AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 09.05.2006, 22:25   #1  
sbonus is offline
sbonus
Участник
 
4 / 10 (1) +
Регистрация: 15.03.2006
:( Права пользователя (групп).
Уже несколько раз попадал на такую ситуацию: несколько пользователей в двух, а то и в трёх группах (понимаю, что это не хорошо, но не мной это было сделано). Поступает задача создать новую группу, и двух пользователей (из предыдущих групп) переместить в эту группу, чтобы они работали отдельно. Для того чтобы они безболезненно начали работу, нужно копировать все права из двух (трёх) предыдущих групп и наделить ими эту группу. Как это сделать? Возможно ли слияние (наследование) прав доступа? В какихом виде и где хранятся эти настройки? Просто так лазить по дереву настроек не дело, ибо изменений за год было сделано куча. Экспорт и импорт известны, меня интересует именно слияние прав двух и более групп в одну.
Заранее спасибо.

Последний раз редактировалось sbonus; 10.05.2006 в 08:39.
Старый 10.05.2006, 09:37   #2  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,311 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от sbonus
Возможно ли слияние (наследование) прав доступа?
Невозможно. Возможно сделать некоторую доработку - которая при импорте "складывает" права - т.е. смотрит на уровень доступа - и выбирает наибольший.
Цитата:
Сообщение от sbonus
В какихом виде и где хранятся эти настройки?
таблички \System Documentation\Tables\AccessRightsList, \Data Dictionary\Tables\SysSecurityFormTable, \Data Dictionary\Tables\SysSecurityFormControlTable
Поищите по форуму - по названию (не полному пути, а только названию) - найдете точно.
Цитата:
Сообщение от sbonus
Просто так лазить по дереву настроек не дело, ибо изменений за год было сделано куча. Экспорт и импорт известны, меня интересует именно слияние прав двух и более групп в одну.
Да уж, просто так не налазиешься. Однако и таблички просто так неоткопируешь - поищите по форуму - я расписывал механизм. Однако технически - реализовать за некоторое разумное время то, что вы хотите - возможно.
__________________
Возможно сделать все. Вопрос времени
Старый 10.05.2006, 11:39   #3  
leshy is offline
leshy
Участник
 
118 / 11 (1) +
Регистрация: 23.02.2004
Адрес: Киев
Цитата:
Сообщение от sbonus
: несколько пользователей в двух, а то и в трёх группах (понимаю, что это не хорошо. .
А почему вы считаете что это нехорошо?
Старый 10.05.2006, 19:07   #4  
blokva is offline
blokva
Пенсионер
Аватар для blokva
SAP
NavAx Club
 
743 / 167 (7) ++++++
Регистрация: 04.06.2003
Адрес: Беларусь
Цитата:
Сообщение от leshy
А почему вы считаете что это нехорошо?
Да действительно почему?
ИМХО наоборот если создать набор групп с минимально-возможномы наборами прав и комбинируя членством пользователей в них можно созать практически-любые комбинации!
__________________
Законы природы еще никто не отменял!
А еще у меня растет 2 внучки!!! Кому интересно подробности тут:
http://www.baby-shine.com/
Старый 11.05.2006, 10:50   #5  
sbonus is offline
sbonus
Участник
 
4 / 10 (1) +
Регистрация: 15.03.2006
Цитата:
Сообщение от blokva
Да действительно почему?
ИМХО наоборот если создать набор групп с минимально-возможномы наборами прав и комбинируя членством пользователей в них можно созать практически-любые комбинации!
Я считаю, юзер (пользователь одного отдела, должности) должен быть членом только одной группы, со всеми только этой группе присущими настройками. В большом количестве маленьких групп однозначно можно так запутаться, что выйти будет уже трудно. Да и каждая группа соотвествует определённому направлению дейтельности, зачем её права давать ещё кому-то? А если прав у трёх групп не хватит, что делать, создавать новую группу и там новые права писать, или в одной из существующих добавлять?.. Если в существующей, то в какой?.. Их же много...А если надо лишить определённую группу пользователей (а они находятся в пяти группах в Аксапте) доступа куда-либо, то где искать эти доступы, в какой из пяти групп? И где гарантия, что другие пользователи (соседнего отдела, которые тоже входят в одну из этих пяти групп) не лишатсся этого доступа? А когда группа одна, то и вопросов таких не возникает, и каждое направление деятельности отслеживается и настраивается корректно и без подобных проблем.
С уважением.
Старый 11.05.2006, 14:46   #6  
blokva is offline
blokva
Пенсионер
Аватар для blokva
SAP
NavAx Club
 
