RLS глюк?

[mit]

всем добрый день!
появилась такая проблемка:
понадобилось создать ограничение для группы пользователей.
что сделано. создаю группу, напимер "ущербные", в группу засовываю пользователей, коих буду ущемлять. захожу в настройку rls запускаю мастера. показвыаю мастеру группу "ущербные", говорю что будем накладывать фильтр на таблицу клиентов (CustTable) после мастера, нахожу свою группу "ущербные", жму единственную кнопку на форме и настраиваю в запросе, код клиента "буратинко". сохраняю, закрываю.
что ожидаю:
войдя под пользователем, входящем в группу "ущербные" и открыв справочник клиентов я должен увидеть только одного клиента с кодом "буратинко". в отображении справочника же для пользователя ничего не изменилоь.
вопрос: кто нибудь сталкивался с подобными фичами?
у меня самого несколько соображений по этому поводу:
- кэш
- rls нужно настроить для каждой группы, в которой есть CustTable и входит данный пользователь
до недавного времени держал несколько видов групп с одинаковыми правами и разными rls, но уже становится сложно админить. да и групп развелось
стоит ax 3.0 sp3. сменть пак пока не могу никак

[dn]

Цитата:

Сообщение от mit

rls нужно настроить для каждой группы, в которой есть CustTable и входит данный пользователь

именно так

[mit]

30 групп на 30 вариаций йо!
целого человека нужно под эти задачи брать!

[Gustav]

Не знаю, в тему ли... (не взыщите, ежели не в тему)

Была задача - дать права на просмотр различным материально ответственным лицам (МОЛ) по подразделениям на таблицы "Основные средства" и "Справочник номенклатуры". Каждой группе МОЛ у нас соответствует свой набор групп ОС и номенклатурных групп.

Было сделано так:
1. создана группа пользователей "МОЛ_Общие" с правами на всё необходимое для всех МОЛ, КРОМЕ этих двух таблиц. На эти две таблицы этой общей группе был выставлен полный запрет.
2. далее были созданы группы пользователей по каждому подразделению: "МОЛ_Склад", "МОЛ_Развитие", "МОЛ_Транспорт" и т.п.
3. каждой из этих групп-подразделений был выдан полный запрет на всё, КРОМЕ этих 2 таблиц. По этим двум таблицам для каждой группы-подразделения настраивались конкретные RLS на эти таблицы.
4. далее каждому юзеру-МОЛу была назначена пара групп пользователей: "МОЛ_Общие" + конкретная группа-подразделение (либо "МОЛ_Склад", либо "МОЛ_Развитие", либо "МОЛ_Транспорт" и т.п.)

[itfs]

Табличка SysRecordLevelSecurity хоть и не доступна в АОТ, но программно до нее докопаться я думаю можно. Вам ведь достаточно размножить 1 настройку на все группы некоторого характерного пользователя?

С уваженем, itfs.

[Ser]

А не забыли ли вы настроить права доступа для группы "ущербные"?

В этом случае для этой группы достаточно установить доступ к таблице CustGroup, хотя бы на чтение.

сорри, CustTable, конечно же

[mit]

Цитата:

Сообщение от itfs

Табличка SysRecordLevelSecurity хоть и не доступна в АОТ, но программно до нее докопаться я думаю можно. Вам ведь достаточно размножить 1 настройку на все группы некоторого характерного пользователя?

С уваженем, itfs.

так и делал до сего момента, мало того, все права настриивались одним нажатием но повторюсь, количество групп, участвующих в процессе возрастает многократно, что и не устраивает. изменение дизайна на одной из групп, влечет за собой необходимость изменения в остальных.

Цитата:

Сообщение от Ser

А не забыли ли вы настроить права доступа для группы "ущербные"?...

в группе "ущербные" вообще нет никаких прав, есть только настроенный rls

Gustav, спасибо, но не наш случай
еще раз опишу идею.

есть пользователь, который входит в несколько групп. скажем это бухгалтер.
причем одна группа это расчеты с поставщиками, другая с клиентами, третья даят право смотреть определенные журналы, ну и так далее. групп в которые входит пользователь может быть с десяток. даже это несколько бухгалтеров. и у каждого долже быть свой rls, который накладывается на Dimension[3]. сейчас у меня есть два типа групп пользователей. одна с ограничениями, другая без. но вот хмуро смотрю на появление новых типов rls, посему хотел сделать такой финт:
создать несколько групп, каждая имеет настройки по rls но не имеет никакого доступа по функционалу, и группы имеющие доступ к функциоанлу, но не имеющие ограничений по rls. в пересечении прав я и хотел получить требуемый результат

[Ser]

Цитата:

Сообщение от mit

в группе "ущербные" вообще нет никаких прав, есть только настроенный rls

Прикол как раз в том, что права минимальные нужны (проверено).
К тому же установка досупа "read only" к нужным таблицам ни к чему не обязывает и ничем вашей безопасности не повредит....

[mit]

Цитата:

Сообщение от Ser

Прикол как раз в том, что права минимальные нужны (проверено).
К тому же установка досупа "read only" к нужным таблицам ни к чему не обязывает и ничем вашей безопасности не повредит....

эх одним полушатием понимаю а другим не хотелось бы

[glibs]

А придется.

Ser все правильно написал.

[blokva]

Ну не знаю, у меня все настроилось с пол-пинка:
есть 2 группы 1 полный доступ по ведению поставщиков и одна группа с урезанным доступом по RLS к 1 поставщику
варианты:
1. пользователь включен в обе группы - виден 1 поставщик
2. пользователь включен в ущербную группу - виден 1 поставщик
3. пользователь включен в нормальную группу - видны все поставщики

Ax 3.0 СП 4

[mit]

енто правильно, енто я понимаю. но задача несколько подругому описывалась. не хотелось давать полный доступ на таблицы. ваще не хотелось давать доступа. но решил так:
создал группу, описывающую rls для этой группы открыл таблицы на чтение. а отсальными группами регулирую доступ к меню и проч.
всем спасибо за обсуждение, думаю что ничего более здесь придумать не получится.