Права доступа к репозитарию прикладных объектов - DAX: Администрирование

Grey · 30.07.2004, 07:15

Каким образом можно для определенной группы пользователей запретить доступ к к значку и пункту меню - репозитарию прикладных объектов.
Заранее благодарен за ответы.

YVAS · 30.07.2004, 08:31

В Ax для этого придуман целый механизм. На пункт меню вешайте SecurityKey и через него осуществляется настройка доступа для любой группы пользователей. Или я не про то говорю.........

Grey · 30.07.2004, 08:39

А если не трудно, кратко, каким образом это делается?

Yuri Safronov · 30.07.2004, 09:04

В форме Права групп пользователей(Администрирование\Группы пользователей\Права доступа) выделить узел Разработка и указать уровень доступа "Нет доступа".

Grey · 30.07.2004, 09:21

Это не поможет.
Ситуация следующая: необходимо создать два уровня администраторов.
Первая группа администраторов имеет право на все, в том числе и на разработку, AOT, и т.д.
Вторая группа не должна иметь доступ к репозитарию, но должна иметь возможность создавать новые группы пользователей и назначать им права и иметь возможности друго администрирования.

Если же отключить Контроль доступа/ Разработка создание групп пользователей будет невозможным.

Как быть в этом случае?

Yuri Safronov · 30.07.2004, 09:32

Цитата:

Если же отключить Контроль доступа/ Разработка создание групп пользователей будет невозможным.

Это не так. Вероятно у Вас что-то ещё отключено.

Grey · 30.07.2004, 09:35

Извиняюсь за неточность! Недоступным будет назначение прав для групп пользователей

Grey · 30.07.2004, 09:46

А, нет, нет. Все отлично работает. Но тогда другой вопрос. Если пользователь имеет права на все, кроме разработки, что мешает ему назначить себе права на разработку?

Yuri Safronov · 30.07.2004, 09:55

Цитата:

Если пользователь имеет права на все, кроме разработки, что мешает ему назначить себе права на разработку?

Ничего не мешает.

**mazzy** · 30.07.2004, 09:56

здесь было обсуждение подобного вопроса.

можно попытаться закрывать ветки в АОТ, можно вставлять хитрые проверки в код. Но это самообман.

Вы правильно выразили суть - если у человека есть права на распределение прав, то он может включить себе разработку.
если у человека есть права на разработку, то он может все.

Это принципиальное свойство прав доступа в открытых системах.
Поищите обсуждение.

Grey · 30.07.2004, 09:56

А как сделать так, чтобы он не смог этого сделать?

Yuri Safronov · 30.07.2004, 10:04

Одна группа Администраторов - может всё,
другая группа Администраторов - может всё кроме раздачи прав доступа.

Права доступа не так часто настраиваются. Один раз настроил необходимые группы и работай.

**mazzy** · 30.07.2004, 10:07

Цитата:

Изначально опубликовано Yuri Safronov
другая группа Администраторов - может всё кроме раздачи прав доступа.

А вы подумайте.
Если она может все - значит она может залезть в таблицу AccessRights.
В т.ч. средствами СУБД.
Как вы ей запретите раздавать права?

Это настолько глубокие и комплексные настройки должны быть.
Вы уверены, что не страдаете фигней?

**mazzy** · 30.07.2004, 10:11

Есть еще один момент.
Даже если вы комплексно запретили доступ к AccessRights, то имея средства разработки можно написать скрипт-job-класс, который выполняет "некорректные" действия от лица любого пользователя.

Имея средства разработки сделать так, что "некорректные" действия выполняются не только от лица любого пользователя, но и при запуске сессии этого пользователя, с клиентской машины этого пользователя...

Просто поймите - если вы даете средства разработки - вы даете все!

Yuri Safronov · 30.07.2004, 10:20

Я имел ввиду:

Одна группа Администраторов - может всё,
другая группа Администраторов - может всё кроме разработки и
раздачи прав доступа.

**mazzy** · 30.07.2004, 10:24

Цитата:

Изначально опубликовано Yuri Safronov
другая группа Администраторов - может всё кроме разработки и
раздачи прав доступа.

И зачем нужны ТАКИЕ администраторы?
Новых пользователей вводить? Управлять пакетами и архивом печати?

Это скорее консультант.
По-моему, стоит подумать еще раз на эту тему.
Поищите таки прошлое обсуждение.

Grey · 30.07.2004, 10:29

Вы поймите ситуацию. Большое предприятие. Постоянно происходят какие-то изменения в его структуре. Есть два отдела: первый занимается исключительно разработкой, СУБД и ничего не понимает, кому какие права давать. Второй отдел - знает структуру предприятия и назначает права (система на этапе внедрения). Здесь люди в большей степени с эконом. обр. Ну нельзя им давать права на разработку!

**George Nordic** · 30.07.2004, 11:07

Раздача прав - дело администратора. Заведите (или выделите), и пусть раздает права... по служебным запискам второго отдела.

**mazzy** · 30.07.2004, 11:09

Цитата:

Изначально опубликовано Grey
Вы поймите ситуацию.

Я то понимаю. Вы не первый задаете этот вопрос.

Поймите и вы.
Либо вы будете заниматься самообманом и запрограммируете что-то похожее на разделение прав.
Либо поймете концепцию.

А старое обсуждение вы похоже даже и не искали.
Что ж, как хотите.

Grey · 30.07.2004, 11:14

Искал, но не нашел...

Похожие темы
Тема	Автор	Раздел	Ответов	Посл. сообщение
права доступа	Himan	DAX: Функционал	9	24.09.2010 16:52
Права доступа Группы пользователей к таблице	ta_and	DAX: Администрирование	2	19.01.2009 15:19
Права доступа на поля формы.	AlexeyBP	DAX: Функционал	6	12.12.2006 12:02
Права доступа - Журнал платежей	SDA	DAX: Прочие вопросы	1	20.09.2004 23:10
WebGrid и права доступа	Vadik	DAX: Программирование	0	02.07.2003 20:04