Источник:
http://axforum.info/forums/blog.php?b=8171
==============
Недавно я столкнулся со странным ограничением системы по правам доступа. Для выполнения различных функций бизнес-администрирования, мной была создана специальная роль "Бизнес администратор", которой были предоставлены права выполнять все операции с пользовательскими объектами, но без возможности настройки системы. Выяснилось, что эта роль не может управлять членством в группах (
team) в CRM. Судя по
MSDN для вызова сообщения
AddMembersTeam достаточно привилегии на изменение группы
prvWriteTeam, которая была у данного пользователя. Отладка показала, что кроме этого, пользователю дополнительно нужны:
- ВСЕ привилегии объекта Процесс (WorkFlow)
- ВСЕ привилегии объекта Сеанс диалогового окна (WorkFlowSession, так же встречается как "ProcessSession" и "DialogSession")
- Чтение (Read), Запись (Write), "Присоединение к" (AppendTo) и Назначение (Assign) для объекта Системное задание (AsyncOperation)
Уровень доступа (глубина привилегий) должна быть достаточной для выполнения операции в подразделении к которому принадлежит группа безопасности.
Другой удивительной особенностью является, отсутствие возможности гибко настроить доступ группе, или поделиться правами (
share) c кем-то из пользователей. Какие функции выполняют в данной операции системные процессы, и почему они выполняются под пользователем, остается только догадываться.
Источник:
http://axforum.info/forums/blog.php?b=8171