743 / 167 (7) ++++++
Регистрация: 04.06.2003
Адрес: Беларусь
Ну это как раз кому как нравицца, или создать еданую концепцию, а под нее кучу групп и потом не заморачиваться на включение и выключение ключей, размножения и слияния групп (в чем собственно и состоял вопрос топика) или заниматься постоянными подгонками прав под существующие группы и создание новых в случае невозможности использовать существующие... хотя как всегда можно иметь и комбинированный вариант я высказал свое ИМХО
__________________
Законы природы еще никто не отменял!
А еще у меня растет 2 внучки!!! Кому интересно подробности тут:
http://www.baby-shine.com/
Старый 11.05.2006, 15:27   #7  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,311 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от sbonus
А если прав у трёх групп не хватит, что делать, создавать новую группу и там новые права писать, или в одной из существующих добавлять?.. Если в существующей, то в какой?.. Их же много...А если надо лишить определённую группу пользователей (а они находятся в пяти группах в Аксапте) доступа куда-либо, то где искать эти доступы, в какой из пяти групп?
Группы прав можно формировать исходя из двух взаимоисключающих принципов:
1) группа=набор функциональных обязанностей пользователей
2) группа=минимально неделимый функционал (например создание заказов, без права разноски)
В первом случае (это Ваш случай) - действительно - один пользователь должен состоять в одной группе. Если ему нужно дать/отнять права - нужно этой группе - включить/выключить соотв ключик/набор ключиков.
Во втором случае каждая группа является по сути набором ключиков. И хочется для приведения к первому случаю поиметь дерево групп, которого в Аксапте нет. Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек. Во втором случае легко решается проблема дать челу доступ еще на дополнительный функционал - не нужно думать - какие ключики нужно включать (очевидно - что будет не один ключик - меню, таблицы, формы).
Запрос - где искать доступы - решабелен через дополнительные доработки. И эту информацию можно получить за вполне удобоваримое время.

Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva
__________________
Возможно сделать все. Вопрос времени
За это сообщение автора поблагодарили: blokva (1).
Старый 11.05.2006, 16:03   #8  
blokva is offline
blokva
Пенсионер
Аватар для blokva
SAP
NavAx Club
 
743 / 167 (7) ++++++
Регистрация: 04.06.2003
Адрес: Беларусь
Цитата:
Сообщение от sukhanchik
Так что смотрите сами - как удобнее. Я лишь развил мысль г-на blokva
Совершенно справедливо, полностью согласен.
Спасибо за развитие мысли!
__________________
Законы природы еще никто не отменял!
А еще у меня растет 2 внучки!!! Кому интересно подробности тут:
http://www.baby-shine.com/
Старый 14.05.2006, 08:16   #9  
sbonus is offline
sbonus
Участник
 
4 / 10 (1) +
Регистрация: 15.03.2006
Цитата:
Сообщение от sukhanchik
Однако, в случае использования второго механизма - при ведении некоторой системы именования групп - за раздачу прав может отвечать вообще говоря необученный Аксапте человек.
Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать. Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?). На самом деле обе версии (и моя и Ваша) имеют право на существование. Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда? А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.
С уважением.
Старый 15.05.2006, 09:34   #10  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,311 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от sbonus
Весьма смело, я не решился бы давать управление группами и вообще права админа не обученному человеку, хотя всем всегда приходится с чего-то начинать.
Я подразумевал - делегирование процедуры назначения прав человеку, на которого ляжет ответственность за доступ к различным функциям в системе (без вдавания в подробности). Это рутина (люди приходят и уходят; обязанности меняются; на время отпуска проиходит замещение и т.п.). В то время - как расстановка галок и создание самих групп - это разовое занятие (настроил и все - при условии некардинальных модификаций конечно)
Цитата:
Сообщение от sbonus
Да и приходится вести систему именования групп, а так как функционал у них минимальный, то групп должно быть много (я правильно понял?).
Ага, совершенно верно - вот почему я и заговорил о дереве групп прав - для группировки.
Цитата:
Сообщение от sbonus
Но вопрос (!), как поведут себя права доступа к какому-либо полю (к примеру), если в одной группе они только для чтения, а в другой возможна правка (а так же в какой группе менять право доступа, если определённому юзеру их надо именно сменить)? А юзера надо сделать именно членом этих групп. То есть вопрос пересчения прав доступа. ИМХО, должны быть выставлены максимальные права. Но так ли это всегда?
Это так всегда - однако необходимо учитывать такой факт: в 3.0 права можно давать как на ключики, так и на менюайтемы и контролы. Это приводит к тому - что для разрешения к примеру пункта меню - должен быть доступ на менюайтем и на ключик, который указан в свойствах менюайтема. Ну и про контролы не надо забывать, тем более - что это механизм может сбойнуть при модификации формы. (если сменится ID контрола в форме)
Цитата:
Сообщение от sbonus
А непредсказуемости я просто боюсь и стараюсь её всегда избегать. Мне проще создать несколько базовых групп, а потом от них (почти как наследованием, жаль что в Аксапте нету механизма наследования прав) экспортом уже создавать новые эксклюзивные группы, которые наделять только им присущими правами, и уже в эти группы включать пользователей.
Абсолютно согласен - что если не дошли руки чтобы залезть внутрь - то именно так и надо поступать. Непредсказуемости нужно избегать. В Вашем случае спокойствие важнее. Однако - как человек, поковыряшийся в правах (когда делал всякие утилитки нашим консалтам) - могу предположить с большой долей уверенностью - где возможно искать подводные камни при настройке прав. Более того - возможно (и весьма несложно напрограммировать и будет быстро работать) - получить информацию - о том, какая группа разрешает тот или иной ключик.
__________________
Возможно сделать все. Вопрос времени
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
При копировании настроек из таблицы SysLastValue для другого пользователя копируются и права доступа??? Murlin DAX: Программирование 6 23.09.2008 15:09
Как узнать у каких групп есть права на MenuItem ? egorych DAX: Администрирование 13 19.06.2007 12:56
Права групп пользователей Manner DAX: Администрирование 5 03.10.2006 17:16
Минимальные права пользователя к каталогу Standard? nicko DAX: Администрирование 11 07.06.2006 13:28
stack overflow: права групп пользователей artem DAX: Администрирование 4 06.08.2002 18:49

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 13:21.