[gl00mie]

Цитата:

Сообщение от mazzy

А где я говорил, про ограничение прав администраторов?

Цитата:

Сообщение от mazzy

На практике это означает, что надо держать 2 набора логинов.
1. для АОСа - с полными правами
2. для захода из Enterprise Manager для администраторов, программеров и консультантов, у которыхна таблицу UserInfo установлены права только на чтение, а на SysConfig никаких прав.

Цитата:

Я говорил про ограничение прав к данным. Эта задача актуальна не для администраторов, а для консультантов-программистов.

Возможно, я просто неправильно понял, и имелось в виду, что нужно иметь 3 набора паролей: для AOS, для администраторов Axapta/СУБД, для консультантов-программистов.

Цитата:

Должен ли консультант иметь возможность непосредственной правки UserInfo.SID?
Через Аксапту - да, а через EM - нет. Также он не должен иметь возможность правки через ODBC, ADO и другое. Только через Аксапту.

На практике это означает, что консультант не должен иметь возможность:

1. получать доступ к машине, где запускается AOS, и, соотв., его настройкам (узнает пароль на полный доступ к БД);
2. иметь возможность запускать AX в двухзвенке на рабочей базе (опять-таки, узнает пароль из конфигурации).

Впрочем, при определенных условиях и это может не помочь. Отсюда следует, что:

• вырисовывается четкая роль администратора Axapta, который имеет полный доступ к рабочей БД, поскольку ему необходимо настраивать AOS(ы);
• именно этот администратор должен отвечать за перенос изменений на рабочее приложение, потому что для этого приходится запускать AX в двухзвенке (см., например, тему Меточные файлы).

Цитата:

Сообщение от mazzy

Может кто-нибудь напишет о грамотном разделении прав в 3хуровневой Аксапте?

Интересная тема Надо будет подумать, какие роли тут возникают, и какие им надо раздать права...