Настройка прав доступа на просмотр всех Пользователей. Ax 2009

[Poleax]

Настроена группа ViewOnly
ViewOnly.asg.txt (если скачаете для теста файл, то в имени файла удалить ".txt", должно остаться для импорта ViewOnly.asg. axforum приатачивает файлы с расширением ".asg")

Кол-во пользователей показывается ограниченным, т.е. не все что есть
SQL Profile отловил запрос вида

Код:

SELECT A.ID,A.NAME,A.ENABLE,A.DEL_STARTUPMENU,A.STATUSLINEINFO,A.TOOLBARINFO,A.DEBUGINFO,A.AUTOINFO,A.AUTOUPDATE,A.GARBAGECOLLECTLIMIT,A.HISTORYLIMIT,A.MESSAGELIMIT,A.GENERALINFO,A.SHOWSTATUSLINE,A.SHOWTOOLBAR,A.DEBUGGERPOPUP,A.SHOWAOTLAYER,A.DEL_PASSWORD,A.DEL_OSACCOUNTNAME,A.STARTUPPROJECT,A.CONFIRMDELETE,A.CONFIRMUPDATE,A.REPORTFONTNAME,A.REPORTFONTSIZE,A.FORMFONTNAME,A.FORMFONTSIZE,A.PROPERTYFONTNAME,A.PROPERTYFONTSIZE,A.INFOLOGLEVEL,A.COMPANY,A.AUTOLOGOFF,A.QUERYTIMELIMIT,A.TRACEINFO,A.REPORTTOPMARGIN,A.REPORTBOTTOMMARGIN,A.REPORTLEFTMARGIN,A.REPORTRIGHTMARGIN,A.COMPILERWARNINGLEVEL,A.SID,A.NETWORKDOMAIN,A.NETWORKALIAS,A.ENABLEDONCE,A.EXTERNALUSER,A.LANGUAGE,A.HELPLANGUAGE,A.PREFERREDTIMEZONE,A.PREFERREDCALENDAR,A.HOMEPAGEREFRESHDURATION,A.NOTIFYTIMEZONEMISMATCH,A.FILTERBYGRIDONBYDEFAULT,A.RECVERSION,A.RECID 
FROM USERINFO A 
WHERE (ID IN (N'wfsys',N'STUD1',N'st9',N'st8',N'st7',N'st5',N'st4',N'Admin') ) 
ORDER BY A.ID OPTION(FAST 1)

Не совсем понятно почему появился список

Код:

WHERE (ID IN (N'wfsys',N'STUD1',N'st9',N'st8',N'st7',N'st5',N'st4',N'Admin') )

При работе с правами админа, тот же запрос выглядит:

Код:

SELECT A.ID,A.NAME,A.ENABLE,A.DEL_STARTUPMENU,A.STATUSLINEINFO,A.TOOLBARINFO,A.DEBUGINFO,A.AUTOINFO,A.AUTOUPDATE,A.GARBAGECOLLECTLIMIT,A.HISTORYLIMIT,A.MESSAGELIMIT,A.GENERALINFO,A.SHOWSTATUSLINE,A.SHOWTOOLBAR,A.DEBUGGERPOPUP,A.SHOWAOTLAYER,A.DEL_PASSWORD,A.DEL_OSACCOUNTNAME,A.STARTUPPROJECT,A.CONFIRMDELETE,A.CONFIRMUPDATE,A.REPORTFONTNAME,A.REPORTFONTSIZE,A.FORMFONTNAME,A.FORMFONTSIZE,A.PROPERTYFONTNAME,A.PROPERTYFONTSIZE,A.INFOLOGLEVEL,A.COMPANY,A.AUTOLOGOFF,A.QUERYTIMELIMIT,A.TRACEINFO,A.REPORTTOPMARGIN,A.REPORTBOTTOMMARGIN,A.REPORTLEFTMARGIN,A.REPORTRIGHTMARGIN,A.COMPILERWARNINGLEVEL,A.SID,A.NETWORKDOMAIN,A.NETWORKALIAS,A.ENABLEDONCE,A.EXTERNALUSER,A.LANGUAGE,A.HELPLANGUAGE,A.PREFERREDTIMEZONE,A.PREFERREDCALENDAR,A.HOMEPAGEREFRESHDURATION,A.NOTIFYTIMEZONEMISMATCH,A.FILTERBYGRIDONBYDEFAULT,A.RECVERSION,A.RECID 
FROM USERINFO A 
ORDER BY A.ID OPTION(FAST 1)

Почему применяется фильт по пользователям?
Аналогично на форме Администрирование --> Настройка --> Группы пользователей --> вкладка "Пользователи" список "Оставшиеся пользователи" список урезан.

