Безопасность на уровне записей

[fed]

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали:
http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx
Если я правильно понимаю, после какого-то хотфикса поведение 4ки и 2009ой унифицировали

[gl00mie]

Цитата:

Сообщение от fed

Кстати про разницу поведения DAX4 и DAX2009 вот здесь писали: http://blogs.msdn.com/emeadaxsupport...s-ax-2009.aspx

Цитата:

The reason why the RLS design was changed is that the security in Dynamics AX in general is additive.

Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением. Или, точнее, не выразили явно, что применительно к RLS работают не только разрешения, но и запреты, отсюда и путаница в понимании механизма работы. В настройке прав по ключам доступа все вроде понятно - там есть лишь возможность разрешить доступ, потому и простая аддитивная модель тут замечательно работает. По-моему, в случае с RLS надо было обратиться к опыту разграничения прав платформы, на которой работает Аксапта, т.е. виндов: тут есть настройки прав, разрешающие доступ, и есть настройки, доступ запрещающие, причем последние имеют приоритет. Т.е. для RLS имело смысл ввести новое понятие в модели безопасности, но тогда RLS, возможно, нельзя было бы настраивать с помощью простой настройки запросов.

[alex55]

Цитата:

Сообщение от gl00mie

Похоже, разработчики ядра сами запутались в том, как должна работать подсистема безопасности: где права пользователя должны быть объединением множеств прав групп, а где - пересечением.

Интересно еще понять, в какой-либо документации данное концептуальное изменение подхода было отражено? Здесь я не нашел:

- What's New for Microsoft Dynamics AX 2009 - http://www.microsoft.com/downloads/d...displaylang=en
- Manage record level security - http://technet.microsoft.com/en-us/l.../aa570084.aspx

Может в документах по миграции с 4.0 где-то описано?

[propeller]

Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)

[Geo]

Цитата:

Сообщение от propeller

Может кто то разобрался какой hotfix требуется чтобы вернуть поведение RLS так как было в 4.0?
У нас стоит HR 4, такое поведение RLS нас не устраивает)

Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.

[Daiver]

Цитата:

Сообщение от Geo

Тот же вопрос интересует RLS для нас не критично, но всё-таки было бы поудобнее.

Удалось ли решить проблему?
Можно ли где-то почитать рекомендации от MBS по созданию прав доступа с учетом нового поведения RLS?

Очень не удобно получилось в нашем случае. У нас есть группа открывающая доступ к модулю "Расчеты с клиентами" в том числе к таблице клиентов, и есть группа которая ограничивает список клиентов с помощью RLS. В 5-ке толку от второй группы уже ни какого. Как поступить? Убрать таблицу клиентов из основной группы, создать две доп группы, одна будет давать полный доступ к таблице, другая с учетом RLS?

Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.

Цитата:

Сообщение от Daiver

Коллеги, поделитесь опытом, как лучше в 5-ке формировать группы с учетом нового поведения RLS.

Как уже писали выше, проще давать одну группу пользователю. На ней настраивать и права и RLS.
Для тиражирования прав по нескольким группам, которые должны отличаться только RLS, можно запилить некую шаблонную группу, менять права в ней, а потом импортировать их в группы с RLS.