Прежде, чем настраивать роли, вкратце поясню, что это такое. Друпал использует систему управления доступом к тем или иным данным и возможностям на основании т.н. ролей. Можно рассматривать это как группы в операционных системах — участие в той или иной группе даёт те или иные полномочия. Есть две встроенные роли: анонимные (неавторизованные, не представившиеся системе) пользователи и авторизованные пользователи. Все прочие роли нужно создавать.
Роли удобны для «точечного» назначения прав в тех случаях, когда не хочется, чтобы все до единого авторизованные пользователи умели исполнять те или иные действия. Скажем, вы можете создать роль «Блогеры» и дать ей право создавать, править и удалять записи в блоге. Не нужно добавлять что-то ещё — права ролей суммируются (если одна из ролей, к которым отнесён пользователь, имеет некие полномочия, а другие роли такоих полномочий не имеют — пользователь будет иметь все полномочия этой роли. Поэтому не стоит повторять то, что уже умеет авторизованный пользователь.
В нашем примере мы создадим административную роль, которая может всё, создадим нового пользователя, которого произведём таким образом в администраторы, и перестанем, наконец, использовать суперпользователя.
admin/people/permissions/roles
В поле слева от «Add role» вводим имя новой роли на пример «Admin». После того, как роль добавлена, назначим ей полномочия.
admin/people/permissions
В этом поле помечаем все до единой галочки для роли «Admin» (или как вы её хотите назвать). Сохраняем изменения.
Теперь настроим анти-спам, CAPTCHA.
admin/config/people/captcha
Поскольку идентификаторы форм, которые можно защитить «тестом на человечность», так упрощённо переводится CAPTCHA, даны по-английски, поясню:
comment_form: форма отправки комментариев. Обязательно защитить, иначе спамеры в момент наводнят ваш сайт мусором.
comment_mail_page: форма отправки сообщений с сайта. Если позволяете анонимным пользователям отправлять вам сообщения (а надо позволять, иначе потеряете множество потенциальных партнёров), защитите. Иначе спамеры будут слать вам свои послания долго и с удовольствием.
comment_mail_user: то же, но для сообщений конкретному пользователю. Я обычно тоже защищаю.
user_login: форма входа (авторизации). Я обычно не защищаю: если спамер пробил прежний тест и смог зарегистрироваться, то и этот пробьёт. А нормальных людей это раздражает.
user_login_block: то же, но в блоке (обычно над блоком навигации). Не защищаю по той же причине.
user_pass: поле отправления забытого пароля. Обычно защищаю, чтобы меня не развлекали письмами о созданном новом пароле.
user_register: регистрация нового пользователя. Обычно защищаю.
Какую именно версию теста — графику, арифметику или выбор строки — вы выберете. не очень важно. Эффективность их сопоставима.
Если вам потребуется добавить тест CAPTCHA на любую другую форму, пометьте галочкой «Добaвить административную ссылку CAPCTHA на формы», сохраните, затем перейдите под именем с административными полномочиями на страницу с нужной формой и добавьте туда тест.
Всё очень просто. Потом советую эту галочку снять, ибо ссылки с предложением поставить CAPTCHA вскоре начнут раздражать.
И, наконец, синонимы. Те самые красивые ссылки.
admin/config/search/path/patterns
Здесь я советую произвести следующие действия:
Default path pattern (applies to all content types with blank patterns below):
[node:title]
Default path pattern for Blog (applies to all Blog content types with blank patterns below)
blog/[node:title]
Посмотрите сами, что выбрать для других полей — я бы везде советовал, если нет нужды, использовать численные синонимы. Это как минимум избавит от хлопот, когда вы решите, например, переименовать категорию.