AXForum  
Вернуться   AXForum > Microsoft Dynamics AX > DAX: Администрирование
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 30.07.2004, 07:15   #1  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
? Права доступа к репозитарию прикладных объектов
Каким образом можно для определенной группы пользователей запретить доступ к к значку и пункту меню - репозитарию прикладных объектов.
Заранее благодарен за ответы.
Старый 30.07.2004, 08:31   #2  
YVAS is offline
YVAS
1C
Аватар для YVAS
1C
 
265 / 10 (1) +
Регистрация: 31.07.2003
В Ax для этого придуман целый механизм. На пункт меню вешайте SecurityKey и через него осуществляется настройка доступа для любой группы пользователей. Или я не про то говорю.........
Старый 30.07.2004, 08:39   #3  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
А если не трудно, кратко, каким образом это делается?
Старый 30.07.2004, 09:04   #4  
Yuri Safronov is offline
Yuri Safronov
Участник
 
140 / 55 (2) ++++
Регистрация: 21.08.2002
Адрес: Москва
В форме Права групп пользователей(Администрирование\Группы пользователей\Права доступа) выделить узел Разработка и указать уровень доступа "Нет доступа".
__________________
yurisafronov@mail.ru
skype: y.safronov
Старый 30.07.2004, 09:21   #5  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
Это не поможет.
Ситуация следующая: необходимо создать два уровня администраторов.
Первая группа администраторов имеет право на все, в том числе и на разработку, AOT, и т.д.
Вторая группа не должна иметь доступ к репозитарию, но должна иметь возможность создавать новые группы пользователей и назначать им права и иметь возможности друго администрирования.

Если же отключить Контроль доступа/ Разработка создание групп пользователей будет невозможным.

Как быть в этом случае?
Старый 30.07.2004, 09:32   #6  
Yuri Safronov is offline
Yuri Safronov
Участник
 
140 / 55 (2) ++++
Регистрация: 21.08.2002
Адрес: Москва
Цитата:
Если же отключить Контроль доступа/ Разработка создание групп пользователей будет невозможным.
Это не так. Вероятно у Вас что-то ещё отключено.
__________________
yurisafronov@mail.ru
skype: y.safronov
Старый 30.07.2004, 09:35   #7  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
Извиняюсь за неточность! Недоступным будет назначение прав для групп пользователей
Старый 30.07.2004, 09:46   #8  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
А, нет, нет. Все отлично работает. Но тогда другой вопрос. Если пользователь имеет права на все, кроме разработки, что мешает ему назначить себе права на разработку?
Старый 30.07.2004, 09:55   #9  
Yuri Safronov is offline
Yuri Safronov
Участник
 
140 / 55 (2) ++++
Регистрация: 21.08.2002
Адрес: Москва
Цитата:
Если пользователь имеет права на все, кроме разработки, что мешает ему назначить себе права на разработку?
Ничего не мешает.
__________________
yurisafronov@mail.ru
skype: y.safronov
Старый 30.07.2004, 09:56   #10  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
здесь было обсуждение подобного вопроса.

можно попытаться закрывать ветки в АОТ, можно вставлять хитрые проверки в код. Но это самообман.

Вы правильно выразили суть - если у человека есть права на распределение прав, то он может включить себе разработку.
если у человека есть права на разработку, то он может все.

Это принципиальное свойство прав доступа в открытых системах.
Поищите обсуждение.
Старый 30.07.2004, 09:56   #11  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
А как сделать так, чтобы он не смог этого сделать?
Старый 30.07.2004, 10:04   #12  
Yuri Safronov is offline
Yuri Safronov
Участник
 
140 / 55 (2) ++++
Регистрация: 21.08.2002
Адрес: Москва
Одна группа Администраторов - может всё,
другая группа Администраторов - может всё кроме раздачи прав доступа.

Права доступа не так часто настраиваются. Один раз настроил необходимые группы и работай.
__________________
yurisafronov@mail.ru
skype: y.safronov
Старый 30.07.2004, 10:07   #13  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Изначально опубликовано Yuri Safronov
другая группа Администраторов - может всё кроме раздачи прав доступа.
А вы подумайте.
Если она может все - значит она может залезть в таблицу AccessRights.
В т.ч. средствами СУБД.
Как вы ей запретите раздавать права?

Это настолько глубокие и комплексные настройки должны быть.
Вы уверены, что не страдаете фигней?
Старый 30.07.2004, 10:11   #14  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Есть еще один момент.
Даже если вы комплексно запретили доступ к AccessRights, то имея средства разработки можно написать скрипт-job-класс, который выполняет "некорректные" действия от лица любого пользователя.

Имея средства разработки сделать так, что "некорректные" действия выполняются не только от лица любого пользователя, но и при запуске сессии этого пользователя, с клиентской машины этого пользователя...

Просто поймите - если вы даете средства разработки - вы даете все!
Старый 30.07.2004, 10:20   #15  
Yuri Safronov is offline
Yuri Safronov
Участник
 
140 / 55 (2) ++++
Регистрация: 21.08.2002
Адрес: Москва
Я имел ввиду:

Одна группа Администраторов - может всё,
другая группа Администраторов - может всё кроме разработки и
раздачи прав доступа.
__________________
yurisafronov@mail.ru
skype: y.safronov
Старый 30.07.2004, 10:24   #16  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Изначально опубликовано Yuri Safronov
другая группа Администраторов - может всё кроме разработки и
раздачи прав доступа.
И зачем нужны ТАКИЕ администраторы?
Новых пользователей вводить? Управлять пакетами и архивом печати?

Это скорее консультант.
По-моему, стоит подумать еще раз на эту тему.
Поищите таки прошлое обсуждение.
Старый 30.07.2004, 10:29   #17  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
Вы поймите ситуацию. Большое предприятие. Постоянно происходят какие-то изменения в его структуре. Есть два отдела: первый занимается исключительно разработкой, СУБД и ничего не понимает, кому какие права давать. Второй отдел - знает структуру предприятия и назначает права (система на этапе внедрения). Здесь люди в большей степени с эконом. обр. Ну нельзя им давать права на разработку!
Старый 30.07.2004, 11:07   #18  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Раздача прав - дело администратора. Заведите (или выделите), и пусть раздает права... по служебным запискам второго отдела.
Старый 30.07.2004, 11:09   #19  
mazzy is offline
mazzy
Участник
Аватар для mazzy
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
29,472 / 4494 (208) ++++++++++
Регистрация: 29.11.2001
Адрес: Москва
Записей в блоге: 10
Цитата:
Изначально опубликовано Grey
Вы поймите ситуацию.
Я то понимаю. Вы не первый задаете этот вопрос.

Поймите и вы.
Либо вы будете заниматься самообманом и запрограммируете что-то похожее на разделение прав.
Либо поймете концепцию.

А старое обсуждение вы похоже даже и не искали.
Что ж, как хотите.
Старый 30.07.2004, 11:14   #20  
Grey is offline
Grey
Участник
 
27 / 10 (1) +
Регистрация: 29.07.2004
Адрес: Сызрань
Искал, но не нашел...
 

Похожие темы
Тема Автор Раздел Ответов Посл. сообщение
права доступа Himan DAX: Функционал 9 24.09.2010 16:52
Права доступа Группы пользователей к таблице ta_and DAX: Администрирование 2 19.01.2009 15:19
Права доступа на поля формы. AlexeyBP DAX: Функционал 6 12.12.2006 12:02
Права доступа - Журнал платежей SDA DAX: Прочие вопросы 1 20.09.2004 23:10
WebGrid и права доступа Vadik DAX: Программирование 0 02.07.2003 20:04

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 20:03.