27.02.2007, 13:04
|
#15
|
Участник
Регистрация: 28.11.2005
Адрес: Москва
|
Цитата:
Сообщение от mazzy
А где я говорил, про ограничение прав администраторов?
Цитата:
Сообщение от mazzy
На практике это означает, что надо держать 2 набора логинов.
1. для АОСа - с полными правами
2. для захода из Enterprise Manager для администраторов, программеров и консультантов, у которыхна таблицу UserInfo установлены права только на чтение, а на SysConfig никаких прав.
Цитата:
Я говорил про ограничение прав к данным. Эта задача актуальна не для администраторов, а для консультантов-программистов.
Возможно, я просто неправильно понял, и имелось в виду, что нужно иметь 3 набора паролей: для AOS, для администраторов Axapta/СУБД, для консультантов-программистов.
Цитата:
Должен ли консультант иметь возможность непосредственной правки UserInfo.SID?
Через Аксапту - да, а через EM - нет. Также он не должен иметь возможность правки через ODBC, ADO и другое. Только через Аксапту.
На практике это означает, что консультант не должен иметь возможность:- получать доступ к машине, где запускается AOS, и, соотв., его настройкам (узнает пароль на полный доступ к БД);
- иметь возможность запускать AX в двухзвенке на рабочей базе (опять-таки, узнает пароль из конфигурации).
Впрочем, при определенных условиях и это может не помочь. Отсюда следует, что:- вырисовывается четкая роль администратора Axapta, который имеет полный доступ к рабочей БД, поскольку ему необходимо настраивать AOS(ы);
- именно этот администратор должен отвечать за перенос изменений на рабочее приложение, потому что для этого приходится запускать AX в двухзвенке (см., например, тему Меточные файлы).
Цитата:
Сообщение от mazzy
Может кто-нибудь напишет о грамотном разделении прав в 3хуровневой Аксапте?
Интересная тема Надо будет подумать, какие роли тут возникают, и какие им надо раздать права...
|
|