Тема: Обсуждение " Не пускайте программистов в рабочее приложение! Или почему еще надо переходить на DAX4"
Показать сообщение отдельно
Старый 12.11.2007, 17:20   #17  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5788 (200) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
А почему разработчику доверия нет, а администратору есть?
У администратора системы Axapta, как правило, совершенно иная, нежели у разработчика, должностная инструкция, иные права и обязанности, иная степень ответственности. Что же касается ограничения прав доступа администраторов, то я свое мнение об этом уже высказывал.
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
Можно же дальше пойти - административный доступ только у службы безопасности, когда нужно что-то выполнить админу или разработчику - служба безопасности выдает временный логин, который после работ удаляет.
"Дайте мне временный логин администратора, и я переверну Землю!"
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
мне кажется что это как то не совсем верно. у администратора квалификации хватит? Я к тому что xpo иногда не достаточно импортировать. возможно потребуется написание и запуск джобиков, контроль результатов, допиливание по месту напильником и т.д...
Я обычно job'ики, необходимые для накатывания модификации, пишу сам и включаю в проект (вместе с соотв. пунктами меню, запускающими job'ик на сервере), а также пишу, где, как и зачем их запускать.
Цитата:
Сообщение от Lazy_Tiger Посмотреть сообщение
Ну и по итогу смысл? От программеров и админов все равно не защититься.
Подумайте вот о чем: в настройке прав доступа есть отдельная самостоятельная ветка "Разработка" с разграничением доступа разработчиков на уровне отдельных таблиц, слоев, элементов MorphX... Не уверен, что кто-то из посетителей форума пользуется этой возможностью разграничения доступа, но она есть, "значит, это кому-нибудь нужно". А описанная "возможность" сводит эффект подобных настроек на нет.
Цитата:
Сообщение от mazzy Посмотреть сообщение
Цитата:
Сообщение от Raven Melancholic Посмотреть сообщение
Кстати, данная проблема не только у Аксы. В принципе, в любой системе, если пароль где-то хранится, то найдутся люди, которым смогут его получить.
Нет, конечно. Не в любой. В последних виндах пароль не хранится, а хранится хэш пароля.
Собственно, давайте разделять пароли для логина и всякие другие пароли (для доступа к сайтам в инете, для подключения по VPN и проч.). Хэш вместо самого пароля для логина в виндах хранится уже очень давно, во всяком случае l0phtcrack еще во времена NT4 по файлу SAM (%SystemRoot%\system32\config\sam, он же hklm\sam\sam) пароли именно подбирала. Пароли же, сохраняемые в hklm\security для прочих нужд (подключения по VPN, вход на всякие сайты через MSIE, etc), очевидно, хранятся в форме, предполагающей возможность получения их в открытом виде. К слову, Axapta Object Server Manager из 3-ки (ax32mgr), тоже использует этот механизм: с его помощью он хранит пароли пользователей, под которыми запускаются AOS'ы, если явно задать, под кем их запускать.
С другой стороны, что касается паролей для логинов - в Active Directory в свойствах пользователей есть интересная настройка "Store password using reversible encryption"...
Цитата:
Сообщение от oip Посмотреть сообщение
Но при этом обнулить его - дело одной минуты.
О каком пароле речь? Если о виндовом - расскажите, как (особенно в рамках домена)
За это сообщение автора поблагодарили: MikeR (7).