P.S. Пользователи в разных группах, даже в разных компаниях, но не все попадают.

[Ivanhoe]

А пользователи все в одном домене? Возможно, надо дать доступ на ключ SysOpenDomain?

[Poleax]

Цитата:

Сообщение от Ivanhoe

Возможно, надо дать доступ на ключ SysOpenDomain?

Да точно, спасибо!

Цитата:

Сообщение от Ivanhoe

А пользователи все в одном домене?

Вы про сетевой домен или домены которые в аксапте?
Какое это имеет значение?

В группе пользователей в правах доступа, настройка применялась для кода домена = "Admin"

[Poleax]

Как этот "Ключ контроля доступа "Открытия доступа к домену" (SysOpenDomain) " влияет на кол-во отображаемых пользователей?

[Ivanhoe]

Сделайте поиск по перекрестным ссылкам на этот ключик - на него кое-что в системных классах заточено, в т.ч. работа со списком пользователей.

[Poleax]

Цитата:

Сообщение от Ivanhoe

Сделайте поиск по перекрестным ссылкам на этот ключик - на него кое-что в системных классах заточено, в т.ч. работа со списком пользователей.

Обновил все перекрестные ссылки. Посмотрел.

Но как то код на собирание пользователей

Код:

WHERE (ID IN (N'wfsys',N'STUD1',N'st9',N'st8',N'st7',N'st5',N'st4',N'Admin') )

найти не удалось.
Может это глубже спрятано.

P.S. Четкого понимаю так и не появилось, почему часть пользователей попали, а другие нет
С SysOpenDomain все ок. Спасибо.

[Ivanhoe]

"Пропавшие" пользователи относятся к тому же домену (Active Directory), что и остальные?

[Poleax]

Цитата:

Сообщение от Ivanhoe

"Пропавшие" пользователи относятся к тому же домену (Active Directory), что и остальные?

да

[Ivanhoe]

Что-то я сам запутался Active Directory тут ни при чем.

Скорее всего у вас пропавшие пользователи имеют доступ (настроенные права) только в тех доменах, в которых ваш пользователь никаких прав не имеет. Если ему дать хотя бы какой-нибудь доступ в домене "потеряшек", то он должен их увидеть.

[Poleax]

Цитата:

Сообщение от Ivanhoe

Что-то я сам запутался Active Directory тут ни при чем.

Согласен

Цитата:

Сообщение от Ivanhoe

Скорее всего у вас пропавшие пользователи имеют доступ (настроенные права) только в тех доменах, в которых ваш пользователь никаких прав не имеет. Если ему дать хотя бы какой-нибудь доступ в домене "потеряшек", то он должен их увидеть.

тестовый пользователь имел доступ на все компании (домен Admin).

Цитата:

Сообщение от Poleax

В группе пользователей в правах доступа, настройка применялась для кода домена = "Admin"

[Ivanhoe]

Но если другой пользователь Test2 не имеет доступа к Admin, а имеет доступ только, например, к Test_domain, то ваш Test1 не увидит Test2 - пока нет доступа к SysOpenDomain, считается, что Test1 не имеет права знать о существовании Test2.

Попробуйте дать доступ Test1 к Test_domain или Test2 к Admin - тогда будет полный список пользователей.

[Poleax]

Цитата:

Сообщение от Ivanhoe

Но если другой пользователь Test2 не имеет доступа к Admin, а имеет доступ только, например, к Test_domain, то ваш Test1 не увидит Test2 - пока нет доступа к SysOpenDomain, считается, что Test1 не имеет права знать о существовании Test2.

Попробуйте дать доступ Test1 к Test_domain или Test2 к Admin - тогда будет полный список пользователей.

очень оригинальный способ настройки прав доступа.
Проверили, работает.
Спасибо за объяснение.

[d&m]

на самом деле настройка прав доступа по доменам - оч актуальная тема.

но я всегда считал, что наличие доступа в домене "админ" гарантирует доступ к инфе изо всех доменов.

так вот теперь оказывается, что нужно еще открывать ключ SysOpenDomain...

спасибо вобщем