AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 02.07.2010, 16:25   #1  
mdemon is offline
mdemon
Участник
 
4 / 10 (1) +
Регистрация: 02.07.2010
AX 4.0 Security permissions
Доброго времени суток.

Столкнулся со следующей проблемой при конфигурации group permissions,
Например имеем 2 группы, в одной активен AR>Customers - доступ View, все кнопки внутри customers не активны. Вторая группа RLS, все ключи не активны. В Акспате юзер видит, что кнопки внутри Customers screen активны. Причина ясна, во второй группе при неактивных ключах, многие кнопки и экраны - остаются активными, причем имеют уровень доступа Full control, соответственно юзер имеет View на Customers screen через одну группу, а все остальные функции, которых по идее быть не должно - через другую.

Вопрос такой - как сделать так, что бы при создании новой группы АБСОЛЮТНО ВСЕ экраны и кнопки внутри ключа были не активными. Вариант вручную лазить по RLS группе и выключать все не слишком прокатывает, т.к. группа не одна и не две.

Последний раз редактировалось mdemon; 02.07.2010 в 16:47.
Старый 03.07.2010, 10:26   #2  
glibs is offline
glibs
Member
Сотрудники компании It Box
Most Valuable Professional
Лучший по профессии 2011
Лучший по профессии 2009
 
4,942 / 911 (40) +++++++
Регистрация: 10.06.2002
Адрес: I am from Kyiv, Ukraine. Now I am in Moscow. For private contacts: glibs@hotmail.com
Речь идет только о кнопках, на которых не повешен Menu Item с Security Key? Вопрос про стандартные кнопки или про кастомизированные?

Я в своей практике с такой проблемой не сталкивался. Если делается кнопка без Menu Item, то подразумевается, что доступ к ней ограничивать не нужно, раз уж пользователь имеет доступ на форму. Или нужно делать кнопки с Menu Items. В стандартном приложении я не припоминаю случаев, чтобы были кнопки без Menu Items, и при этом имел бы смысл ограничивать на них доступ.

Или уточните суть проблемы.
__________________
С уважением,
glibs®
Старый 04.07.2010, 08:53   #3  
mdemon is offline
mdemon
Участник
 
4 / 10 (1) +
Регистрация: 02.07.2010
суть проблемы в том, что по умолчанию про создаии новой группы при неактивных родительских ключах, внутри них находятся объекты (menu items and action buttons) с доступом фулл контрол. Необходимо предоставить пользователю доступ View на menu items, при этом ограничить доступ к кнопкам. В рамках группы пользователя я делаю это руками, дизэблю все что не надо - не вопрос. Но когда к основной группе добавляется RLS группа, то благодаря ей у пользователя появлется доступ ко многим объектам, которые заблокированы в основной группе. Очень не хочется лазить по всем RLS группам и искать где-что активно, что бы отключить.

Простейший пример: создаем новую группу, и даем V на AR>Customers, далее открываем Customers screen> Functions, очень многое из функций - Full control.

Надеюсь что так более понятно.
Старый 05.07.2010, 00:51   #4  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,317 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от mdemon Посмотреть сообщение
Но когда к основной группе добавляется RLS группа, то благодаря ей у пользователя появлется доступ ко многим объектам, которые заблокированы в основной группе.
Судя по Вашему описанию - получается так, что создавая RLS-группу - Вы в нее еще накидываете куда-нибудь доступ. Или сами секьюрные ключики включаете.

Кстати, а какая версия АХ? А то в соседней (Суммарный RLS запрос в виде SQL) ветке пробегало описание разного поведения RLS в различных версиях.

