Как добавить себя админом в CRM

[ferel]

Ситуация следующая
Есть сервер MS Dynamic CRM 4.0

В нем примерная иерархия

CRM
-Дирекция
--Ком отдел
---Розница
---Опт


В главном подразделении CRM был 1 пользователь (админ) но его удалили из AD и его учетка в CRM автоматом заблокировалась.
Все остальные админы находятся админами в подразделениях Дирекция и ниже и добавить некого в корень CRM немогут дабы нет прав…

Может есть какая программа которая непосредственно в SQL добавит учетку или еще какой способ ???
Права на AD/SQL короче на все права админом есть.

[Bondonello]

Цитата:

Сообщение от ferel

Ситуация следующая
Есть сервер MS Dynamic CRM 4.0

В нем примерная иерархия

CRM
-Дирекция
--Ком отдел
---Розница
---Опт


В главном подразделении CRM был 1 пользователь (админ) но его удалили из AD и его учетка в CRM автоматом заблокировалась.
Все остальные админы находятся админами в подразделениях Дирекция и ниже и добавить некого в корень CRM немогут дабы нет прав…

Может есть какая программа которая непосредственно в SQL добавит учетку или еще какой способ ???
Права на AD/SQL короче на все права админом есть.

А пробовали восстановить учетку в AD?

[ferel]

C этим разобрался...
Теперь я владею всеми ролями CRM группы
но появился вопрос, как удалить из CRM старого юзера чтобы его там больше небыло?

[Артем Enot Грунин]

Цитата:

Сообщение от ferel

Ситуация следующая
Все остальные админы находятся админами в подразделениях Дирекция и ниже и добавить некого в корень CRM немогут дабы нет прав…

Почему-бы просто не создать новую админскую учетку и перемапировать на нее админа в корне?

[Артем Enot Грунин]

Не надо никого удалять, ни из AD ни из CRM! Переиспользовать учетные записи тоже неправильно! Однако, если они были созданы по ошибке, то это делать можно. В CRM достаточно просто изменить логин пользователя в AD и маппинг обновится.

[ferel]

Ну скажим полазив по CRM нашел более 50 выключенных пользователей (старые сотрудники) но в AD их уже давно нету и восстановить нельзя...
Так как быть в таком случае ?
И редактировать таких пользователей немогу потомучто они выключены и включить немогу потомучто их нет ???

Интересно по какой причине это запрещенно ? Статистика и т.д. ?

[Артем Enot Грунин]

Конечно. Эти люди были или до сих пор являются владельцами различных записей в CRM. Скажем, некий пользователь выписывал когда-то счета на подставные фирмы. Было бы не очень корректно сложить его грязные делишки на нового сотрудника унаследовавшего его учетку. Удаление пользователей из AD (а так же переименование) распространенная, но крайне дурная практика. С ней непременно нужно бороться, если вы внедряете какие-либо AD зависимые системы.

[ferel]

Ваше предложение ?
Создать Раздел "Уволенные сотрудники"
и переносить туда записи AD и у выключать их ?

[Артем Enot Грунин]

Ну, это уже зависит от "культуры" вашей организации. У нас, например, учетки тоже удаляются, в связи с чем я тоже имею некоторые проблемы с мертвыми душами. Проблему можно решать как предложили вы, или вести различные профилактические меры. Например, выключать учетки на определенный срок давности хранения: пока придут все письма, упадут все службы запущенные под пользователем и не всплывут проблемы обозначенные у вас. После чего учетку можно удалять или перемещать в постоянный морг, если отключение или удаление может привести к каким-то последствиям.

[vkofanov]

Цитата:

Сообщение от ferel

Ваше предложение ?
Создать Раздел "Уволенные сотрудники"
и переносить туда записи AD и у выключать их ?

Это хорошая практика используемая в международных компаниях.

[Буденый]

Все нижеизложенное не рекомендуется делать из соображений безопасности.

Добавить привилегии админа верхнего звена не получается, не стал копать далеко, не хотелось терять времени. Но самое интересное что чужие права можно использовать для входа под другим пользователем :

1. Необходим IDactiv(активного) пользователя для которого назначаем права и IDzabl (заблокированного) пользователя у которого были права, но нет возможности войти в систему.

если нет ID можно воспользоваться запросом

Код:

       select fullname,systemuserid from systemuser

2. Обновить с помощью запроса привилегии, после этого апдейта все роли заблокированного пользователя должны быть переназначены активному пользователю, рекомендуется это проделать для новой учетки(всякие случаи бывают)

Код:

update systemuserroles set SystemUserId = IDactiv
where SystemUserId = IDzabl

3. Делайте все это только в том случае, если нет другого способа. Ещё 1 но, все это проделывал на активных пользователях, нет возможности проверить на удаленном пользователе AD