Цитата:
Сообщение от
gl00mie
пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.
Лет 5 назад (точно не помню) - еще в 3.0 решил я как-то (уж не помню зачем) посчитать кол-во групп в системе и сравнить с кол-вом пользователей. Выяснилось, что кол-во групп превышало кол-во пользователей аж в 3 (!!!) раза.
После этого было принято решение относить каждого пользователя в свою индивидуальную группу "и не морочить остальным голову".
Как-то не запомнилась сложность переходного этапа - у нас это сделалось "на раз-два" путем быстренького написания утилитки (мега-джобика), который "сложил" все права каждого пользователя в одну индивидуальную его группу (правда, наскольку я помню - настройку RLS этот мега-джобик не складывал).
Единственное - с чем пришлось столкнуться (благо таких мест было мало) - так это с тем, что в системе иногда прописываются группы пользователей для наделения правами в таблицах (например, настройка журналов).
И теперь - если количество пользователей примерно совпадает с количеством групп - я рекомендую сделать "роли" - т.е. индивидуальные группы каждому пользователю. Гораздо проще потом в последующей настройке