И еще момент. У каждого пункта меню есть свойство NeedAccessLevel, по умолчанию установленное во View. На моем жизненном пути часто встречались созданные при внедрении пункты меню, в котором значение этого свойства не меняли. Соответственно - система честно считает, что раз для отображения пункта меню хватает прав на просмотр - значит его нужно отображать. В то время как пункт меню может ссылаться на код, который данные модифицирует. А права доступа в данном случае на действия, выполняемые в коде не распространяются.
Поэтому для таких пунктов меню д.б. установлено свойство NeedAccessLevel в значение не ниже Edit
__________________
Возможно сделать все. Вопрос времени
Старый 05.07.2010, 13:06   #5  
mdemon is offline
mdemon
Участник
 
4 / 10 (1) +
Регистрация: 02.07.2010
Axapta 4.0
Да тут речь не идет конкретно о RLS группе, создавая любую группу со всеми неактивными ключами, в ней будут экраны и кнопки с FC внутри (eg. AR>Customers>Functions).
Старый 05.07.2010, 13:44   #6  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,317 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от mdemon Посмотреть сообщение
Axapta 4.0
Да тут речь не идет конкретно о RLS группе, создавая любую группу со всеми неактивными ключами, в ней будут экраны и кнопки с FC внутри (eg. AR>Customers>Functions).
Взял создал пустую группу. В ней ничего нет. Смотрю в режиме просмотра по ключам - все выключено - на форме Клиенты (Расчеты с клиентами\Ежедневно\Клиенты или AR\Daily\Customers) стоит "кирпич"
В режиме Главное меню тоже самое.
Ставлю доступ View на форму Клиенты (Customers). Появилось поддерево. В нем появилась папка Функции (Functions). В ней есть пункты меню такие как "Изменение открытых операций" (пункт меню CustOpenTransReverse). Все они у меня запрещенные "кирпичом".
Какие я действия пропустил в своем тестовом сценарии?
__________________
Возможно сделать все. Вопрос времени
Старый 06.07.2010, 08:42   #7  
mdemon is offline
mdemon
Участник
 
4 / 10 (1) +
Регистрация: 02.07.2010
Хмм, да вроде все так же, возможно действительно имеет место быть какая то начальная конфигурация, которая дает такой косяк...
На будущее я нашел для себя решение, может кому пригодится: создал группу, ручками почистил все доступы которые нашел и экспортнул ее в файл. При создании любой новой группу в дальнейшем буду импортировать в нее этот шаблон, что бы убить все доступы. К сожалению для уже существующих групп это уже не подходит.
Старый 06.07.2010, 08:54   #8  
sukhanchik is offline
sukhanchik
Administrator
Аватар для sukhanchik
MCBMSS
Злыдни
Лучший по профессии 2015
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,317 / 3547 (125) ++++++++++
Регистрация: 13.06.2004
Адрес: Москва
Цитата:
Сообщение от mdemon Посмотреть сообщение
Хмм, да вроде все так же, возможно действительно имеет место быть какая то начальная конфигурация, которая дает такой косяк...
Рекомендую посмотреть в 2 таблички:
1. \System Documentation\Tables\AccessRightsList
2. \Data Dictionary\Tables\SysSecurityFormTable

Убедитесь, что в этих таблицах отсутствуют записи для несуществующих групп пользователей. При удалении групп пользователей настройки прав не удаляются. Как следствие - создание ранее удаленной группы автоматически ее "наделяет" правами
__________________
Возможно сделать все. Вопрос времени
За это сообщение автора поблагодарили: Berty Wooster (1).
Старый 06.07.2010, 09:52   #9  
Ivanhoe is offline
Ivanhoe
Участник
Аватар для Ivanhoe
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
 
4,143 / 2156 (80) +++++++++
Регистрация: 29.09.2005
Адрес: Санкт-Петербург
Наделяет правами - но они же должны отображаться в дереве?

Насчет экспорта / импорта пустого шаблона - а просто нажать кнопку "Полное отключение доступа" в вашем случае не помогает?
__________________
Ivanhoe as is..
Теги
ax4.0, rls, как правильно, права доступа, права доступа на уровне записей (rls)

 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
axStart: Microsoft Dynamics AX 2009 Hot Topics Web Seminar Series Blog bot DAX Blogs 0 06.08.2008 12:05
Arijit Basu: AX 2009 - Quick Overview Blog bot DAX Blogs 4 19.05.2008 14:47
Inside Dynamics AX 4.0: Security Coding Blog bot DAX Blogs 0 31.10.2007 23:40
Inside Dynamics AX 4.0: The Security Framework Blog bot DAX Blogs 0 31.10.2007 11:40
Inside Dynamics AX 4.0: Security Blog bot DAX Blogs 0 29.10.2007 10:50

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 09:57.