benutzer einloggen und prüfen ob die Spaces sichtbar sind

Die früheren Schritte „Spaces initialisieren" und „Space-Sync ausführen" sind entfallen, weil beides automatisch passiert: der Matrix-Raum entsteht direkt beim Anlegen, und jede Mitgliedschaftsänderung wird unmittelbar nach Matrix gepusht.

Checkliste

• [ ] Benutzertypen angelegt (inkl. Verwaltungsebene pro Typ)
• [ ] Alle Benutzer erstellt und einem Benutzertyp zugewiesen
• [ ] Spaces angelegt und benannt (Matrix-Raum wird automatisch erstellt)
• [ ] Erlaubte Benutzertypen pro Space konfiguriert (am besten am Wurzel-Space, Kinder erben)
• [ ] Verantwortliche pro Space zugewiesen
• [ ] Mitglieder den Spaces zugewiesen
• [ ] Status-Indikator zeigt „Synchron mit Matrix" (grün)
• [ ] Test-Login im Web-Client erfolgreich

---

Häufige Fragen

Wie lösche ich einen Benutzer?

Prilog bietet zwei Wege — deaktivieren (reversibel, für pausierte Accounts) und archivieren (unwiderruflich, für DSGVO-Löschanträge). Das eigene Kapitel DSGVO-Löschung erklärt beide Wege im Detail, inklusive dem rechtlichen Hintergrund und einer Admin-Checkliste für Löschanträge nach Art. 17 DSGVO.

Kurzform: im Benutzer-Editor auf „Löschen" klicken, im aufpoppenden Dialog eine der beiden Optionen wählen.

Ein Benutzer sieht keinen Space im Web-Client

Ursache: Der Benutzer hat keine aktive Mitgliedschaft im Space (oder der Auto-Sync nach Matrix ist beim Zuweisen fehlgeschlagen).

Lösung:

1. Portal > Space-Mitglieder > Space wählen
2. Benutzer zuweisen — Auto-Sync läuft automatisch
3. Falls der Status-Indikator im Space-Editor nicht grün wird: einmal auf „Matrix-Sync nachholen" klicken

Status-Indikator zeigt nicht „Synchron"

Mögliche Ursachen:

• Der Matrix-Raum wurde nicht angelegt (matrixRoomId fehlt) → Button „Matrix-Raum nachinitialisieren" nutzen
• Ein Benutzer im Space hat keinen Eintrag im Benutzerverzeichnis
• System-Accounts (z.B. der Server-Admin) werden automatisch übersprungen — das ist normal
• Für Details auf „Diagnose (Space-Check)" klicken — das zeigt die genaue Ursache

Was ist der Unterschied zwischen Verwaltungsebene und Space-Rolle?

Die Verwaltungsebene bestimmt, was ein Benutzer im Portal tun darf (z.B. Spaces verwalten, Benutzer anlegen, Rechnungen einsehen). Sie ist eine globale Eigenschaft des Benutzerkontos und wird im Normalfall automatisch aus dem Benutzertyp abgeleitet.

Die Space-Rolle bestimmt, was er innerhalb eines bestimmten Spaces tun darf (z.B. Nachrichten senden, Dateien verwalten, Mitglieder einladen). Sie ist pro Space individuell und wird aus den „Erlaubte Benutzertypen"-Regeln des jeweiligen Space abgeleitet.

Beide sind unabhängig: Ein Benutzer mit Verwaltungsebene „Mitglied" kann trotzdem „Owner" in einem Space sein. Und ein „Administrator" im Portal kann in einem einzelnen Space nur „Gast" sein, wenn die Regel das vorsieht.

Muss ich für jeden Space manuell syncen?

Ja, aktuell muss der Space-Sync manuell ausgelöst werden. In Zukunft wird dies automatisiert, wenn Mitglieder zugewiesen werden.